Politique Générale de Protection des Données à Caractère Personnel

Article 1. Contexte règlementaire

La protection des Données à Caractère Personnel (« DCP ») est une obligation qui s’inscrit dans un cadre juridique profondément renouvelé par le Règlement Général de Protection des Données « RGPD » entré en vigueur le 25 mai 2018 et complété par les dispositions suivantes :

  • La loi n° 2018- 493 du 20 juin 2018 relative à la protection des données à Caractère personnel
  • Le décret 2018-687 pris en application de la loi CNIL 3
  • Les Délibérations CNIL n° 2018-327 et 2018-328 du 11 octobre 2018 relatives aux analyses d’impact
  • L’ordonnance 2018-1125 du 12 décembre 2018.

Article 2. Objectifs

Ce règlement européen vient compléter et renforcer les obligations existantes sur le plan national :

Il conforte la place de l’individu au cœur du système juridique, technique et éthique de la protection des données en Europe et lui offre de nouveaux droits ou garanties pour lui permettre de mieux maîtriser le devenir de ses données.

Il place les entreprises traitant des DCP et leurs sous-traitants dans une logique de responsabilisation.

Il entérine la nécessité de tracer les actions et mesures de pilotage et de sécurisation des données personnelles et encadre les nouvelles pratiques technologiques (profilage, pseudonymisation).

Il étend le champ des échanges avec les autorités de contrôle, renforce le contrôle du régulateur et son pouvoir de sanction. Il autorise en outre les actions de groupe en réparation de dommage.

Article 3. Périmètre

Imhotep Digital Healthcare développe une activité de conception, d’édition et d’intégration de progiciels spécialement dédiés au secteur médical. La politique de protection des données s’applique à toutes personnes dont les DCP sont traitées par la société. Cette politique s’applique dans l’ensemble des implantations de Imhotep Digital Healthcare, ainsi qu’aux personnes travaillant à distance. Elle s’appliquera en tout lieu de travail ultérieur où Imhotep Digital Healthcare viendrait à exercer son activité.

Article 4. Principes fondamentaux de protection des Données à Caractère Personnel

Imhotep Digital Healthcare met en place un dispositif qui permet de s’assurer que les Données à Caractère Personnel sont :

  • Traitées de manière licite au sens de la loi, de façon loyale et transparente ;
  • Collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités.
  • Adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités (principe de minimisation) ;
  • Exactes et, si nécessaire, tenues à jour (exactitude) ;
  • Conservées sous une forme permettant l’identification des personnes concernées pendant une durée définie selon les finalités du traitement et effacées ou rendues anonymes au-delà de cette durée ;
  • Sécurisées et protégées contre l’accès et/ou le traitement non autorisé ou illicite, la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées permettant d’en assurer l’intégrité et la confidentialité.

Imhotep Digital Healthcare met en œuvre l’ensemble des actions qui permettent d’intégrer la protection des DCP par défaut (Privacy by Default) et dès la conception (Privacy by Design) de nouveaux projets, que ces derniers portent sur un processus, une organisation, un produit, un service ou un applicatif ou matériel du Système d’Information.

Pour chaque nouveau projet traitant ou impliquant le traitement de données à Caractère personnel, Imhotep Digital Healthcare met tout en œuvre pour assurer un niveau de protection approprié.

Imhotep Digital Healthcare met en place un processus qui permet d’analyser l’impact sur la vie privée de tout nouveau traitement de DCP ou toute modification de traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques concernées. Cette analyse d’impact comprend des analyses de risques sur la sécurité des systèmes d’information pour les traitements concernés et des analyses de risques des sous-traitants concernés.

Imhotep Digital Healthcare établit et met régulièrement à jour deux registres des traitements de DCP qui, le cas échéant, pourront être présentés à l’autorité de contrôle à sa demande.

  • Le premier regroupe des traitements mis en œuvre par Imhotep Digital Healthcare en tant que Responsable de Traitement, à l’égard des salariés, des clients et prospects;
  • L’autre concernant les logiciels pour lesquels Imhotep Digital Healthcare a la qualification de sous-traitant et recensant toutes les catégories d’activités de traitement effectuées pour le compte et sur instruction des clients.

Article 5. Quels sont les droits des utilisateurs en matière d'accès à leurs données personnelles et de contrôle de leur utilisation ?

Conformément à la législation en vigueur, les utilisateurs disposent d’un droit d’accès, de rectification et d’effacement de leurs données personnelles, ainsi que d’un droit à la limitation du traitement et à la portabilité de leurs données.

Les utilisateurs disposent également du droit d’opposition pour motif légitime au traitement de vos données par SynApp, ainsi que du droit d’introduire une réclamation auprès de la CNIL ou toute autre autorité de protection, s’ils estiment que le traitement de leurs données n’est pas effectué conformément aux dispositions applicables.

Ces droits s’exercent auprès de SynApp en adressant un e-mail à cette adresse dpo@synapp.eu

Afin que SynApp puisse satisfaire cette demande, les utilisateurs devront lui faire parvenir les éléments nécessaires à leurs identifications : nom, prénom, e-mail et éventuellement le numéro de téléphone utilisé lors de l’inscription.

Après la suppression d’une Information personnelle les concernant, SynApp ne sera pas en mesure de restaurer celle-ci. En outre, SynApp ne peut assurer qu’une telle suppression permettra de faire disparaître de manière exhaustive tout contenu ou Information personnelle qu’ils auraient pu rendre par ailleurs publics ou partager avec d’autres personnes utilisant les Services.

Article 6. Combien de temps conservons-nous les données personnelles ?

Les informations concernant les utilisateurs sont conservées pour une durée limitée à la réalisation de la finalité pour laquelle elles ont été collectées et tant que les utilisateurs n’exercent pas leurs droits tels que définis ci-dessous. Leurs Informations personnelles, les Données d’utilisation et Données de messagerie sont conservées pendant la durée nécessaire pour permettre l’utilisation des Services et l’interaction avec eux mais pas plus d’un an après la dernière activité détectée sur leurs comptes.

Nous sommes néanmoins susceptibles de conserver certaines de leurs données personnelles pour une durée plus longue, aux seules fins de se conformer à toute obligation légale, ou de répondre à toutes questions ou plaintes qui nous seraient adressées postérieurement à la cessation de l’utilisation des Services.

Article 7. Les données récoltées et comment nous les utilisons

Nous utilisons les informations que nous recueillons à des fins internes uniquement. Les utilisateurs fournissent manuellement certaines données personnelles lors de leur inscription à SynApp. Ces informations peuvent inclure, sans s'y limiter, leur nom, prénom, profession, spécialité, expertises médicales, langues parlées, année de diplôme, intitulé de la formation,  photo de profil, numéro de téléphone (utilisé pour l'identification), email (utilisé pour l'identification), ville et pays de résidence. Ces données sont collectées dans le but de faciliter l'interaction avec les autres utilisateurs .

SynApp permet, avec l'accord de l'utilisateur, d'accéder à son répertoire téléphonique pour rechercher et trouver d'autres membres de SynApp sans pour autant envoyer ou exploiter automatiquement ces contacts personnels.

Nous nous engageons à protéger la confidentialité et la sécurité de ces informations.

JAMAIS NOUS NE VENDRONS NI NE LOUERONS AUCUNE INFORMATION AU SUJET DE NOS UTILISATEURS. Nous ne divulguerons aucune information à des tiers sans le consentement des utilisateurs.

Article 8. Les Acteurs de la Protection des Données à Caractère Personnel

Imhotep Digital Healthcare met en œuvre un processus de Protection des Données à Caractère Personnel organisé autour du Délégué à la Protection des Données et impliquant les différents acteurs et fonctions de Imhotep Digital Healthcare en particulier :

  • Le CEO
  • La Direction du Développement,
  • Les Pôle Déploiement et Produits
  • La Direction Technique
  • La Direction des Services et RH ainsi que les Pôles Pédagogique, Conseil
  • Les Services Généraux
  • Le Pôle Internationalisation

Le délégué à la protection des données désigné par Imhotep Digital Healthcare peut être contacté à l’adresse email suivante :

dpo@synapp.eu

Le DPO est doté par Imhotep Digital Healthcare des moyens, ressources nécessaires pour exercer ses missions en toute indépendance.

Les missions du DPO au titre du pilotage et de l’animation du processus de protection des données sont :

  • Assurer le management global de la filière de protection des DCP et garantir la cohérence des dispositifs sur les différents services de Imhotep Digital Healthcare
  • Alerter la Direction Générale en cas de manquement ou de non-respect de la présente politique.
  • Définir et analyser les indicateurs de reporting et présenter ce reporting à la Direction Générale.
  • Définir un plan de contrôle permanent de la protection des DCP à appliquer.
  • Définir et mettre en place un plan de formation, de sensibilisation et de communication à destination de l’ensemble des salariés de Imhotep Digital Healthcare

Les missions du DPO en tant que Délégué à la protection des données sont :

  • Informer et conseiller le responsable de traitement, les sous-traitants et les collaborateurs qui procèdent aux traitements de DCP.
  • Vérifier la mise en œuvre de la présente politique.
  • Animer et coordonner les travaux relatifs à la protection des DCP dont notamment l’élaboration des Etudes d’Impacts sur la Vie Privée (PIA) et la tenue du registre des traitements.
  • Répondre aux réclamations et aux personnes concernées sur leurs demandes d’exercice de leurs droits.
  • Mettre en œuvre et consolider les dispositifs de suivi et de contrôle permanent de la protection des DCP.
  • Être le point de contact avec les autorités de contrôle en cas de notification ou de contrôle.
  • S’assurer de la bonne traçabilité des actions réalisées dans le cadre du management de la protection des DCP.
  • Veiller aux différentes évolutions réglementaires sur la protection des DCP et s’assurer de la mise en conformité avec la règlementation locale.

Article 9. Supprimer les comptes et les données personnelles

Les utilisateurs de SynApp ont le droit de demander la suppression de leurs données personnelles détenues par SynApp. Cette demande peut être effectuée en envoyant un e-mail à l'adresse suivante : dpo@synapp.eu. Afin que SynApp puisse satisfaire cette demande, les utilisateurs doivent fournir les éléments d'identification nécessaires, notamment leur nom, prénom, adresse e-mail et éventuellement le numéro de téléphone utilisé lors de l'inscription.

En plus du droit de suppression, les utilisateurs ont également le droit d'opposition pour motif légitime au traitement de leurs données par SynApp. Ils ont également le droit d'introduire une réclamation auprès de la CNIL ou toute autre autorité de protection si ils estiment que le traitement de leurs données n'est pas conforme aux dispositions applicables.

Article 10. Mise à jour et Communication de la Politique de Protection des Données à Caractère Personnel

Cette politique est revue a minima annuellement.

Elle s’articule avec les autres documents réalisés en interne : procédures, chartes ou autre support décrivant les modes opératoires à appliquer.

La dernière version de cette politique ainsi que des fiches thématiques régulièrement mises à jour vont être laissées en accès libre sur les logiciels, dans le module RGPD.

Elles concerneront, entre autres :

  • Télémaintenance
  • Gestion et Identification des Utilisateurs Client
  • Restitution des données : fiche descriptive plus formulaire de demande de restitution
  • Demande d’accès aux données : procédure et conseil avec modèle de registre (indicatif) pour tracer les demandes
  • Aide aux Etudes d’Impacts sur la Vie Privée (PIA)
  • Cartographie des données
  • Violation de données : Constitution et fonctionnement de la cellule de crise ; Procédure en cas de violation de données.
  • Etc …

Pour des raisons évidentes de confidentialité, les plans de reprise d’activité, de continuité d’activité ainsi que la description des mesures techniques de sécurité ne figureront pas en accès libre et pourront être obtenus sur demande auprès de : dpo@synapp.eu