Politique de protection des données personnelles 2020

Le respect de la vie privée est un droit fondamental et l’une des valeurs essentielles d’INSTAMED.

INSTAMED respecte la réglementation française et européenne sur la protection des données personnelles, en particulier le Règlement (UE) général sur la protection des données du 27 avril 2016 (“RGPD”) et la Loi Informatique et Libertés du 6 janvier 1978 modifiée (“LIL”).

L’engagement d’INSTAMED va au-delà de ses obligations légales. Depuis son lancement, INSTAMED respecte plusieurs engagements pour protéger les données personnelles des patients et des professionnels et établissements de santé qui utilisent ses services.

Les données personnelles de santé des utilisateurs sont hébergées par Amazon Web Services EMEA, hébergeur ayant reçu la certification HDS (Hébergeur Agréé Données de Santé), validée par l’ANS (Agence du numérique en santé).

Objet de la présente politique 

INSTAMED souhaite vous informer par l’intermédiaire de la présente politique de la manière dont nous protégeons vos données à caractère personnel traitées via le site https://www.instamed.fr/ ou via l’application « instamed » disponible sur mobile.

La présente politique décrit la manière dont INSTAMED et les professionnels de santé abonnés à ses services traitent les données à caractère personnel des visiteurs et des utilisateurs (ci-après le/les « Utilisateur(s) ») lors de leur navigation sur le site www.instamed.fr (ci-après le « Site ») et de leur utilisation des services de INSTAMED ou de son application mobile (ci-après l’”Application”).

Certaines Données Personnelles de l’Utilisateur doivent être considérées comme des données à caractère personnelles de santé, et sont ci-après dénommées « Données Personnelles de Santé ».

Cette Politique peut être modifiée, complétée ou mise à jour afin notamment de se conformer à toute évolution légale, réglementaire, jurisprudentielle et technique. Cependant, les Données Personnelles de l’Utilisateur seront toujours traitées conformément à la politique en vigueur au moment de leur collecte, sauf si une prescription légale impérative venait à en disposer autrement et serait d’application rétroactive.

Cette politique fait partie intégrante des Conditions Générales d’Utilisation du Site.

Identité et coordonnées des responsables de traitement

Rappel légal : Le responsable du traitement est, au sens de la Loi Informatique et Libertés, la personne qui détermine les moyens et les finalités du traitement. Le sous-traitant est une personne traitant des données à caractère personnel pour le compte du responsable du traitement. Il agit sous l’autorité du responsable du traitement et sur instruction de celui-ci.

Le responsable du traitement des Données Personnelles est :

  1. Pour les Données Personnelles de Santé collectées (i) lors de l’inscription par l’utilisateur le renseignement de champs ou variables dans son dossier médical, l’ajout de documents, le renseignement de questionnaires, la prise de rendez-vous, la téléconsultation par l’Utilisateur directement via le Site ou l’Application ou (ii) par le Professionnel de Santé dans son espace Instamed. Chaque professionnel de santé est considéré comme responsable de traitement des Données Personnelles de Santé de ses patients tandis que INSTAMED est sous-traitant : il agit sur instruction particulière de chaque Professionnel de Santé.
  2. Pour les Données Personnelles collectées dans le cadre de (a) la création du compte personnel de l’Utilisateur, (b) sa navigation sur le Site ou l’Application (c) et la création de statistiques relatives à l’utilisation de l’outil, leur computation et leur anonymisation : INSTAMED, société par actions simplifiée à associé unique, immatriculée au RCS de Paris sous le numéro 822 530 796 et dont le siège social est situé au 6, rue Rosa Bonheur 75015 PARIS (ci-avant et ci-après « INSTAMED »). INSTAMED est représentée par Jérémie Neuberg, son Président.

Qu’elle soit responsable de traitement ou sous-traitant, INSTAMED prend les mesures propres à assurer la protection et la confidentialité des Données Personnelles qu’elle détient ou qu’elle traite dans le respect des dispositions de la LIL et du RGPD. Pour plus d’information concernant les services proposés par INSTAMED vous pouvez vous référer aux Conditions générales d’utilisation du Site en cliquant sur le lien suivant : https://app.instamed.fr/api/v2/cgu

Collecte et source des données 

Toutes les données concernant les Utilisateurs sont collectées directement auprès de ces derniers, par INSTAMED ou le Professionnel de Santé.

INSTAMED s’engage à recueillir le consentement de ses Utilisateurs et/ou à leur permettre de s’opposer à l’utilisation de leurs données pour certaines finalités, dès que cela est nécessaire.

Lors de leur navigation sur le site INSTAMED, les Utilisateurs sont informés des finalités pour lesquelles leurs données sont collectées via les différents formulaires de collecte de données en ligne, via la présente Politique de Protection des Données.

Finalité des données collectées

  1. Nécessité de la collecte

Lors de l’inscription ou la navigation sur le Site ou l’Application, l’Utilisateur communique certaines Données Personnelles. Si l’Utilisateur ne souhaite pas communiquer les informations qui lui sont demandées, il se peut que l’Utilisateur ne puisse pas accéder à certaines parties du Site ou de l’Application, et qu’INSTAMED soit dans l’impossibilité de répondre à sa demande.

  1. Finalités 

Le recueil de vos Données Personnelles a pour base légale :

  • l’intérêt légitime d’INSTAMED à assurer la meilleure qualité de ses services, à fournir à ses Utilisateurs le meilleur suivi possible de leurs parcours de soins, et à améliorer le fonctionnement de son Site et de son Application;
  • l’intérêt légitime d’INSTAMED à produire des données statistiques anonymisées relatives à l’impact d’INSTAMED sur l’activité des Professionnels de santé et du secteur de la santé afin de communiquer sur son outil et améliorer ses services;
  • le consentement de ses Utilisateurs lorsque celui-ci est requis par la réglementation en vigueur, notamment en matière de cookies.

Les données des Utilisateurs d’INSTAMED sont principalement traitées pour :

  • permettre leur navigation sur le Site et permettre leur utilisation de l’Application
  • les mettre en relation avec un Professionnel de Santé via messagerie ou téléconsultation
  • leur permettre de visualiser et gérer leurs parcours de soin et leurs rendez-vous via leur calendrier
  • leur permettre d’accéder à de l’éducation thérapeutique personnalisée 
  • leur permettre de partager des documents avec leurs Professionnels de santé
  • leur permettre de renseigner leurs symptômes ou effets secondaires

A titre subsidiaire les données des Utilisateurs sont également collectées pour :

  • prévenir et lutter contre la fraude informatique (spamming, hacking…)
  • améliorer la navigation sur le Site et l’utilisation de l’Application
  • effectuer des statistiques anonymisées sur l’utilisation de l’outil qui seront communiquées au corps Professionnels de santé ou à la direction de l’hôpital en faisant la demande
  • effectuer des reporting internes (notamment concernant les bugs ou demandes des Utilisateurs adressées à Instamed) pour les équipes de recherche & développement d’INSTAMED

Le caractère obligatoire ou facultatif des données personnelles demandées et les éventuelles conséquences d’un défaut de réponse à l’égard des Utilisateurs d’INSTAMED sont précisés lors de leur(s) collecte(s).

Type de données traitées

INSTAMED est susceptible de traiter, en tant que Sous-traitant, pour permettre la gestion du parcours de soins, tout ou partie des données suivantes :

  • Nom (et nom de naissance), prénom, date de naissance
  • Numéro de téléphone, adresse email, adresse postale
  • Mot de passe
  • L’ensemble des champs modifiables et accessibles par les Utilisateurs dans les dossiers médicaux (services hospitalier auquel appartient un Utilisateur, antécédents médicaux, traitements, fréquences de ces derniers, date de fin)
  • Les résultats des symptômes et effets secondaires
  • Les évènements des calendriers ainsi que leurs historiques

INSTAMED est susceptible de traiter, en tant que Responsable de Traitement, pour permettre la gestion du parcours de soins, tout ou partie des données suivantes :

  • Nom (et nom de naissance), prénom
  • Données de connexion et d’utilisation du Site ou de l’Application
  • Matériel informatique utilisé pour la navigation, l’adresse IP, le mot de passe (chiffré)
  • Données de connexion et d’utilisation
  • Adresse email
  • Numéro de téléphone

Non-communication des données personnelles

Les Données Personnelles de l’Utilisateur ne seront pas transmises à des acteurs commerciaux ou publicitaires.

Les Données Personnelles de l’Utilisateur peuvent être traitées par des filiales d’INSTAMED et des sous-traitants (prestataires de services), dans le respect absolu du principe énoncé ci-dessus, exclusivement afin de réaliser les finalités de la présente politique.

Dans la limite de leurs attributions respectives et pour les finalités rappelées ci-dessus, les principales personnes susceptibles d’avoir accès aux données des Utilisateurs (hors Données de Santé) d’INSTAMED sont exclusivement des membres de l’équipe Instamed et/ou l’administrateur de l’établissement de santé responsable d’un Utilisateur donné. 

De plus, afin de respecter les dispositions du Code de la Santé Publique concernant les Données à caractère personnel de Santé, INSTAMED a recours à Amazon Web Services en tant qu’Hébergeur de Données de Santé (dit “HDS”) bénéficiant de la certification validée par ministre en charge de la santé.

Durée de conservation des données

Les données sont conservées uniquement le temps nécessaire pour les finalités poursuivies, conformément aux prescriptions légales, celles-ci peuvent faire l’objet de la suppression définitive sur demande d’un patient ou d’un professionnel de santé (à la condition que la suppression de ces données n’impactent pas le bon fonctionnement d’INSTAMED).

Les droits des utilisateurs

Chaque fois qu’INSTAMED traite des Données Personnelles, INSTAMED prend toutes les mesures raisonnables pour s’assurer de l’exactitude et de la pertinence des Données Personnelles au regard des finalités pour lesquelles INSTAMED les traite.

Conformément à la réglementation européenne en vigueur, les Utilisateurs de INSTAMED disposent des droits suivants :

  • droit d’accès (article 15 RGPD) et de rectification (article 16 RGPD), de mise à jour, de complétude des données des Utilisateurs
  • droit de verrouillage ou d’effacement des données des Utilisateurs à caractère personnel (article 17 du RGPD), lorsqu’elles sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite
  • droit de retirer à tout moment un consentement (article 13-2c RGPD)
  • droit à la limitation du traitement des données des Utilisateurs (article 18 RGPD)
  • droit d’opposition au traitement des données des Utilisateurs (article 21 RGPD) 
  • droit à la portabilité des données que les Utilisateurs auront fournies, lorsque ces données font l’objet de traitements automatisés fondés sur leur consentement ou sur un contrat (article 20 RGPD)
  • droit de définir le sort des données des Utilisateurs après leur mort et de choisir à qui INSTAMED devra communiquer (ou non) ses données à un tiers qu’ils aura préalablement désigné

Dès que INSTAMED a connaissance du décès d’un Utilisateur et à défaut d’instructions de sa part, INSTAMED s’engage à détruire ses données, sauf si leur conservation s’avère nécessaire à des fins probatoires ou pour répondre à une obligation légale (telle que la conservation du dossier patient).

Si l’Utilisateur souhaite savoir comment INSTAMED utilise ses Données Personnelles, demander à les rectifier ou s’oppose à leur traitement, l’Utilisateur peut contacter INSTAMED par écrit à l’adresse suivante : INSTAMED – 6, rue Rosa Bonheur 75015 Paris ou par mail à contact@instamed.fr. Dans ce cas, l’Utilisateur doit indiquer les Données Personnelles qu’il souhaiterait que INSTAMED corrige, mette à jour ou supprime, en s’identifiant de manière précise avec une copie d’une pièce d’identité (carte d’identité ou passeport) ou tout autre élément permettant de justifier de son identité. Les demandes de suppression de Données Personnelles seront soumises aux obligations qui sont imposées à INSTAMED par la loi, notamment en matière de conservation ou d’archivage des documents. Enfin, les Utilisateurs de INSTAMED peuvent déposer une réclamation auprès des autorités de contrôle, et notamment de la CNIL (https://www.cnil.fr/fr/plaintes).

Sécurité

INSTAMED met en œuvre toutes les mesures techniques et organisationnelles afin d’assurer la sécurité des traitements de données à caractère personnel et la confidentialité de Données Personnelles.

A ce titre, INSTAMED prend toutes les précautions utiles, au regard de la nature des données et des risques présentés par le traitement, afin de préserver la sécurité des données et, notamment, d’empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès (protection physique des locaux, procédés d’authentification avec accès personnel et sécurisé via des identifiants et mots de passe confidentiels, journalisation des connexions, chiffrement des données…).

Nous contacter 

Si l’Utilisateur a des questions ou des réclamations concernant le respect par INSTAMED de la présente Politique, ou si l’Utilisateur souhaite faire part à INSTAMED de recommandations ou des commentaires visant à améliorer la qualité de la présente politique, l’Utilisateur peut contacter INSTAMED par écrit à l’adresse suivante : INSTAMED – 6, rue Rosa Bonheur 75015 Paris ou à jeremie@instamed.fr.