POLITIQUE DE CONFIDENTIALITÉ

Version en vigueur au 20.12.2022

EXACTCURE respecte votre vie privée et s’attache à collecter et à traiter de manière responsable vos données à caractère personnel, conformément au Règlement UE n°2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données : RGPD) et aux dispositions de la loi n°78-17 relative à l’informatique, aux fichiers et aux libertés, modifiée.

Notre Politique de Protection des Données à Caractère Personnel (ci-après Politique) a pour objectif de vous informer sur la manière dont nous traitons vos données personnelles.

Si vous avez des questions relatives à cette politique, veuillez contacter la Déléguée à la Protection des données à l’adresse électronique suivante : [email protected].

1. IDENTITÉ DU RESPONSABLE DE TRAITEMENT

Le responsable de traitement est la société EXACTCURE, société par actions simplifiée à associé unique au capital de 26.347 euros, immatriculée au Registre du Commerce et des Sociétés de Nice sous le numéro 834 329 088, ayant son siège social sis 38 bis Boulevard Victor Hugo – 06000 NICE, représentée par son Président, Monsieur Fabien ASTIC.

2. FINALITÉS DU TRAITEMENT DE VOS DONNÉES À CARACTÈRE PERSONNEL

EXACTCURE s’engage à traiter vos données à caractère personnel de manière loyale, licite et transparente.

Vos données personnelles seront utilisées par EXACTCURE aux fins suivantes :

  • Ouverture de votre compte ;
  • Actualisation de votre profil ;
  • Détermination de votre réaction au médicament : surdoses, sous-doses, interactions médicamenteuses ;
  • Réutilisation de vos données pseudonymisées pour vérifier, améliorer notre algorithme.

3. BASE LÉGALE

Le traitement de données à caractère personnel mis en œuvre par EXACTCURE pour cette finalité est fondé sur le consentement (article 6, 1, a) RGPD).

4. DONNÉES À CARACTÈRE PERSONNEL TRAITÉES

Les données à caractère personnel suivantes vous concernant pourront être utilisées :

  • Données d’identification : nom, prénom, lieu de naissance, numéro de téléphone, adresse électronique, âge, sexe, poids ;
  • Données liées aux habitudes et à l’hygiène de vie : fumeur ;
  • Données de santé : traitement médical, mesures physiologiques, état de santé, statut hépatique, statut rénal, femme enceinte ;
  • Données génétiques : mutations des gènes TMP, CYP2D6, etc ;
  • Données de localisation ;
  • Données de connexion.

5. DESTINATAIRES DE VOS DONNÉES À CARACTÈRE PERSONNE

Vos données à caractère personnel sont transmises au Sous-traitant d’EXACTCURE, lié par un contrat de sous-traitance pour exécuter un service d’hébergement de données. Ce Soustraitant agit sur les instructions d’EXACTCURE. Il est tenu aux mêmes obligations de sécurité et de confidentialité. Il est certifié HDS (art L1111-8 CSP) et ses serveurs sont localisés au sein de l’Union Européenne.

Dans le cas d’une vente, fusion, réorganisation, dissolution d’entreprise ou de tout autre évènement similaire, vos données à caractère personnel pourront faire partie des actifs transférés par EXACTCURE. Vous serez informé, avant le transfert de vos données à un tiers.

Par ailleurs, vos données à caractère personnel pourront être communiquées à toute autorité légalement habilitée à en connaître.

6. CONSERVATION DE VOS DONNÉES À CARACTÈRE PERSONNEL

Vos données de santé et les données génétiques sont conservées en base active pendant toute la durée de traitement, puis seront archivées en base intermédiaire pour une durée d’un an à des fins probatoires et seront pseudonymisées pour être utilisées à des fins de validation et d’amélioration du modèle mathématique utilisées pour le service de détermination des réactions au médicament (surdoses, sous-doses, interactions médicamenteuses). Dès qu’elles seront considérées par nos experts en modélisation de l’équipe R&D d’EXACTCURE comme n’étant plus pertinentes pour cette finalité, elles seront anonymisées.

EXACTCURE conserve les données à caractère personnel d’identification des professionnels de santé, pendant la durée de traitement. Elles seront archivées en base intermédiaire pour une durée d’un an pour une finalité probatoire. A l’issue de ce délai, elles seront supprimées.

Les données de connexion sont conservées 30 jours.

7. ABSENCE DE TRANSFERT DE VOS DONNÉES À CARACTÈRE PERSONNEL HORS UE

EXACTCURE ne procède à aucun transfert de vos données à caractère personnel hors UE.

8- SÉCURITÉ

EXACTCURE a adopté une politique de sécurité fondée sur la gestion des risques susceptibles d’être générés par ce traitement.

Une analyse d’impact relative à la protection des données (AIDP) a permis d’adopter des mesures techniques et organisationnelles pour réduire la gravité et la proportionnalité de ces risques à un niveau résiduel et garantir l’intégrité, la disponibilité et la confidentialité des données à caractère personnel.

EXACTCURE a adopté des moyens d’identification et d’authentification électroniques conformes au référentiel de la PGSSI-S sur l’identification électronique des usagers et des professionnels de santé personnes physiques.

Les données de santé sont hébergées chez un hébergeur certifié HDS dont les serveurs sont situés dans l’Union Européenne.

Chiffrement des données

Les données sont toujours protégées pendant les communications sous tout type de canal interne ou externe : leur destinataire est authentifié préalablement à l’échange, les données sont chiffrées et leur intégrité est vérifiée.

En ce qui concerne la gestion des secrets, les clés symétriques et clés privées des certificats sont accessibles, en lecture seule, uniquement par un compte restreint et privilégié. Aucun mot de passe n’est stocké en clair au sein d’ExaMed. Un système bastion est mis en place afin de centraliser les connexions sécurisées avec l’extérieur (Internet, autres tiers) tout en protégeant les secrets utilisés dans ce contexte.

Traçabilité des accès aux données

Une politique d’habilitation fondée sur le strict besoin d’en connaître est adoptée et tient compte du respect du secret médical.

Les mécanismes de génération et de gestion des traces proposés par ExaMed sont conformes au Référentiel d’imputabilité de la PGSSI-S. Un mécanisme de centralisation des traces vers un serveur distant est prévu.

L’accès au réseau est contrôlé. Seules les fonctions réseau nécessaires aux traitements sont autorisées. Un dispositif de filtrage au niveau réseau et au niveau des flux réseaux et applicatifs entrant est intégré à l’application. Les bonnes pratiques de configuration standard de ces dispositifs sont appliquées. Seules les personnes habilitées au sein de l’équipe IT et de l’équipe R&D d’EXACTCURE peuvent modifier le code du logiciel.

EXACTCURE respecte le Guide Pratique “Règles pour les dispositifs connectés d’un Système d’Information de Santé” de la PGSSI-S.

Sécurité physique

Un contrôle d’accès physique aux équipements informatiques est implémenté. Ce contrôle d’accès est nominatif et fait l’objet d’une journalisation.

Un plan d’assurance sécurité a été défini et implémenté aussi bien au niveau logique que physique.

Une procédure de sauvegarde hors ligne et de restauration de la configuration et des données est réalisée.

Un plan d’actions est défini et appliqué pour toute vulnérabilité de sécurité identifiée. Une procédure de gestion automatique des traces permet de détecter les violations de données dans les plus brefs délais.

En cas de violation de données à caractère personnel, EXACTCURE s’engage à notifier cette violation à la CNIL au plus tard dans un délai de 72 heures à compter de la découverte.

EXACTCURE vous informera si cette violation présente un risque élevé pour vous et si cet incident peut avoir des conséquences potentielles ou avérées sur les activités de la structure de santé à laquelle vous appartenez en qualité de professionnel de santé.

Toutes les violations sont inscrites dans un registre dédié. Suite à une violation de données, un plan d’action est prévu.

Dans le cas d’un transfert à une autorité habilité à en connaître, EXACTCURE n’est pas responsable des conditions dans lesquelles le personnel de ces autorités exploite vos données.

9. VOS DROITS

Votre consentement est nécessaire pour traiter vos données à caractère personnel selon les finalités définies ci-dessus, dont notamment l’accès au simulateur d’ExaMed. En acceptant, les conditions générales d’utilisation (CGU) vous consentez au traitement de vos données à caractère personnel, transmises par vos soins.

Vous avez le droit de retirer votre consentement à tout moment, en envoyant un courriel au DPO, à l’adresse électronique : [email protected].

Dans ce cas, EXACTCURE cessera de traiter vos données personnelles pour les finalités décrites dans la présente Politique de confidentialité. Vous ne pourrez plus utiliser le simulateur d’ExaMed.

Par ailleurs, vous disposez d’un droit d’accès (art 15 RGPD), d’un droit de rectification (art 16 RGPD), d’un droit de retrait du consentement à tout moment (art 13-2c), d’un droit d’opposition (art 21 RGPD), d’un droit à l’effacement (art 17 RGPD), d’un droit à la portabilité (art 20 RGPD), et d’un droit à la limitation du traitement de vos données (art 18 RGPD).

En exerçant votre droit d’accès, vous aurez la faculté d’accéder aux Informations Personnelles qui vous concernent. Cependant, en raison de l’obligation de sécurité et de confidentialité dans le traitement des données à caractère personnel qui incombe à EXACTCURE, il pourra vous être demandé d’apporter la preuve de votre identité, notamment par la production d’un scan de votre titre d’identité valide (demande formulée via notre formulaire électronique dédié) ou d’une photocopie signée de votre titre d’identité valide (demande adressée par écrit). Cette donnée sera supprimée dès que la vérification sera effectuée.

Vous disposez du droit de formuler des directives concernant la conservation, l’effacement et la communication de vos données post-mortem.

Vous pouvez exercer vos droits en adressant un courrier ou courriel au DPO à l’adresse électronique [email protected]

Vous trouverez en cliquant sur le lien suivant un modèle de courrier élaboré par la Cnil

https://www.cnil.fr/fr/modele/courrier/rectifier-des-donnees-incompletes

Vous avez également le droit de vous plaindre du traitement de vos données à caractère personnel à la Cnil, si vous estimez que les traitements de données à caractère personnel mis en œuvre par EXACTCURE ne sont pas conformes à la réglementation sur la protection des données à caractère personnel.

Votre plainte devra être adressée à :

La CNIL Service des plaintes

3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07

Tél : 01 53 73 22 22.

10. MODIFICATION DE LA POLITIQUE DE CONFIDENTIALITÉ

La présente politique de confidentialité peut être modifiée ou aménagée à tout moment en cas d’évolution légale, jurisprudentielle, des décisions et recommandations de la CNIL ou des usages. Il vous appartient de consulter régulièrement le site pour s’informer des évolutions de cette politique.

En cas de modifications importantes, EXACTCURE vous en informera par différents canaux.

Dernière mise à jour : 20.12.2022