Politique de protection des données

CHARLES s’engage dans la protection des données à caractère personnel traitées dans le cadre de sa Solution.

CHARLES s’engage à traiter l’ensemble des données collectées dans le cadre de l’utilisation de la Solution de manière conforme aux textes applicables à la protection des données (Loi n°78-17 du 6 janvier 1978 modifiée, ci-après « Loi I&L » et le Règlement Européen Général 2016/679 du 27 avril 2016 sur la protection des données, ci-après « RGPD », ces deux textes étant ci-après désignés la « Règlementation »).

A des fins de transparence, la présente Politique de protection des données a été définie par CHARLES et afin de vous permettre à tout moment de prendre connaissance des engagements pris et des pratiques appliquées sur vos données à caractère personnel.


Vous êtes invités à lire cette Politique générale de protection des données dans son intégralité pour bien comprendre l’utilisation qui est faites de vos données personnelles dans le cadre de l’utilisation de la Solution CHARLES et des droits dont vous disposez concernant celles-ci.


1. Lexique

Un traitement de données à caractère personnel est une opération ou un ensemble organisé d’opérations effectué sur des données à caractère personnel (collecte, structuration, conservation, modification, communication…).

Une donnée à caractère personnel est une information qui permet d’identifier un être humain (personne physique), directement (par exemple son nom/prénom), ou indirectement (par exemple son numéro de téléphone, son numéro de contrat, son pseudo).

La personne concernée est celle qui peut être identifiée par les données utilisées dans le cadre du traitement de données à caractère personnel.

Le responsable de traitement est celui qui décide de la manière dont sera mis en œuvre le traitement des données à caractère personnel, notamment en déterminant à quoi vont servir les données et quels outils vont être mis en œuvre pour les traiter.

Le sous-traitant est celui qui effectue des opérations sur les données pour le compte du responsable de traitement, il signe un contrat avec le responsable de traitement qui lui confie certaines tâches et qui s’assure qu’il dispose des garanties techniques et organisationnelles, lui permettant de traiter les données à caractère personnel qui lui sont confiées conformément à la règlementation.

Le destinataire est celui qui reçoit communication autorisée des données à caractère personnel.

Les définitions ci-après utilisées sont également celles définies au sein des CGUV de CHARLES www.charles.co/conditions-generales

Qui est responsable du traitement de vos données et quels sont ses engagements ?

CHARLES est responsable des traitements de vos données mis en œuvre dans le cadre de l’utilisation de la Solution et des Services fournis par CHARLES, en ce compris, le Service de Mandataire et le Service de Livraison.

Par ailleurs, le Médecin Téléconsultant est responsable des traitements de vos données dans le cadre de la mise en œuvre du Service de téléconsultation.

Enfin, le Pharmacien est responsable des traitements de vos données dans le cadre de la mise en œuvre du Service de réservation et dans le cadre de la Délivrance des Médicaments.

Les responsables de traitement respectent les principes suivants :

  • Les données à caractère personnel sont utilisées uniquement pour des finalités (objectifs) explicites, légitimes et déterminées en lien avec le fonctionnement de la Solution CHARLES et les Services fournis via la Solution respectivement par CHARLES, chaque Médecin téléconsultant et chaque Pharmacien; ces finalités sont décrites et détaillées ci-après ;
  • Seules les données à caractère personnel qui sont strictement utiles à la Solution CHARLES et aux Services délivrés via la Solution sont collectées et traitées : le concept de privacy by default est ainsi appliqué, protégeant les personnes concernées de toute collecte excessive de données ;
  • Les données ne sont pas conservées au-delà de la durée nécessaire pour les Traitements pour lesquelles elles ont été collectées et ce en tenant compte de la nature des Traitements et des obligations légales de conservation, en particulier celles des Médecins téléconsultants et des Pharmaciens respectivement ;
  • Vos données à caractère personnel ne sont pas communiquées, ni cédées à des tiers, mais seulement à des destinataires autorisés dans le cadre strict des finalités définies au préalable ;
  • Vos données à caractère personnel sont confiées à des prestataires sous-traitants choisis en fonction de garanties techniques et organisationnelles appropriées, afin de garantir la protection des données qui leur sont confiées sous les instructions du responsable de traitement ;
  • Vous êtes informé préalablement et régulièrement, de manière claire et transparente, notamment sur la finalité d’utilisation de vos données, le caractère facultatif ou obligatoire de vos réponses dans les formulaires, des droits dont vous disposez en matière de protection des données et des modalités d’exercice effectif de ces droits, des destinataires ;
  • Chaque fois que la Règlementation l’impose, votre consentement explicite, éclairé, actif et non équivoque est recueilli au titre du traitement de vos données à caractère personnel ;
  • Des mesures de sécurité appropriées, sur le plan logique, technique, organisationnel et juridique, ont été définies sur la base d’une analyse de risques des différents traitements de données à caractère personnel concernés et sont mises en œuvre par le responsable de traitement, de même que les sous-traitants engagés par contrat, afin d’assurer la protection de vos données à caractère personnel ;
  • Chaque fois que les risques présentés par un traitement le nécessitent, une analyse d’impacts sur la vie privée et la protection de vos données à caractère personnel est réalisée, afin d’adopter des mesures concrètes et adaptées à ces risques et de la piloter ;
  • Le responsable de traitement et tous ses sous-traitants se sont engagés à concevoir des outils et systèmes embarquant au cœur même de leurs fonctionnalités le respect de la Règlementation et la protection de la vie privée des personnes concernées, en intégrant le respect de ces règles au stade même de la conception et du développement : appliquant ainsi le concept de _privacy by design _qui permet le développement d’outils et de systèmes responsables ;
  • Le responsable de traitement et tous ses sous-traitants se sont engagés à veiller à toute violation éventuelle et exceptionnelle de données et à prendre toutes les mesures de protection et de correction consécutives à une violation en informant la CNIL et le cas échéant, les personnes concernées.

L’ensemble des salariés et intervenants des Responsable de traitement et des sous-traitants sont sensibilisés aux principes de protection des données, par des formations régulières adaptées à leur activité et à leurs responsabilités.

Les collaborateurs ont accès uniquement aux informations nécessaires à leur activité, les données sensibles font l’objet d’habilitations et de contrôles spécifiques, et en particulier vos données de santé sont confiées à un hébergeur de données de santé agréé ou certifié au sens de l’article L. 1111-8 du Code de la santé publique.

2. Qu’est-ce qu’un Délégué à la protection des données (DPO) ?

Le délégué à la protection des données est désigné afin veiller au respect de la Réglementation et des règles décrites au sein de la présente Politique de protection des données.

Le délégué à la protection des données veille notamment :

  • à établir et tenir à jour un registre des traitements de données à caractère personnel mis en œuvre par le responsable de traitement,
  • à s’assurer de la conformité des pratiques avec la réglementation et ses évolutions,
  • à sensibiliser l’ensemble des équipes aux exigences et bonnes pratiques en matière de protection des données à caractère personnel,
  • à l’exercice effectif des droits des personnes concernées.

Le délégué à la protection de données de CHARLES est Aurélien HAVET, il est joignable aux coordonnées suivantes :

  • Par email : aurelien@derniercri.io
  • Par téléphone 03 39 82 00 37
  • Par courrier : Now Coworking, 40 Pl. du Théâtre, 59000 Lille

3. Comment sont collectées vos données ?

Vos données à caractère personnel sont collectées de la manière suivante :

  • Lors de la création de votre Espace Patient,
  • Lors de la prise de rendez-vous en ligne via la Solution,
  • Lors des questionnaires médicaux,
  • Lors de l’importation de pièces justificatives d’identité,
  • Lors de vos échanges avec le Médecin Téléconsultant ou le Pharmacien,
  • Lors de l’acceptation du Mandat,

4. Quelles données sont collectées et traitées ?

Dans le cadre de la Solution CHARLES et des Services fournis via la Solution, sont collectées les données appartenant aux catégories de données à caractère personnel suivantes :

  • Données d’identification (nom, prénom, numéro de téléphone, adresses, justificatif d’identité) ;
  • Données relatives à votre vie personnelle (habitude de vie, situation familiale…) ;
  • Données de connexion ;
  • Données bancaires ;
  • Données relatives à votre santé ;
  • Données relatives à votre vie sexuelle.

5. Comment sont utilisées vos données ?

Vos données à caractère personnel sont utilisées pour les objectifs principaux suivants :

  • La gestion et la mise en œuvre de la Solution CHARLES et des Services opérés via la Solution, et en particulier :

    • Le Service de téléconsultation
    • Le Service de réservation
    • Le Service de Mandataire,
    • Le Service de livraison.
  • L’envoi d’informations relative aux évolutions et aux options de la Solution CHARLES et des Services opérés via la Solution, avec votre consentement.

Vos données peuvent enfin faire l’objet d’un traitement statistique à l’exclusion de votre identification, c’est-à-dire dans le respect de votre anonymat.

6. Qui aura accès à vos données ?

Au cas par cas des traitements décrits à l’article « Comment sont utilisées vos données » ci-dessus, les destinataires des données sont déterminés en fonction de leurs missions et de leurs strictes habilitations à recevoir les données dans le respect des finalités déterminées.

Selon le cas, ces destinataires peuvent être :

  • Les membres du personnel de CHARLES, spécifiquement habilités, dans le strict respect de leurs missions ;
  • Les Médecins Téléconsultants et les Pharmaciens sélectionnés par le Patient pour lui délivrer un Service ;
  • Les membres du personnel des Partenaires de CHARLES, spécifiquement habilités, et sous réserve du consentement des Patients ;
  • Les membres du personnel des prestataires techniques spécifiquement habilités, dans le strict respect de leurs missions ;
  • Les administrateurs strictement habilités de l’hébergeur agréé de données de santé, au sens de l’article L.1111-8 du Code de la santé publique, dans la limite de leurs attributions respectives ;
  • Les personnes habilitées au titre des tiers autorisés (les juridictions concernées, les arbitres, les médiateurs, les ministères concernés…).

7. Combien de temps vos données sont-elles conservées ?

Des règles précises concernant la durée de conservation des données à caractère personnel des personnes concernées, ont été déterminées afin de limiter la conservation à une durée strictement nécessaire.

Sans préjudice des dispositions légales qui peuvent s’appliquer à la durée de conservation de certaines données, vos données à caractère personnel sont stockées et sont conservées pendant la durée de votre utilisation de la Solution CHARLES.

Au-delà, les données sont archivées pendant 10 ans par CHARLES, et à l’issue de l’archivage, seules des données statistiques non identifiantes sont conservées.

Au-delà, les données sont archivées pendant 10 ans par le Médecin Téléconsultant sélectionné, et à l’issue de l’archivage, seules des données statistiques non identifiantes sont conservées.

Au-delà, les données sont archivées pendant 10 ans par le Pharmacien, et à l’issue de l’archivage, seules des données statistiques non identifiantes sont conservées.

8. Comment vos données sont-elles conservées ?

Vos données de santé à caractère personnel sont hébergées chez un hébergeur agréé ou certifié qui assure un hébergement sécurisé de vos données de santé collectées et traitées dans le cadre de la Solution, conformément aux dispositions de l’article L.1111-8 du Code de la santé publique.

A ce titre, vous bénéficiez d’un droit d’opposition à l’hébergement de vos données à caractère personnel auprès de cet hébergeur tiers pour un motif légitime en vous adressant aux coordonnées suivantes : Microsoft France lava@microsoft.com

Sachez que votre opposition à l’hébergement de vos données par cet hébergeur agréé ou certifié, ne vous permettrait pas de bénéficier des Services proposés dans le cadre de la Solution CHARLES.

9. Comment vos données sont-elles protégées ?

La sécurité des données porte sur les mesures prises afin de protéger les données des faits suivants :

  • la destruction,
  • la perte,
  • l’altération,
  • la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées,
  • l’accès non autorisé à de telles données, de manière accidentelle ou illicite.

Afin de garantir la sécurité des données à caractère personnel, le responsable de traitement met en œuvre les mesures techniques et organisationnelles appropriées compte tenu de l’état des connaissances, des coûts, de la nature, de la portée, du contexte et des finalités des traitements afin de garantir un niveau de sécurité adapté aux risques.

En particulier et chaque fois que nécessaire, les mesures suivantes ont été prises :

  • la pseudonymisation et le chiffrement des données à caractère personnel ;
  • le déploiement de moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des traitements ;
  • le déploiement de moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
  • la mise en œuvre d’une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité des traitements.

Ainsi, des dispositifs adaptés et conformes aux règles de l’art et aux normes imposées ont été mis en place pour garantir la protection de vos données personnelles.

10. Quels sont vos droits sur vos données ?

Vous disposez des droits suivants :

  • d’accéder à vos données (droit d’accès) : vous pouvez demander directement quelles sont les informations vous concernant détenues dans le cadre de la Solution CHARLES et des Services fournis via la Solution, et demander à ce qu’il vous soit communiqué la liste de ces données,
  • de demander leur rectification (droit de rectification) : vous pouvez demander la rectification des informations inexactes vous concernant. Le droit de rectification complète le droit d’accès.
  • de demander l’effacement de vos données (droit à l’oubli) : vous pouvez demander l’effacement des informations vous concernant, pour un motif prévu par la Règlementation.
  • de demander la limitation du traitement de vos données (droit à la limitation) : vous pouvez obtenir la limitation du traitement de vos données, pour un motif prévu par la Règlementation.
  • de demander la **portabilité **de vos données (droit à la portabilité) : vous pouvez demander à recevoir les données que vous avez transmises, ou demander que ces données soient transmises à un autre responsable de traitement pour un motif prévu par la Règlementation,
  • de définir des directives anticipées relatives au sort de vos données après votre décès.

Vous pouvez également vous opposer, pour des motifs légitimes, à ce que les données vous concernant soient traitées, diffusées, transmises, conservées ou hébergées.

Pour plus d’informations sur la signification de ces droits ; la CNIL a créé une rubrique dédiée à leur compréhension : https://www.cnil.fr/fr/comprendre-vos-droits

Par ailleurs, vous pouvez également vous opposer à l’hébergement/archivage de vos données de santé par un hébergeur certifié/agréé de données de santé.

Pour exercer ses droits, vous pouvez vous adresser :

  • A CHARLES, à l’adresse électronique : charles@charles.co
  • Au Médecin Téléconsultant sélectionné ;
  • Au Pharmacien Sélectionné ;
  • Au médecin de l’hébergeur à l’adresse électronique : lava@microsoft.com

Vous pouvez également joindre le délégué à la protection aux données désigné par CHARLES à cette adresse aurelien@derniercri.io Vous pouvez vous adresser à eux, selon son choix, pour toute question concernant vos données à caractère personnel.

Pour faciliter les démarches, vous êtes invité, lors de l’envoi d’une demande d’exercice des droits, à :

  • Indiquer quel(s) droit(s) vous souhaitez exercer,
  • Mentionner clairement vos noms / prénoms / coordonnées auxquels vous souhaitez recevoir les réponses,
  • Joindre une copie d’une pièce d’identité.

11. Votre consentement

Tous les traitements de données à caractère personnel sont mis en œuvre dans le respect de votre consentement, et dans quelques cas prévus par la Règlementation, sur la base de votre consentement explicite, autrement dénommé exprès, est requis.

Chaque fois que votre consentement explicite est requis par la Règlementation, il est recueilli au et vous pouvez à tous moments le retirer, en vous adressant aux contacts visés ci-dessus.

12. Les réclamations auprès de la CNIL

Vous disposez du droit d’introduire une réclamation auprès d’une autorité de contrôle de protection des données.

En France, cette autorité est la CNIL, voici ses coordonnées :

  • Site internet : https://www.cnil.fr/
  • Téléphone : 01 53 73 22 22
  • Adresse postale : CNIL, 3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07

13. Les Cookies

Un cookie est un petit fichier contenant des lettres et des chiffres, stocké sur le navigateur ou sur le disque dur de l’ordinateur, du smartphone ou de la tablette d’un utilisateur de notre site web, s’il l’accepte.

Des cookies sont utilisés au sein des sites webs et application : des fichiers stockés temporairement ou définitivement sur l’ordinateur, tablette ou smartphone de l’utilisateur afin de le reconnaître lors de ses visites ultérieures.

13.2. Pourquoi les cookies sont-ils utilisés ?

En poursuivant la navigation sur les sites et Solution édités par le responsable de traitement, vous avez consenti à l’usage de l’ensemble des cookies suivants :

  • Les cookies de navigation
  • Les cookies fonctionnels
  • Les cookies de performance et de mesure d’audience

En apprenant à connaître le comportement des internautes sur les sites _(insérer les adresses des sites), _il est possible :

  • D’établir des statistiques fiables de fréquentation et des volumes de fréquentation et d’utilisation des divers éléments composant les sites (rubriques et contenus visités, parcours, etc.), permettant ainsi d’améliorer l’intérêt et l’ergonomie des services,
  • d’adapter la présentation des sites aux préférences d’affichage du terminal web ou mobile (résolution d’affichage, système d’exploitation utilisé, etc.) de l’utilisateur lors de ses visites,
  • de permettre à l’utilisateur d’accéder à des espaces réservés et personnels du site s’il y a lieu,
  • de mémoriser des informations relatives à des formulaires (inscription ou accès à un compte,.),
  • de mettre en œuvre des mesures de sécurité.

Pour plus d’informations sur les cookies utilisés, et sur la raison pour laquelle ils sont utilisés, veuillez consulter le tableau ci-dessous :

Dénomination du Cookies Objectif du cookies Durée
Google Analytics Suivi parcours patient anonymisé 2 ans
Facebook Pixel Analyse d’audience 3 mois
Intercom Aide en ligne / FAQ 9 mois

3. Comment bloquer les cookies ?

L’utilisateur des sites webs peut bloquer les cookies en activant un filtre sur son navigateur de son ordinateur ou ou de son smartphone ou tablette.

L’utilisateur pourra refuser tous les cookies ou seulement certains d’entre eux.

Toutefois, si l’utilisateur choisit de bloquer tous les cookies, certaines parties des sites Web pourraient devenir inaccessibles.

  • Sur l’ordinateur

L’utilisateur peut configurer son logiciel de navigation de manière à ce que :

  • les cookies soient enregistrés dans son ordinateur ou, au contraire, qu’ils soient rejetés systématiquement ou selon leur émetteur,

OU

  • l ‘acceptation ou le refus des cookies puisse être proposés ponctuellement, avant qu’un cookie soit susceptible d’être enregistré dans son terminal.

Pour la gestion des cookies et des choix, la configuration de chaque navigateur est différente. Elle est décrite dans le menu d’aide du navigateur :

  • Sur le smartphone

Pour la gestion des cookies et des choix, la configuration de chaque système d’exploitation est différente. Elle est décrite dans la documentation :

14. Les modifications de la politique de protection des données

La politique de protection des données est susceptible d’évoluer. En cas d’évolution des éléments mentionnés dans la politique de confidentialité, la politique sera modifiée et vous en serez informé, préalablement à la mise en œuvre des modifications qui pourraient impacter vos données à caractère personnel.

Le responsable de traitement ou toute autre personne chargée de cette communication s’efforcera alors de vous indiquer quels impacts impliqueront ces modifications.

15/04/2018

Le présent document a été validé préalablement à sa diffusion par le Délégué à la protection des données. Il fait l’objet d’une révision au minimum tous les ans.

  • 183 rue Saint Maur 75010 Paris
  • 0676497398
  • charles@charles.co

15. Questions et commentaires : qui contacter et comment ?

Merci d’avoir lu notre politique de protection des données. Si vous avez des questions, commentaires et préoccupations s’agissant de cette politique, contactez le délégué à la protection des données, joignable :

  • Par email : aurelien@derniercri.io
  • Par téléphone 03 39 82 00 37
  • Par courrier : Now Coworking, 40 Pl. du Théâtre, 59000 Lille