Politique de Confidentialité CUREETY

Version	Date
1	Juin 2021
2	Octobre 2021
3	Septembre 2022

Introduction

Nous, La société Cureety, proposons un site internet et une solution logicielle : une application/web application, permettant la télésurveillance, le télésuivi médical de patients atteints de maladies chroniques, et dénommée Cureety (ci-après « la Plateforme » ou « CUREETY »).

Notre but est d’améliorer l’offre de soins pour les patients atteints de maladie chroniques. Ainsi, notre Plateforme est proposée à des Établissements de santé et leurs patients, afin d’assister les patients dans leur suivi sanitaire, d’améliorer leur suivi thérapeutique, leurs soins, et leur prise en charge. Afin également de prévenir des risques de santé futurs, et d’optimiser les parcours de santé.

Les utilisateurs de cette Plateforme sont les professionnels de santé chargés du suivi des patients et les patients eux-mêmes, acceptant les Conditions Générales d’utilisation (CGU) de la Plateforme.

La navigation sur notre site internet ou l’utilisation de la Plateforme implique la collecte, la transmission et/ou le stockage de vos données personnelles.

Or, nous attachons une importance particulière au respect de votre vie privée et la protection de vos données personnelles. Nous vous garantissons, à ce titre, le respect de la réglementation applicable en matière de protection des données personnelles et notamment les dispositions de la loi n°78-17 du 6 janvier 1978 dite « loi Informatique et Libertés » modifiée, et le Règlement UE 2016/679 du 27 avril 2016 : Règlement Général sur la Protection des Données dit « RGPD », regroupés dans le présent document sous le terme « Réglementation ».

Plus particulièrement, nous nous engageons à respecter les grands principes de la protection des données personnelles :

Les grands principes du RGPD

1. Principe de finalité déterminée, explicite et légitime (compatibles avec nos activités) : elles sont détaillées plus bas à travers des tableaux.
2. Principe de licéité : le traitement doit s’appuyer sur l’un des fondements juridiques autorisé par la Réglementation (votre consentement, nos intérêt légitimes, une obligation légale …).
3. Principe de loyauté et transparence : ce principe concerne les modalités selon lesquelles les données sont collectées et nous impose notamment que vous soyez informé préalablement de manière complète, claire et transparente sur le traitement de données (notamment ses objectifs, le caractère obligatoire ou non des informations, les destinataires de vos données, les droits dont vous disposez). Lorsque votre consentement est requis, nous devons nous assurer que ce dernier

est libre, spécifique, explicite, éclairé (avec une information préalable), et univoque (par une action positive de votre part, sans ambiguïté).

1. La pertinence et la minimisation : seules les données strictement nécessaires et utiles à nos objectifs sont traitées (principe de Privacy by Default est également ainsi respecté).
2. La limitation de la conservation : la durée de conservation de vos données est déterminée en fonction de nos objectifs. Une fois cet objectif atteint, et en tenant compte des obligations légales de conservation, vos données sont archivées, supprimées ou anonymisées.
3. La sécurité des données : afin de garantir l’intégrité et la confidentialité de vos données, nous et nos sous-traitants avons l’obligation de garantir un niveau de sécurité appropriée. Nous avons adapté notre niveau de sécurité aux traitements de données sensibles. Afin de respecter ce principe, préalablement à tout nouveau traitement présentant un risque pour vos droits, et afin de définir au mieux le niveau de sécurité adapté, nous réalisons les Analyses d’Impact relative à la protection des données nécessaires. Afin de garantir la confidentialité de vos données, nos collaborateurs ont accès aux seules informations nécessaires à leur activité, les données sensibles font l’objet de contrôles et accès spécifiques, notamment, vos données de santé sont confiées à un hébergeur de données de santé au sens de l’article L. 111-8 du Code de la Santé Publique.
4. Le respect de vos droits : vous disposez de droits du fait du traitement de vos données (décrits précisément à l’article 10 et nous devons garantir l’exercice de vos droits.
5. Privacy By Design : Les responsables de traitement et leurs sous-traitants doivent concevoir des outils et systèmes intégrant au sein de leurs fonctionnalités le respect de la protection des données, au stade de la conception et du développement : c’est le concept de Privacy by Design.

En tant que fabricant de solutions logicielles/applications dans le domaine de la santé, nous nous engageons, par ailleurs, à respecter les règles spécifiques relatives à ce secteur, et à mettre en œuvre toutes mesures favorisant l’éthique numérique.

Afin de veiller à la bonne application de ces règles, nous avons désigné un DPO certifié, votre point de contact en cas de demandes relatives à cette politique de confidentialité, et le relai privilégié de la CNIL (Commission National de l’Informatique et des Libertés).

Nous savons que la lecture de ce genre de document peut être fastidieuse mais nous vous invitons à le lire dans son INTEGRALITE.

Toutefois, pour plus de transparence et de compréhension voici ses éléments clés au travers de ce sommaire :

Introduction 2

Les grands principes du RGPD 2

Définitions 5

1. Quand la politique de confidentialité s’applique-t-elle ? 7
2. Qui est responsable du traitement de vos données ? 7
3. Pourquoi utilise-t-on vos données personnelles ? Et sur quelle justification légale nous basons-nous ? 8

Utilisateurs Patients de notre Plateforme : 8

Utilisateurs Praticiens de notre Plateforme : 9

Visiteurs du site internet, et finalités applicables à tous : 10

1. Quelles données personnelles utilisons-nous ? 11
2. Quand et comment recueillons-nous ces données ? 11
3. Qui en a connaissance ? 12

Utilisateurs Patients : 12

Utilisateurs Praticiens : 13

Visiteurs du site internet : 13

Partage de vos données à votre initiative : 14

1. Combien de temps conservons-nous vos données ? 14
2. Vos données font-elles l’objet de transferts hors Union Européenne ? 14
3. Nous utilisons des cookies….c’est quoi ? 15

Définition : 15

Les cookies que nous utilisons : 15

Les cookies tiers : 16

Paramétrer vos cookies par le biais de votre navigateur : 16

Outil d’analyse du tracking de votre navigation : 17

1. Quels sont vos droits et comment les exercer ? 17

Tableau droits RGPD 17

1. Quelles mesures de sécurité mettons-nous en œuvre pour protéger vos données ? 19
2. Le délégué à la protection des données (ou DPO) : c’est quoi ? C’est qui ? 20
3. Les modifications de la politique de protection des données 21

Définitions

Donnée à Caractère Personnel (DCP) ou Données Personnelles : toute information se rapportant à une personne physique identifiée ou identifiable directement ou indirectement notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Données de santé : “Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne ». Entrent dans cette notion les données de santé par nature, mais également celles qui, du fait de leur croisement/combinaison avec d’autres données, deviennent des données de santé en ce qu’elles permettent de tirer une conclusion sur la santé d’une personne, ou celles qui, du fait de leur destination, deviennent des données de santé (ex : photo d’un détail physique utilisée par un chirurgien pour faire une intervention). Cela comprend les informations sur la personne collectées donc les informations relatives à une personne physique collectées lors de son inscription en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services. Les données de santé bénéficient d’un régime de protection renforcé fondé sur un principe d’interdiction de collecte ou de traitement. Il est néanmoins possible de pallier cette interdiction pour un certain nombre d’exceptions prévues à l’article 9.2 du RGPD et à l’article 44 de la loi « Informatique et Libertés modifiée ».

Traitement de données à caractère personnel : L’opération ou un ensemble organisé d’opérations effectué sur des données à caractère personnel (collecte, structuration, conservation, modification, communication ).

Responsable de traitement : Celui qui définit le but du traitement de vos données, qui influe sur la finalité de traitement, celui qui définit la manière dont sera mis en œuvre le traitement des données à caractère personnel. Il détermine à quoi vont servir les données, quels outils vont être mis en œuvre pour les traiter, à quel moment agir sur les données etc…

Sous-traitant : Celui qui effectue des opérations sur les données pour le compte du responsable de traitement, il signe un contrat avec le responsable de traitement qui lui confie certaines tâches et qui s’assure qu’il dispose des garanties techniques et organisationnelles, lui permettant de traiter les données à caractère personnel qui lui sont confiées conformément à la règlementation.

Destinataire : Celui qui reçoit communication autorisée des données personnelles.

Délégué à la Protection des Données (DPD) : le délégué à la protection des données, souvent appelée DPO, est l’interlocuteur privilégié que vous devez contacter si vous voulez exercer vos droits ou pour toute question relative à la protection des données.

Plateforme ou CUREETY: désigne les Applicatifs (application et web-application), leurs contenus et les services proposés par la société Cureety aux Utilisateurs.

Utilisateur Patient : désigne tout Patient utilisant la Plateforme.

Utilisateur Praticien : désigne le Professionnel de Santé accédant à/utilisant la Plateforme. Plus spécifiquement : le médecin référent en charge du suivi du Patient (« praticien hospitalier »). Tout suivi, décision médicale ou acte médical étant assuré ou délivré au Patient hors du cadre de la Plateforme et de ses CGU. Ce terme désigne également le personnel soignant qualifié désigné, accédant à, et utilisant la Plateforme (« infirmier(ère) »).

Professionnels de Santé : désigne toute personne habilitée à exercer une profession de santé, au sens du Code de la Santé Publique, participant à la prise en charge du Patient.

Personne concernée : désigne la personne étant ou pouvant être identifiée dans le cadre des traitements de données réalisés par la société Cureety.

Établissement de Santé : désigne l’établissement de santé ayant souhaité soutenir l’activité de ses Professionnels de Santé en souscrivant à la Plateforme par le biais d’un contrat de partenariat avec La société Cureety.

Dispositif médical a.L5211-1 CSP : « tout instrument, appareil, équipement, matières, produit, à l’exception des produits d’origine humaine, ou autre utilisé seul ou en association, y compris les accessoires et logiciels nécessaires au bon fonctionnement de celui-ci, destiné par le fabricant à être utilisé chez l’homme à des fins médicales et dont l’action principale voulue n’est pas obtenue par des moyens pharmacologiques ou immunologiques ni par métabolisme, mais dont la fonction peut être assistée par de tels moyens. Constitue également un dispositif médical le logiciel destiné par le fabricant à être utilisé spécifiquement à des fins diagnostiques ou thérapeutiques. »

Télémédecine : Elle est définie à l’article L. 6316-1 CSP comme « une forme de pratique médicale à distance utilisant les technologies de l’information et de la communication. Elle met en rapport, entre eux ou avec un patient, un ou plusieurs professionnels de santé, parmi lesquels figure nécessairement un professionnel médical et, le cas échéant, d’autres professionnels apportant leurs soins au patient ».

Elle peut permettre : d’établir un diagnostic, d’assurer un suivi à visée préventive ou un suivi post-thérapeutique, requérir un avis spécialisé, préparer une décision thérapeutique, prescrire des actes ou des produits, interpréter à distance les données nécessaires à votre suivi médical, effectuer une surveillance de votre état de santé et plus

largement de prendre toutes décisions appropriées quant à votre prise en charge. La télésurveillance fait partie des 5 actes de télémédecine définis par la loi.

Quand la politique de confidentialité s’applique-t-elle ?

Cette politique de confidentialité s’applique dès lors que vous naviguez sur notre site internet, et accédez ou utilisez notre Plateforme.

L’accès à, et l’utilisation, de notre Plateforme est conditionnée à l’acceptation de nos CGU et de cette politique de confidentialité, portées à votre connaissance, lors de votre première connexion. Le consentement des Utilisateurs Patients au traitement de leurs Données de santé est recueilli juste après cette information, avant toute utilisation.

Qui est responsable du traitement de vos données ?

• • Lorsque vous naviguez sur notre site : Cureety est responsable du traitement de vos données collectées du fait de cette navigation.
  • Lorsque vous complétez l’un des formulaires disponibles sur notre site (formulaire de demande de démo ou formulaire de contact) : Cureety est responsable des données collectées.
  • Lorsque vous accédez ou utilisez la Plateforme Cureety : deux responsables de traitement interviennent.

Cureety : responsable du traitement des données personnelles des utilisateurs (praticiens et patients) au titre de l’utilisation de la Plateforme et ses Services, en exécution des CGU.

Professionnel de Santé/Établissement de Santé : responsable du traitement des données personnelles des patients dans le cadre de leur parcours de soins (décisions et actes médicaux).

Lorsque ces deux responsables décident ensemble des finalités et modalités de traitements, ils sont responsables conjoints. Ce qui peut être le cas pour certaines finalités comme la collecte des informations nécessaires à la surveillance et à une auto-évaluation (d’autant que l’Établissement de Santé peut décider de paramétrer les questions posées, les contenus des réponses automatisées et la fréquence des questionnaires, avec l’algorithme de Cureety). Ces modalités sont encadrées au sein d’un accord spécifique assurant le respect de tous les principes énoncés en introduction.

Nous sommes sous-traitants concernant les traitements de données suivants : dossier médical partagé dans l’espace sécurisé de la Plateforme, centralisation des éléments du DPI pour compléter le suivi médical des patients grâce à la Plateforme.

Lorsque la Plateforme est utilisée comme support numérique d’une Étude ou Recherche dans le domaine de la Santé : le responsable du traitement est le promoteur de la recherche (Médecin/Établissement de Santé ou Cureety).

• • Lorsque les données collectées dans le cadre de l’utilisation de la Plateforme sont réutilisées à des fins de recherche en santé : le responsable de traitement sera le promoteur de cette recherche.

Mais afin de mieux comprendre, nous allons vous détailler dans quel but nous utilisons vos données à l’article suivant.

Pourquoi utilise-t-on vos données personnelles ? Et sur quelle justification légale nous basons-nous ?

Une justification légale ? Oui…pour pouvoir traiter des données personnelles, il est obligatoire de se fonder sur une des raisons prévues par la loi, sur une « base juridique ». Sur quelle base juridique avons-nous choisi de traiter vos données, et pour quelle finalité, nous vous l’exposons dans le tableau ci-dessous.

Dans le cadre spécifique de l’accès ou de l’utilisation de la Plateforme Cureety :

Utilisateurs Patients de notre Plateforme :

Finalités de traitement	Sous-finalités	Base juridique
Mise à disposition d’une Plateforme de télésurveillance et de ses services (en exécution des CGU)	Collecte d’informations nécessaires ou utiles à une auto-évaluation et à une surveillance Évaluation par le biais d’algorithme de Cureety Délivrance d’informations de santé personnalisées automatisées Émission de notifications et relances par sms (option) Partage des données avec le Professionnel de Santé Amélioration de l’algorithme de Cureety et de sa supervision humaine, à partir des données collectées	Consentement (Données sensibles – Nécessaire pour fournir le service demandé) Voir notice information patient – consentement
Gestion des Utilisateurs Patients au titre de l’utilisation de la Plateforme (en exécution des CGU)	Création, mise à disposition et gestion d’un compte personnel Assistance technique Maintenance : notamment adresser des mises à jour et informations concernant l’utilisation de la Plateforme	Exécution contrat + Consentement données sensibles – nécessaire pour fournir le service demandé

Réalisation d’analyses et de statistiques ne permettant pas votre identification à partir des données d’utilisation de la Plateforme (dont des données de santé) : pour nos besoins propres ou ceux de nos partenaires, ou sur demande des autorités de santé (notamment dans le cadre de la surveillance des dispositifs médicaux).		(finalité compatible avec celle de mise à disposition de la Plateforme = même base juridique)
Conservation et/ou Réutilisation de données d’utilisation de la Plateforme à des fins scientifiques (recherches dans le domaine de la santé)	Études et Recherches dans le domaine de la Santé (données non- directement identifiantes) Mise à disposition de données non- directement identifiantes aux fins de réaliser des Études et Recherches ultérieures dans le domaine de la santé (éléments détaillés dans la notice d’information patient)	Consentement

Utilisateurs Praticiens de notre Plateforme :

Finalités de traitement	Sous-finalités	Responsabilité de traitement
Mise à disposition d’une Plateforme de télésurveillance et de services liés, en exécution des CGU et de dispositions contractuelles spécifiques (contrat de partenariat avec les Établissement de Santé)	Mise à disposition du suivi des patients et des actes de l’Utilisateur Praticien Notification d’alertes et rappels automatisées par notre algorithme (option) sur votre mail ou par sms Fourniture des services de la Plateforme : mise à disposition d’un espace partagé avec le patient (nous ne sommes pas responsables de traitements des documents échangés, informations qu’ils contiennent) interfaces de suivi des patients du service du Praticien, émission de rapports synthétisés concernant votre suivi de l’utilisateur Patient etc..	Exécution contractuelle
Gestion des Utilisateurs Praticiens au titre de leur utilisation de la Plateforme, conformément au CGU et contrat de partenariat avec les Établissement de santé	Mise à disposition et gestion de comptes personnels « praticiens » avec des droits d’accès variables Fourniture et gestion d’outils et services permettant la personnalisation du Compte Praticien Assistance technique	Exécution contractuelle

– Maintenance : notamment adresser des mises à jour et informations concernant l’utilisation de la Plateforme

Visiteurs du site internet, et finalités applicables à tous :

Finalités de traitement	Sous-finalités	Base juridique
Respecter de nos obligations légales :	Identification des utilisateurs de DM Hébergement données de santé	Obligation Légale de traçabilité DM Obligation de recourir à un hébergement de données de santé
Gestion du site internet	Administration technique en lien avec les prestataires	Intérêt légitime
	Gestion de la sécurité du site et de son bon fonctionnement
	Gestion des demandes et remarques relatives au site internet
Gestion commerciale du site internet	Gestion des demandes de contact par le formulaire de contact et échanges par mail	Consentement (matérialisé par votre demande)
	Mise en ligne et Gestion du formulaire de demande de démonstration
Mesures de l’audience et analyses de navigation visant à l’amélioration du Site, de ses fonctionnalités et dysfonctionnement		Consentement
Amélioration et développement de nos produits et services	Réalisation d’enquêtes de satisfaction/retours utilisateur	Intérêt légitime
	Réalisation de statistiques anonymes
Mise en œuvre des mesures nécessaires à la sécurité des données sur le site et sur la Plateforme, et à la sécurité de notre Système d’informations		Intérêt légitime
Protection contre l’utilisation abusive de nos formulaires web / contre le SPAM		Intérêt légitime
Gestion de nos Registres et procédures associées à la gestion de vos droits et la protection de vos données	Registres de traitements, Registre d’exercice des droits et procédure associée, registre des violations de données et procédure associée	Intérêt légitime
Gestion des réclamations, gestions des contentieux, exercice ou défense d’un droit en justice		Intérêt légitime

Quelles données personnelles utilisons-nous ?

Personnes concernées			Catégorie de données personnelles	Détails
Utilisateur Patient	Utilisateur Praticien	Visiteur site
x	x	x	Données d’identification	Nom*, Prénom*, date de naissance(utilisateur Patient), coordonnées (adresse mail*, N°téléphone), rôle de l’utilisateur. Les coordonnées d’un aidant peuvent également être collectées (s’il y a consenti).
x			Données relatives à la vie personnelles	Réponses aux questionnaires : Habitudes de vie
x			Données relatives à la santé	Taille, poids, pathologie, stade de maladie le cas échéant, traitement en cours/posologie, réponses aux questionnaires : nature et nombres des effets secondaires observés (listés ou libres), taux d’observance
	x		Données relatives à la vie professionnelle	Établissement de travail, poste (données collectées également pour les visiteurs complétant le formulaire de demande de démo), spécialité, service, n°RPPS
x	x	x	Données de connexions	Adresse IP, journaux de connexion
x	x	x	Données relatives au contrat ou nécessaire à la « relation client »	Renseignements : contenus dans les demandes de démo ou de contact Correspondances avec les utilisateurs dans le cadre de l’exécution du contrat Activation des options de la Plateforme

Quand et comment recueillons-nous ces données ?

Vos données personnelles sont recueillies :

• • Lors de la création de vos comptes utilisateurs
  • Lors de votre connexion à la Plateforme
  • Lors de votre navigation sur/ et utilisation de la Plateforme
  • Lors de votre navigation sur notre Site
  • Lorsque vous souhaitez échanger avec nos services : assistance par téléphone ou mail
  • Lorsque vous interagissez avec nous, notamment sur nos pages de réseaux sociaux.

Ces données personnelles peuvent être collectées directement auprès de vous, ou indirectement :

• • par le biais de l’utilisateur Praticien des utilisateurs Patients, afin de réaliser leur inscription sur la Plateforme (après vous avoir informé et obtenu votre consentement) : données d’identification, données relatives à la santé.
  • par le biais du Praticien Administrateur afin de réaliser l’inscription des utilisateurs Praticiens de son Établissement : données d’identification, données relatives à la vie professionnelle.
  • Par le biais des Professionnels de santé de l’équipe de soins du Praticien ayant accès à la Plateforme, sous la responsabilité du Praticien Administrateur : afin de référencer les Praticiens impliqués dans le suivi de l’utilisateur Patient.
  • Par le biais de l’utilisateur Patient : afin de transmettre les coordonnées d’un aidant, si ce dernier y consent.

Les moyens de collecte de vos données personnelles peuvent donc être :

• • Téléphone
  • Mail
  • Application / web application
  • Site internet – ses formulaires
  • Formulaire papier
  • Nos pages de réseaux sociaux

Qui en a connaissance ?

Utilisateurs Patients :

• • L’Utilisateur Praticien en charge de votre suivi médical, et son équipe de soins sont destinataires des données relatives à la santé collectées par le biais de la Plateforme avec votre consentement.
  • Nos services internes (personnels habilités : seules personnes ayant besoin de connaître des données dans le cadre de leurs missions. Notamment : Admin Cureety, Service support/assistance).
  • En cas d’Études et recherches dans le domaine de la santé, dans le respect des formalités requises par la CNIL : l’équipe de recherche clinique ; le promoteur accède à vos données non-directement identifiantes.
  • Nos sous-traitants intervenant dans le traitement des données (notamment : éditeur du site, hébergeur, infogérance, outil de mesure d’audience) dans le cadre

strict de leurs missions et conformément aux exigences du RGPD, notamment en matière de sécurité et de confidentialité.

À ce titre nous précisons que nous avons choisi, en tant que société d’hébergement de données de santé et d’Infogérance certifiée HDS :

AZNETWORK

40, rue Ampère, 61000 ALENCON FRANCE

Contact : 02.33.32.12.47

• • Les autorités publiques compétentes, conformément à la réglementation, en cas de demande (mise à disposition, le cas échéant).

Utilisateurs Praticiens :

• • Les Utilisateurs Patients (nom du Praticien/infirmière, service, Établissement de rattachement)
  • Les autres utilisateurs de la Plateforme membre de l’équipe de soins ou administrative de l’Utilisateur Praticien
  • L’administrateur Praticien
  • Nos services internes (personnels habilités : seules personnes ayant besoin de connaître des données dans le cadre de leurs missions. Notamment : Admin Cureety, Service support/assistance).
  • Nos sous-traitants intervenant dans le traitement des données (notamment : éditeur du site, hébergeur, outil de mesure d’audience et de rapport de dysfonctionnement) dans le cadre strict de leurs missions et conformément aux exigences du RGPD, notamment en matière de sécurité et de confidentialité. À ce titre nous précisons que l’hébergeur de données de santé certifié que nous avons choisi est le suivant :
  • Les autorités publiques compétentes, conformément à la réglementation, en cas de demande (mise à disposition, le cas échéant).

Visiteurs du site internet :

• • Nos services internes (personnels habilités : seules personnes ayant besoin de connaître des données dans le cadre de leurs missions).
  • Nos sous-traitants intervenant dans le traitement des données (notamment : éditeur du site, hébergeur, outil de mesure d’audience et de rapport de dysfonctionnement) dans le cadre strict de leurs missions et conformément aux exigences du RGPD, notamment en matière de sécurité et de confidentialité.
  • Les autorités publiques compétentes, conformément à la réglementation, en cas de demande (mise à disposition, le cas échéant)

Partage de vos données à votre initiative :

Nous vous invitons à ne pas partager vos données personnelles collectées par le biais de la Plateforme qu’avec des personnes de confiance.

En tant qu’utilisateur de la Plateforme, vous pouvez faire le choix de recourir à des services tiers que nous proposons : le recours à la téléconsultation, la mise en relation avec des professionnels de santé pouvant participer à votre prise en charge (infirmier/ère libéral(e) – thérapeute libéral etc…). Dans ce cadre, le partage de vos données personnelles avec ses services intervient à votre initiative. Les données personnelles collectées par la Plateforme transmises à votre initiative ne font l’objet d’aucune correction ou modification et nous n’intervenons pas dans leur traitement ultérieur. Nous sommes uniquement responsables de leur transmission sécurisée et fiable au service tiers, auquel vous avez choisi de recourir.

Combien de temps conservons-nous vos données ?

Nous nous engageons à utiliser et conserver vos données pendant la durée strictement nécessaire à la réalisation des finalités pour lesquelles elles sont collectées et traitées (article 3 de la présente Politique). Afin de définir ces durées, nous nous référons aux dispositions légales en vigueur, aux éventuels délais de prescription, et aux recommandations/référentiels de la CNIL.

A titre d’exemple, nous conservons :

• • Les données de connexion : pendant 12 mois
  • Données relatives à l’exercice de l’un de vos droits cités à l’article 10 de la présente politique : 6 ans à compter de l’expiration du délai de réponse.
  • Données relatives au contrat : durée de la relation contractuelle, puis 5 ans à compter de la fin du contrat à des fins probatoire ou au titre d’une obligation légale
  • Données nécessaires à la fourniture du service de télésurveillance : à compter de la clôture du compte utilisateur, vos données sont archivées pendant 10 ans, puis elles sont anonymisées.

Vos données font-elles l’objet de transferts hors Union Européenne ?

Les données que nous collectons sont hébergées en France, et nous ne transférons aucune donnée à caractère personnel, hors du territoire de l’Union Européenne dans le cadre de

nos activités de fabricant de solutions logicielles/applications dans le domaine de la santé (dispositif médical).

Toutefois, dans le cadre de la gestion de vos demandes de contact (ReCAPTCHA) et de la réalisation de statistiques/mesures d’audience relatives à notre site internet et notre Plateforme (Google Analytics, Amplitude), des cookies peuvent être déposés, et des informations utilisées, avec votre consentement, par ces sous-traitants, situés aux États Unis. Il s’agit de transfert dans un pays tiers ne présentant pas le même niveau de protection des données que celui de l’Union Européenne. Ce pays est susceptible de ne pas disposer d’une autorité de contrôle, de principes de traitement de données ou de droits des personnes concernées adéquat. Il n’y a aucune garantie de pouvoir exercer vos droits de protection sur ces données et notamment le retrait de votre consentement, le cas échéant.

Ces transferts hors Union Européenne sont effectués sous la surveillance de notre Délégué à la Protection des Données (DPO), qui s’assure de leur légalité, notamment en analysant au préalable les risques sur vos droits, et en examinant les garanties appropriées proposées par les sous-traitants, et les mesures à mettre en œuvre afin d’assurer un niveau de protection adéquat et suffisant en matière de sécurité et confidentialité des données, conformément aux exigences du RGPD et de la loi Informatique et Libertés.

Nous utilisons des cookies….c’est quoi ?

Définition :

Un cookie est un traceur constitué par une suite d’informations/fichiers de petite taille, pouvant être placés sur votre terminal et/ou lus lors de la consultation d’un site, d’une application mobile ou de l’installation d’un logiciel.

Les données obtenues par le biais de ces traceurs peuvent permettre à leur émetteur d’effectuer un suivi et un contrôle de votre navigation : pages visitées, durée de la visite, navigateur utilisé, fréquence des visites, opérateur ou type de terminal à partir duquel la visite est effectuée, localisation (lorsque votre adresse IP est collectée de façon complète par ces émetteurs) etc…

Les cookies que nous utilisons :

Les cookies utilisés par Cureety sont soit nécessaires au bon fonctionnement du Site, soit nécessaires à la fourniture du service demandé par les utilisateurs, soit nous sont utiles pour mesurer l’audience et analyser la navigation sur notre site et notre Plateforme.

Ils sont utilisés afin de :

• Assurer la qualité et la sécurité de la navigation sur le Site
• Assurer l’authentification
• Réaliser des statistiques de fréquentation et de performance répondant à une finalité de bon fonctionnement et d’amélioration de nos produits et services.

Les cookies que nous utilisons ne permettent pas le suivi global de votre navigation, ne permettent pas une identification directe des utilisateurs, et les statistiques réalisées sont anonymes.

Conformément à la réglementation en vigueur, l’utilisation de certains de nos cookies requiert votre consentement (mesure d’audience). Concernant nos autres cookies, ne nécessitant pas de consentement, vous avez la possibilité de vous opposer à ceux qui ne sont pas strictement nécessaires (en décochant la case correspondante). Vous avez également la possibilité, au sein de notre bandeau de cookies d’accepter le dépôt de tous les cookies, ou de tous les refuser.

Les cookies tiers :

Cureety est présent sur différents médias sociaux (LinkedIn et Twitter) gérés par des tiers. Lorsque vous visitez ces médias tiers, par le biais de notre Site (boutons sociaux présents sur notre Site), des cookies peuvent être installés sur votre terminal, notamment à des fins de personnalisation publicitaire.

Pour plus d’informations concernant ces cookies tiers, nous vous invitons à consulter les politiques de confidentialité et d’utilisation des cookies qui leur sont applicables :

• Twitter : https://help.twitter.com/fr/rules-and-policies/twitter-cookies#
• LinkedIn : https://fr.linkedin.com/legal/cookie-policy

Vous avez également la possibilité de partager du contenu depuis notre Site sur d’autres sites tiers ou réseaux sociaux. Cette action nécessite l’usage de cookies de la part de ces sites tiers ou réseaux sociaux, dont certains requiert votre consentement.

Par ailleurs, nous utilisons Google Analytics sur notre Site afin de réaliser les statistiques visées ci-avant. Votre adresse IP complète n’est pas collectée. Les données transmises à ce sous-traitant ne sont donc pas directement identifiantes. Toutefois cet outil utilise d’autre cookies afin de procéder à des analyses pour le compte de Google. Nous vous invitons à prendre connaissance de leur politique d’utilisation des cookies : https://support.google.com/analytics/answer/6004245?hl=fr

Enfin, nous utilisons l’outil ReCAPTCHA de Google pour les formulaires de contact sur notre Site, afin d’éviter toute malveillance effectuée par des « robots ». Toutefois, cet outil dépose des traceurs et permet la collecte d’informations matérielles et logicielles par Google, pour la réalisation de finalités qui lui sont propres, et ayant un impact sur les données personnelles des utilisateurs. L’utilisation de cet outil requiert votre consentement. Pour plus d’informations à ce sujet, nous vous invitons à consulter la politique de confidentialité de Google : https://policies.google.com/privacy, et les fonctionnalités de cet outil : https://www.google.com/recaptcha/about/.

Paramétrer vos cookies par le biais de votre navigateur :

A titre d’information, vous pouvez contrôler les cookies grâce aux paramètres de votre navigateur. Vous avez, notamment la possibilité de choisir d’accepter tous les cookies, de les rejeter systématiquement, ou de choisir ceux que vous acceptez en fonction de leur émetteur. Vous pouvez également refuser ou accepter les cookies au cas par cas,

préalablement à leur installation, et supprimer les cookies de votre terminal de façon ponctuelle ou régulière.

Pour ce faire, nous vous invitons à suivre les instructions de ces navigateurs :

• Firefox :https://support.mozilla.org/fr/kb/protection-renforcee-contre-pistage- firefox-ordinateur?redirectslug=autoriser-bloquer-cookies-preferences- sites&redirectlocale=fr
• Google Chrome : https://support.google.com/accounts/answer/61416?hl=fr
• Internet Explorer : https://support.microsoft.com/fr-fr/topic/supprimer-et- gérer-les-cookies-168dab11-0753-043d-7c16-ede5947fc64d#ie=ie-11
• Safari : https://support.apple.com/fr-fr/guide/safari/sfri11471/mac

Outil d’analyse du tracking de votre navigation :

A titre d’information également, nous souhaitons vous indiquer que la CNIL met à votre disposition un outil permettant de visualiser et mesurer l’impact des cookies et traceurs lors de votre navigation sur Internet. Vous pouvez le télécharger gratuitement grâce au lien ci-dessous :

https://github.com/LINCnil/CookieViz/releases/tag/2.0

Quels sont vos droits et comment les exercer ?

Conformément à la Réglementation, vous bénéficiez de droits vous permettant de contrôler et d’agir sur vos données personnelles.

Ces droits varient en fonction de la base juridique retenue pour traiter les données (et nous vous exposons ces bases juridiques au sein de l’article 3 de la présente Politique).

Voici un tableau récapitulatif de vos droits et leur contenu, en fonction des bases juridiques de traitement :

Tableau droits RGPD	Consentement	Exécution contractue lle	Intérêt légitime	Obligation légale
Droit d’accès : droit d’obtenir les informations listées à l’art.15 RGPD et une copie des données faisant l’objet d’un traitement	X	X	X	X
Droit de rectification : rectifier vos données inexactes ou incomplètes que vous ne pourriez mettre à jour vous-même (art.16 RGPD)	X	X	X	X
Droit à l’effacement/l’oubli: données inexactes, incomplètes, équivoques, périmées ou dont la collecte/l’utilisation n’est pas ou plus licite (art. 17 RGPD)	X	X	X

Droit d’opposition : s’opposer au traitement de vos données dans les conditions prévues à l’art.21 RGPD			X
Droit de retirer votre consentement (art. 13-2c RGPD) : à tout moment (pour l’avenir)	X
Droit à la limitation : droit de demander le gel temporaire de vos données (réalisation d’un marquage en vue de limiter leur traitement futur), dans les 4 cas prévus par l’art. 18 RGPD	X (sauf réception de notifications, mesures d’audience)	X	X	X
Droit à la portabilité (art.20 RGPD) : droit de nous demander une partie de vos données (collectées de façon directe, traitées de façon automatisée, dans la mesures où cela ne porte pas atteinte aux droits d’un tiers si leurs données sont comprises) dans un format ouvert et lisible par machine	X	X

Vous disposez également :

• • du droit de ne pas faire l’objet d’une décision automatisée : en exécution de nos CGU, notre Plateforme réalise des évaluations par le biais d’algorithmes, entraînant la délivrance d’informations de santé personnalisées et d’alertes automatisées.

Ex : en fonction des réponses aux questionnaires des utilisateurs Patients, il va définir un niveau de gravité et générer une information/une alerte.

Ce traitement de données automatisé fait l’objet d’un encadrement spécifique par l’article 22-3 et -4 du RGPD,. Dans le cadre de notre Plateforme, ce traitement est basé soit sur l’exécution contractuelle, soit sur votre consentement (utilisateurs patients) car ils traitent vos données de santé. Le traitement par cet algorithme est constitutif du service que nous vous fournissons.

Notre algorithme est un dispositif médical, ayant obtenu le marquage CE. Cet algorithme est basé sur des critères objectifs spécifiques au domaine de la pathologie de l’utilisateur patient et a été défini avec le comité scientifique de Cureety (dont des professionnels de santé). Il a fait l’objet d’un audit dans le cadre de la procédure de marquage CE. Ses paramètres peuvent être modifiés par les Praticiens et les résultats du traitement de données réalisé par cet algorithme est accessible par l’utilisateur Praticien. Enfin, nous assurons la traçabilité des actions de traitement réalisées par cet algorithme et des données utilisées.

Vous avez le droit d’exprimer votre point de vue vis-à-vis de la décision produite par cet algorithme et le droit de contester cette décision auprès de nos services.

Ces mesures permettent de vous garantir un niveau de supervision humaine conforme aux dispositions légales en vigueur.

• • droit de droit de définir le sort de vos données post-mortem et de choisir que nous communiquions (ou non) vos données à un tiers que vous aurez préalablement désigné. En cas de décès et à défaut d’instructions de votre part, nous nous engageons à détruire vos données, sauf si leur conservation s’avère nécessaire à des fins probatoires ou pour répondre à une obligation légale.
  • Du droit d’introduire une réclamation auprès de la CNIL (art. 77 RGPD) : dont voici les coordonnées : 01 53 73 22 22 / CNIL – 3 place de Fontenoy, TSA 80715,

75334 Paris cedex 07.

Vous pouvez exercer ces droits ou poser toute question relative au traitement de vos données personnelles, en contactant notre Délégué à la Protection des Données (DPO) par courrier électronique à l’adresse : dpo@cureety.com, ou par courrier postale à l’adresse suivante :

en indiquant :

CUREETY SAS DPO

33, rue de l’Amirauté 22100 DINAN – France

• • Vos coordonnées (nom, prénom, adresse)
  • L’exposition d’un motif propre à votre situation particulière lorsque celui-ci est exigé par la loi (notamment en cas d’opposition au traitement fondé sur l’intérêt légitime, sauf prospection commerciale)
  • L’indication du fondement légal en cas d’exercice du droit à l’effacement.

La copie de votre pièce d’identité pourra vous être demandée afin de nous assurer de votre identité et sera conservée le temps nécessaire à la vérification ou au respect d’une obligation légale.

Nous donnerons suite aux demandes effectuées, dans un délai d’un (1) mois à compter de la réception d’une demande complète.

Pour mieux connaître vos droits, vous pouvez également consulter le site de la Commission Nationale de l’Informatique et des Libertés, accessible à l’adresse suivante : http://cnil.fr.

Quelles mesures de sécurité mettons-nous en œuvre pour protéger vos données ?

La sécurité des données porte sur les mesures prises afin de protéger vos données des faits suivants :

• Altération
• Destruction
• Perte
• Divulgation ou accès non-autorisés

Afin de garantir cela, nous devons mettre en œuvre les mesures techniques, juridiques et organisationnelles appropriées compte tenu de l’état des connaissances, des coûts, de la nature, de la portée, du contexte et des finalités des traitements afin de garantir un niveau de sécurité adapté aux risques, et ce, dès la conception.

A cet effet, nous avons notamment mis en œuvre :

• Désignation d’un délégué à la protection des données (DPO)
• Réalisation d’analyses d’impact relative à la vie privée
• Hébergement des données chez un hébergeur certifié données de santé
• Pseudonymisation et anonymisation
• Chiffrement
• Procédures internes garantissant la confidentialité : clause au sein des contrats, cloisonnement des accès
• Procédés d’authentification avec accès nominatif et sécurisé
• Procédure la confidentialité, l’intégrité, la disponibilité et la résilience de nos systèmes d’information (notamment : processus de sauvegardes des données et de l’infrastructure quotidiennes, bases de données dupliquées dans plusieurs systèmes, ressources réparties géographiquement, stockage sécurisé (physique : alarmes, alimentation sans coupure, climatisation, et logique : firewall, antivirus) redondance intégrée avec SLA = 99,9%)

Le délégué à la protection des données (ou DPO) : c’est quoi ? C’est qui ?

Le délégué à la protection des données est désigné afin de veiller au respect de la Règlementation en matière de protection des données, et donc des règles décrites au sein de la présente Politique.

Conformément à l’article 39 du RGPD, il veille notamment :

• à informer et conseiller le Responsable de traitement (RT) ;
• à s’assurer de la conformité des pratiques du RT avec la règlementation et ses évolutions ;
• à sensibiliser l’ensemble des équipes à la Réglementation et aux bonnes pratiques en matière de protection des données à caractère personnel ;
• à vérifier l’exercice effectif des droits des personnes concernées ;
• à coopérer avec la CNIL (et être son point de contact).

Notre DPO est la société Data need Advice, joignable

• à l’adresse mail : dpo@cureety.com,
• ou à l’adresse :

CUREETY SAS DPO

33, rue de l’Amirauté 22100 DINAN – France

Les modifications de la politique de protection des données

La présente Politique de protection des données a été validée préalablement à sa diffusion par notre DPO.

Elle fait l’objet d’une révision au minimum tous les ans, ou lorsque des modifications importantes des traitements de données personnelles sont effectuées.

À ce titre, nous nous réservons le droit d’adapter et modifier la présente Politique, et vous invitons à la consulter régulièrement.

En cas d’évolution ou modifications importantes de cette Politique, nous nous engageons à vous informer préalablement à la mise en œuvre des modifications qui pourraient impacter le traitement de vos données personnelles.

Nous nous engageons à indiquer clairement et visiblement la date de mise à jour et l’identification de la dernière version de la présente Politique.