Data policy Test-N-Track

Avant propos

Les informations qui touchent à notre santé sont personnelles. À ce titre, elles doivent être protégées avec le plus grand soin. Le respect de la vie privée est un droit fondamental et l’une des valeurs essentielles de Magentine Healthcare. Magentine Healthcare s’engage à respecter la réglementation française et européenne sur la protection des données personnelles, en particulier le Règlement (UE) général sur la protection des données du 27 avril 2016 (“RGPD”) et la Loi Informatique et Libertés du 6 janvier 1978 modifiée (“LIL”). Notre société travaille avec les autorités en charge de la protection des données, avec les acteurs publics responsables de l’organisation du système de santé, pour nous assurer que nous respectons l’intégralité de nos obligations légales en matière de protection des données personnelles de santé. Magentine Healthcare dispose d’une équipe dédiée à la protection des données à caractère personnel, incluant notamment un Délégué à la Protection des Données déclaré auprès de la CNIL et des ingénieurs spécialisés en protection des données. Les données à caractère personnel (y compris de santé) des patients qui utilisent les services de Magentine Healthcare sont hébergées par un hébergeur d'infrastructure physique et infogéreur ayant reçu la certification HDS (Hébergeur de Données de Santé).

Définitions

Les termes utilisés dans la présente Politique de protection des données à caractère personnel (ci-après “Politique de Protection”) avec des majuscules ont été définis ci-dessous. “Acteur de santé” désigne les professionnels intervenant dans le secteur de la santé. “Données personnelles ou à caractère personnel” désigne toute information concernant une personne physique identifiée ou identifiable telle que définie par le Règlement Général sur la Protection des Données (RGPD). « DPO » : Data Protection Officer « Finalité » : l’objectif poursuivi par le responsable de traitement rendant la collecte réalisée licite. « Responsable de test » a le sens qui lui est attribué par le RGPD. « Responsable de traitement » : la personne à l’origine de la création de la collecte de données par la définition de son objectif. ”RGPD” désigne le Règlement Général sur la Protection des Données (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données abrogeant la directive 95/46/CE. “Patient” désigne toute personne physique qui fournit ou a fourni à un proche ou un Acteur de santé des Données à caractère personnel et qui va être soumise à un test avec un Acteur de santé et qui est pris en charge par ce dernier. “Proche” désigne tout personne physique pour laquelle l’Utilisateur est autorisé par celle-ci ou mandaté par la loi à (i) lui créer un identifiant unique directement sur les sites www.montestrapide.com et www.montestrapide.fr ; (ii) transférer ses Données à caractère personnel sur les sites www.montestrapide.com et www.montestrapide.fr. “Services” : désigne le ou les Services mis à disposition des Utilisateurs. Les Services comprennent notamment la création d’un identifiant unique, d’un QR Code unique et de documents pour identifier l’Utilisateur. « Sites » représentent les sites www.montestrapide.com et www.montestrapide.fr de Magentine Healthcare. “Sous-traitant” désigne la personne traitant des Données à caractère personnel pour le compte du responsable du traitement. Il agit sous l’autorité du responsable du traitement et sur instruction de celui-ci. « Traitement » : toute opération ou ensemble d’opérations (de la collecte à l’utilisation) effectuée(s) sur des données, que ce soit par des moyens automatisés ou non. Utilisateur : désigne toute personne physique qui (i) s’inscrit sur les sites www.montestrapide.com et www.montestrapide.fr de Magentine Healthcare et crée un identifiant ; (ii) tout Visiteur de Site. « Visiteur du Site » désigne toute personne physique qui navigue sur les sites www.montestrapide.com et www.montestrapide.fr.

Objet de la présente politique de protection

Par la présente Politique de Protection, Magentine Healthcare informe les Utilisateurs de la manière dont Magentine Healthcare et les Acteurs de Santé traitent leurs Données à caractère personnel. Elle s’applique à tous les Utilisateurs des sites : www.montestrapide.com et www.montestrapide.fr

Origine des données à caractère personnel

Les Utilisateurs sont informés des finalités pour lesquelles leurs Données à caractère personnel sont collectées via (i) les informations mentionnées dans les différents formulaires en ligne de collecte de données ; (ii) la Politique sur les Cookies intégrée dans les Mentions Légales et (iii) la présente Politique de protection des données à caractère personnel. 1. Les Données à caractère personnel collectées auprès de l'Utilisateur Toutes les Données à caractère personnel concernant les Utilisateurs et/ou leurs Proches sont collectées auprès de ces derniers par ​(​Magentine Healthcare (i) lors de la création d’un identifiant unique et (ii) de l’utilisation des Services proposés par Magentine Healthcare. 2. Les Données à caractère personnel que Magentine Healthcare collecte automatiquement lors de l’utilisation des Services. Magentine Healthcare​ ​recueille automatiquement, en recourant notamment à des Cookies, des Données à caractère personnel lors de l’Utilisation par les Utilisateurs des Services.

Identité des responsables de traitement

Le responsable du traitement est, au sens du RGPD, la personne qui détermine les moyens et les finalités du traitement. Le sous-traitant est une personne traitant des données à caractère personnel pour le compte du responsable du traitement. Il agit sous l’autorité du responsable du traitement et sur instruction de celui-ci. En fonction des Données à caractère personnel traitées, ​Magentine Healthcare​ ​est susceptible d’agir en qualité de Responsable de traitement ou de Sous-traitant. Magentine Healthcare​ ​est Responsable de traitement des Données à caractère personnel des Utilisateurs recueillies dans le cadre de la création de l’identifiant unique et de la création et gestion du Compte Utilisateur, de leur navigation sur le Site et de leur utilisation des Sites. Les Acteurs de santé sont Responsables de traitement des Données à caractère personnel recueillies dans le cadre de tout test ou suivi du Patient. ​Magentine Healthcare​ ​intervient alors en tant que Sous-traitant. Qu’elle soit responsable de traitement ou sous-traitant, ​Magentine Healthcare​ ​prend les mesures propres à assurer la protection et la confidentialité des Données à caractère personnel qu’elle détient ou qu’elle traite dans le respect des dispositions du RGPD et des législations nationales.

Finalités et traitements des données à caractère personnel collectées

1. Nécessité de la collecte Lors de son utilisation des Sites, l’Utilisateur communique à Magentine Healthcare certaines Données à caractère personnel nécessaires à la fourniture du Service demandé. Si l’Utilisateur ne souhaite pas communiquer les informations qui lui sont demandées, ou s’oppose à leur utilisation par ​Magentine Healthcare​, il se peut que l’Utilisateur ne puisse pas accéder à certaines parties des Sites ou des Services et que ​Magentine Healthcare​ soit dans l’impossibilité de répondre à sa demande. 2. Durées de conservation Toutes les Données à caractère personnel collectées sont traitées et conservées pour une durée limitée en fonction de la finalité du traitement et de la législation applicable aux Services.nMagentine Healthcare​ détermine les durées de conservation des Données à caractère personnel uniquement en sa qualité de Responsable de Traitement. Dans le cadre des traitements effectués en qualité de Sous-traitant, ​Magentine Healthcare​ agit uniquement sur instruction des Responsables de Traitement et ne détermine pas elle-même la durée de conservation des Données à caractère personnel. Pour toute question ou précision sur la durée de conservation des Données à caractère personnel pour lesquelles ​Magentine Healthcare​ n’est que Sous-traitant, nous vous recommandons de vous adresser directement à votre Acteur de santé. A l’expiration des durées de conservation, les Données à caractère personnel des Utilisateurs sont supprimées de façon définitive ou anonymisées. Compte tenu des obligations légales d’archivage s’imposant aux Acteurs de Santé, ceux-ci sont susceptibles de conserver, sur leurs propres outils, les Données à caractère personnel des Utilisateurs pour des durées plus longues que celles indiquées ci-dessous afin d’assurer aux Patients un suivi médical et une prise en charge optimale. Dans le cadre de la lutte contre l’épidémie de covid-19, l’ensembles des données concernant ce type de test sont transmises au système d'information de dépistage (SI-DEP) ainsi qu’à l’assurance maladie. La compatibilité du raccordement des logiciels développés par Magentine Healthcare à ces systèmes a été validée et agréée par la Direction Générale de la Santé et l’AP-HP.

Sous traitants et destinataires des données à caractère personnel

Les données à caractère personnel de l’utilisateur ne sont pas transmises à des acteurs commerciaux ou publicitaires sans consentement Usage interne ​: Les Données à caractère personnel de l’Utilisateur peuvent être traitées par les employés de Magentine Healthcare et ses filiales, dans la limite de leurs attributions respectives et ce exclusivement afin de réaliser les finalités de la présente politique. Magentine Healthcare recourt également, pour quelques activités liées à son fonctionnement, aux prestations fournies par plusieurs sociétés spécialisées (mailing, analyse d’audience) dont la liste peut être communiquée aux personnes concernées sur demande adressée à dpo@magentinehealthcare.com. Hébergement​ : Afin de respecter les dispositions du Code de la santé publique concernant les Données à caractère personnel de Santé, Magentine Healthcare a recours à Azure de Microsoft en tant qu’ Hébergeur de Données de Santé (certifié HDS). L’ensemble des données à caractère personnel de santé sont hébergées au sein de l’union européenne​.Transfert transfrontalier​ : Afin de fournir ses Services, Magentine Healthcare peut avoir recours à des prestataires se situant hors de l’Union européenne. Si le transfert a lieu vers un pays tiers dans lequel la législation n'a pas été reconnue comme offrant un niveau de protection adéquat des Données à caractère personnel, ​Magentine Healthcare​ ​veille à ce que les mesures nécessaires soient mises en place conformément à la Loi Informatique et Libertés et au RGPD.

Les droits des utilisateurs

1. Droits des Utilisateurs sur leurs Données à caractère personnel Conformément à la réglementation européenne en vigueur, les Utilisateurs de ​Magentine Healthcare​ ​disposent des droits suivants :
● Droit d'accès​ (article 15 RGPD) ​et de rectification​ (article 16 RGPD), de mise à jour, de complétude des Données à caractère personnel des Utilisateurs : les Utilisateurs ont le droit d’accéder aux Données à caractère personnel les concernant dont dispose Magentine Healthcare​ ​et en demander la rectification ou la mise à jour.
● Droit à l’effacement​ des Données à caractère personnel des Utilisateurs (article 17 du RGPD), lorsqu (i) ’elles ne sont plus nécessaires, (ii) l’Utilisateur a retiré son consentement, (iii) l’Utilisateur s’oppose au traitement, (iv) le traitement est illicite ou pour respecter une obligation légale.
● Droit de retirer à tout moment un consentement​ (article 13-2c RGPD) si ce test est fondé sur le consentement.
● Droit à la limitation​ du traitement des Données à caractère personnel des Utilisateurs (article 18 RGPD) : Ce droit signifie que le traitement des données personnelles des utilisateurs que Magentine Healthcare peut effectuer est limité aux éléments suivants, de sorte que les Données à caractère personnel sont conservées, mais que ​Magentine Healthcare​ ​ne peut pas les utiliser ni les traiter.
● Droit d’opposition​ au traitement des Données à caractère personnel des Utilisateurs (article 21 RGPD) : Les Utilisateurs peuvent à tout moment s’opposer au traitement de leurs Données à caractère personnel lorsque le traitement est basé sur l’intérêt légitime de ​Magentine Healthcare​.
● Droit à la portabilité​ des Données à caractère personnel que les Utilisateurs auront fournies, lorsque ces Données à caractère personnel font l’objet de traitements automatisés fondés sur leur consentement ou sur un contrat (article 20 RGPD). Les Utilisateurs ont le droit de déplacer, copier ou transmettre les Données à caractère personnel les concernant de la base de données de ​Magentine Healthcare​ ​vers une autre.
● Droit de définir le sort des Données à caractère personnel​ des Utilisateurs après leur mort et de choisir à qui ​Magentine Healthcare​ ​devra communiquer (ou non) ses Données à caractère personnel à un tiers qu’ils auront préalablement désigné. Dès que ​Magentine Healthcare​ a connaissance du décès d’un Utilisateur et à défaut d’instructions de sa part, Magentine Healthcare​ s’engage à détruire ses Données à caractère personnel, sauf si leur conservation s’avère nécessaire à des fins probatoires ou pour répondre à une obligation légale (telle que la conservation du dossier patient) Pour plus d’informations sur leurs droits, les Utilisateurs peuvent consulter le site de la ​CNIL​.

2. Modalités d’exercice des droits des Utilisateurs sur leurs Données à caractère personnel :
2.1. Pour toutes les demandes concernant des Données à caractère personnel pour lesquelles Magentine Healthcare ​est Responsable de traitement​ : Si l’Utilisateur souhaite savoir comment ​Magentine Healthcare ​utilise ses Données à caractère personnel, ou exercer ses droits, l’Utilisateur peut contacter Magentine Healthcare par écrit au DPO par courrier ou par mail (cf. Coordonnées). Dans ce cas, l’Utilisateur doit indiquer les Données à caractère personnel qu’il souhaiterait que Magentine Healthcare​ corrige, mette à jour ou supprime, en s’identifiant de manière précise avec une copie d’une pièce d’identité (carte d’identité ou passeport) ou tout autre élément permettant de justifier de son identité. 2.2. Pour toutes les demandes concernant des Données à caractère personnel pour lesquelles Magentine Healthcare est Sous-traitant : Si l’Utilisateur souhaite exercer ses droits, il peut contacter son Acteur de santé, Responsable du test. Magentine Healthcare​, à la demande de l’Acteur de santé, pourra assister ce dernier dans les suites à donner aux demandes adressées par ses Patients mais ne pourra répondre directement aux demandes desdits Patients. Les demandes de suppression de Données à caractère personnel seront soumises aux obligations qui sont imposées à ​Magentine Healthcare​ ​par la loi, notamment en matière de conservation ou d’archivage des documents. Les Utilisateurs peuvent déposer une réclamation auprès des autorités de contrôle, et notamment de la CNIL (​https://www.cnil.fr/fr/plaintes​).

Réseaux sociaux

Chaque Utilisateur a la possibilité de cliquer sur les icônes dédiées aux réseaux sociaux Twitter, Facebook, Linkedin et Instagram figurant sur les Sites. Lorsque l’Utilisateur clique sur ces boutons, Magentine Healthcare pourra avoir accès aux informations personnelles que l’Utilisateur aura indiquées comme publiques et accessibles depuis ses profils Twitter, Facebook, Linkedin et Google plus. Cependant, Magentine Healthcare ne crée ni n’utilise aucune base de données indépendante de Twitter, Facebook, Linkedin et Google Plus à partir des informations personnelles que l’Utilisateur peut y publier et Magentine Healthcare ne traitera aucune Donnée à caractère personnel relevant de sa vie privée par ce biais. Si l’Utilisateur ne souhaite pas que Magentine Healthcare ait accès aux informations personnelles publiées sur l’espace public de ses profils ou de ses comptes sociaux, l’Utilisateur devra alors utiliser les moyens mis à sa disposition par Twitter, Facebook, Linkedin et Google Plus afin de limiter l’accès à ses Données à caractère personnel.

Sécurité

Chaque Acteur de santé destinataire de Données à caractère personnel dans le cadre de son utilisation des Services s'engage à en garantir la sécurité et la confidentialité. Magentine Healthcare met en œuvre toutes les mesures techniques et organisationnelles afin d’assurer la sécurité des traitements et la confidentialité des Données à caractère personnel. A ce titre, Magentine Healthcare prend toutes les précautions utiles, au regard de la nature des Données à caractère personnel et des risques présentés par le traitement, afin de préserver la sécurité des Données à caractère personnel et, notamment, d’empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès (protection physique des locaux, procédés d’authentification avec accès personnel et sécurisé via des identifiants et mots de passe confidentiels, journalisation des connexions, chiffrement de certaines Données à caractère personnel, end-to-end encryption...). Magentine Healthcare conduit régulièrement des tests de pénétration différenciés permettant de contrôler, d’évaluer et de juger régulièrement l’efficacité des mesures de sécurité mises en place. Protection de la vie privée dès la conception​ : Magentine Healthcare veille à ce que la protection et la sécurité des données soient prises en compte dans la planification et le développement de ses Services.

Coordonnées

Vous pouvez contacter le DPO (Data Protection Officer ou Délégué à la Protection des Données) de Magentine Healthcare à n’importe quel moment pour obtenir une information par le biais des coordonnées suivantes : Mail: dpo@magentinehealthcare.com Adresse : Magentine Healthcare – DPO - 1 montée de la Lauziére 34980 Saint Clément de la Rivière

Informations personnelles et mineurs

L’Utilisation des Services est réservée aux Utilisateurs personnes physiques de plus de quinze (15) ans capables de souscrire des obligations conformément à la loi applicable.

Conditions d’application de la politique

Magentine Healthcare est susceptible de modifier, compléter ou mettre à jour la présente Politique afin de prendre en compte toute évolution légale, réglementaire, jurisprudentielle et/ou technique. En cas de modification significative de la présente Politique (relatives aux finalités de traitement, aux Données à caractère personnel collectées, à l’exercice des droits, au transfert des Données à caractère personnel des Utilisateurs), Magentine Healthcare s’engage à en informer les Utilisateurs par tout moyen écrit dans un délai minimum de trente (30) jours avant leur date de prise d’effet. En cas de désaccord de l’Utilisateur avec les termes de la nouvelle Politique, ce dernier pourra supprimer son compte Magentine Healthcare. Passé ce délai, tout accès et utilisation des Services sera soumis à la nouvelle Politique.

02/08/2023