Politique de confidentialité – Patients

1. Qui sommes nous ?

DALIA CARE est une Société par actions simplifiée, au capital de 13 000 euros, immatriculée au RCS sous le numéro 948977293948977293, dont le siège social est situé au 16 rue Eugène Varlin, 75010, PARIS, et dont le numéro de TVA intracommunautaire est FR30948977293.

DALIA propose un service de télésurveillance destiné aux professionnels de santé pour le suivi à distance de patients adultes souffrant de troubles dépressifs dans leur environnement clinique.

2. Pourquoi cette politique ?

Nous souhaitons vous informer des moyens mis en œuvre pour protéger vos données à caractère personnel traitées par DALIA sur sa Solution.

Cette Politique fait partie intégrante des Conditions Générales d’Utilisation de DALIA.

Cette Politique peut être révisée lorsque de nouvelles fonctionnalités ou activités sont ajoutées sur la Solution, lorsque les modalités de traitement des données personnelles sont modifiées, ou bien lorsque les lois et règlements évoluent en affectant l’activité et/ou les services proposés par DALIA.

En cas de révision de la présente Politique, DALIA s’engage à publier les modifications sur sa Solution et à mettre à jour la date de publication de ladite Politique.

Toute Politique révisée s’appliquera à la fois aux données personnelles faisant déjà l’objet d’un traitement au moment des modifications, et à toute autre donnée personnelle collectée et traitée après l’entrée en vigueur de la Politique révisée.

DALIA définit un numéro de version sur cette Politique comprenant le mois et l’année de sa dernière révision. DALIA encourage les Utilisateurs à consulter régulièrement cette Politique pour vérifier si des changements ont été apportés.

3. Définitions

“Loi informatique et libertés” : la Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles.

« Règlement” ou “RGPD” : le Règlement (UE) 2016/679 du Parlement Européen et du Conseil, du 27 Avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données) et abrogeant la Directive 95/46/CE.

“Responsable de traitement” désigne la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre.

“Sous-traitant” désigne la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

“Utilisateur” ou “Personne concernée” désigne tout titulaire de compte de la Solution dont les données personnelles sont traitées.

4. Rôles et Responsabilités de DALIA

Dans le cadre de ses activités, DALIA traite des données personnelles relatives à la personne concernée dans le respect des dispositions du RGPD et de la Loi informatique et libertés, notamment en matière de licéité, de transparence et de loyauté.

Origine et collecte des données concernées

Toutes les données concernant les personnes concernées sont collectées directement auprès de ces dernières par le biais de leur utilisation de la Solution et de l’Objet Connecté ou par l’intermédiaire de leur équipe soignante.

DALIA s’engage à informer toute personne concernée utilisatrice de la Solution des modalités de traitement de ses données personnelles et de ses droits en la matière.

Les données personnelles collectées sont utilisées dans le cadre des services fournis par DALIA. Elles sont utilisées afin d’assurer le bon fonctionnement de l’application Dalia, d’identifier les Utilisateurs, les contacter pour les besoins de la télésurveillance et transmettre les information nécessaire à leur équipe soignante.

DALIA s’engage à ne collecter et traiter que les données personnelles strictement nécessaires aux fins des traitements et des finalités déterminées, dans le respect du principe de minimisation des données.

5. DALIA en tant que Responsable de Traitement

A. Finalités des traitements

DALIA agit en tant que Responsable de Traitement dans le cadre de la création du compte de l’Utilisateur et de sa navigation sur la Solution, plus précisément pour les finalités suivantes :

création et edition du compte utilisateur
suivi de l’état de santé via la collecte de données physiologiques à partir de la montre connectée et les réponses aux questionnaires auto-administrés.
contact par le support utilisateur
notifier l’Utilisateur quant à ses actions à effectuer et aux information relative à sa prise en charge (éventuelles anomalies dans son parcours de soin ou de rappel d’action en attente dans le cadre de leur suivi en télésurveillance)
réaliser des enquêtes de suivi à des fins d’amélioration de la solution

À tout moment, l’Utilisateur peut exercer son droit d’opposition à recevoir ces enquêtes en adressant un email à : dpo@daliacare.com

Fondement juridique des traitements

Les traitements des données personnelles ont pour fondement juridique :

Les Conditions Générales d’Utilisation et la Politique de Confidentialité acceptées par les Utilisateurs lors de leur inscription sur l’Application / Solution ;
L’intérêt légitime de DALIA à proposer des enquête de satisfaction facultatives afin d’assurer une meilleure utilisation de ses services et à améliorer le fonctionnement de sa Solution et de ses services ;

B. Catégories de personnes concernées

Utilisateur patient de la Solution DALIA

C. Données personnelles traitées

données d’état civil : nom, prénom, email, n° de téléphone portable, date de naissance
données de connexion : adresse IP, identifiant, mot de passe de connexion
données de santé : pathologie, traitements en cours (description et posologie), date de la prochaine consultation, Questionnaire Dalia avec informations sur les symptômes, sur l’observance et sur les effets secondaires
Des données physiologiques (fréquence cardiaque, variabilité de la fréquence cardiaque, fréquence respiratoire, activité physique, sommeil)
Des informations sur les notifications remontées aux professionnels de santé : Etat de la notification (nouvelle, traitée, mise en veille…), action suite à la notification, commentaires du professionnel de santé sur la notification (champ libre)

6. Modalités et durée de conservation des données personnelles

A. Hébergement des données collectées sur notre Solution

Toutes les données personnelles collectées sur la Solution sont hébergées par AWS, hébergeur de données certifié HDS (Hébergeur Données de Santé). Les données sont hébergées sur des serveurs HDS d’AWS situés en Union Européenne.

B. Durée de conservation des données personnelles traitées

DALIA ne conserve les données à caractère personnel des Utilisateurs que pendant la durée nécessaire aux opérations pour lesquelles elles ont été collectées et dans le respect de la réglementation en vigueur.

Les données sont conservées pendant une durée limitée, proportionnée à leur finalité :

Télésurveillance : les données de santé sont conservées 24 mois après la fin du suivi, puis supprimées sauf obligation légale ou demande explicite de l’Utilisateur.
Essai clinique (MR-001) : les données pseudonymisées sont conservées jusqu’à publication des résultats ou 2 ans après le rapport final, puis supprimées ou archivées selon la réglementation en vigueur.
Étude sur donnée (MR-004) : les données pseudonymisées sont conservées jusqu’à publication des résultats ou 2 ans après le rapport final, puis supprimées ou archivées selon la réglementation en vigueur.

Les demandes de suppression anticipée sont traitées dans un délai de 30 jours.

7. Partage et communication des données personnelles

Dans la limite de leurs attributions respectives et pour les finalités rappelées ci-dessus, les principales personnes susceptibles d’avoir accès aux données personnelles collectées sur la Solution de DALIA sont principalement ses propres collaborateurs et prestataires.

Les données personnelles des personnes concernées ne sont pas transmises à des acteurs commerciaux ou publicitaires.

DALIA peut choisir de partager ou de transférer les informations personnelles de ses Utilisateurs comme décrit ci-dessous :

- DALIA peut divulguer les données personnelles de la personne concernée (a) pour se conformer à une obligation légale, une procédure judiciaire, une décision de justice ou un processus judiciaire signifié à DALIA, (b) dans le cadre d’une enquête judiciaire, (c) protéger ou défendre les droits ou la propriété de DALIA ou des Utilisateurs de la Solution, et/ou (d) d’enquêter ou d’aider à prévenir toute violation potentielle de la loi, de la présente Politique ou de nos Conditions générales d’utilisation ;
- DALIA peut partager tout ou partie des données personnelles de la personne concernée dans le cadre de toute opération de fusion, de financement, d’acquisition ou de dissolution ou de toute procédure impliquant la vente, le transfert, la cession ou la divulgation de tout ou partie de nos activités ou actifs. En cas d’insolvabilité, de faillite ou de mise sous séquestre, les renseignements personnels peuvent également être transférés à titre d’actif commercial. Si une autre entité acquiert DALIA ou ses actifs, cette entité possédera les informations personnelles collectées par DALIA et assumera les droits et obligations concernant vos informations personnelles comme décrit dans cette Politique ;
- DALIA peut partager tout ou partie des données personnelles de la personne concernée avec des entités appartenant ou associées à notre structure dans le respect de la loi et de la réglementation. Ces données personnelles ne peuvent être traitées que dans le but de réaliser les finalités décrites dans la présente Politique
- DALIA peut partager les données personnelles de la personne concernée avec des fournisseurs de services tiers, sous-traitants pour fournir les services proposés, effectuer des tests d’assurance qualité, fournir un soutien technique, et/ou pour fournir d’autres services (emailing, analyse d’audience) à DALIA. DALIA s’engage à exiger de ses sous-traitants un niveau de sécurité suffisant quant au traitement de données personnelles que ces derniers réalisent pour son compte. Si ces prestataires tiers utilisent des serveurs en dehors de l’Union Européenne, DALIA conclut avec elles des contrats spécifiques et des clauses contractuelles contraignantes établies par la Commission Européenne pour encadrer et sécuriser le transfert de telles données personnelles à ces prestataires. Dans ce cas, tous les tiers s’engagent à approuver et appliquer strictement cette Politique. Cette obligation est prévue dans les contrats qui lient ces tiers à DALIA conformément aux règles de protection des données personnelles.

8. Transferts de données hors UE

Dans le cadre du traitement de données à caractère personnel, le recours aux sous-traitants peut impliquer des transferts de données en dehors de l’Union européenne par le biais d’éventuelles maintenance réalisées à distance. Dalia n’envoie pas sciemment de données personnelles en dehors de l’UE.

Dès lors, nous veillons à assurer un niveau de protection des données à caractère personnel suffisant et approprié :

- - AWS : Dans le cadre du traitement de données effectué par [ST], les données à caractère personnel traitées bénéficient du nouveau cadre de protection des données Union européenne – États-Unis entré en vigueur le 10 juillet 2023 dénommé Data Privacy Framework.

9. Cookies

Un « cookie » est un petit fichier d’information envoyé sur l’application de l’Utilisateur et enregistré au sein du terminal de l’Utilisateur (ex : ordinateur, smartphone), (ci-après « Cookies »). Ce fichier comprend notamment des informations telles que le nom de domaine de l’Utilisateur, le fournisseur d’accès Internet de l’Utilisateur, le système d’exploitation de l’Utilisateur, ainsi que la date et l’heure d’accès. Les Cookies ne risquent en aucun cas d’endommager le terminal de l’Utilisateur.

Aucun cookie n’est déposé sur l’application patient.

10. Mesures de sécurité technique et organisationnelle

DALIA s’engage à protéger les données personnelles des utilisateurs avec la mise en place de mesures de sécurité techniques et organisationnelles visant à lutter contre la divulgation non autorisée, l’altération, l’utilisation ou la destruction des données personnelles traitées.

DALIA met en œuvre toutes les mesures à sa disposition pour créer un environnement permettant de préserver la qualité, la sécurité, la confidentialité et l’intégrité des données personnelles traitées.

DALIA utilise également des technologies raisonnables pour sécuriser le traitement des données personnelles traitées dans le cadre des finalités décrites dans la présente politique, notamment :

- 1. Gestion des accès ;
  2. Chiffrement SSL Let’s Encrypt (Secure Socket Layer);
  3. Évaluation régulière et amélioration de ses systèmes de technologie de l’information, de ses installations et des pratiques de collecte, de stockage et de traitement des données personnelles.
  4. Hébergement de données auprès de prestataires certifiés HDS conformément à l’article L.1111-8 du code de la santé publique.

Cependant, DALIA ne peut pas assurer ou garantir contre tous les risques en ce qui concerne la sécurité de ces données personnelles. DALIA ne garantit pas que ces données ne peuvent être consultées, divulguées, modifiées ou détruites en cas de violation de l’une de nos garanties en cas de manquement ou négligence de la part les utilisateurs de la Solution, en cas de défaillance de notre prestataire hébergeur de données, ou de l’un de nos sous-traitants.

11. Les droits des Utilisateurs

DALIA s’engage à garantir le respect des droits des Utilisateurs en matière de protection des données personnelles.

Conformément à la loi relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978 modifiée, ainsi qu’au règlement européen relatif à la protection des données personnelles du 27 avril 2016, sauf en cas de limitation, vos droits en matière de données sont les suivants :

- - Droit d’accès : le droit d’être informé et de demander l’accès aux données personnelles que DALIA traite ;
  - Droit de rectification : le droit de demander de modifier ou de mettre à jour les données personnelles lorsqu’elles sont inexactes ou incomplètes ;
  - Droit à l’effacement (droit à l’oubli) : le droit de demander de supprimer définitivement les données personnelles traitées pour les finalités décrites dans la présente politique ;
  - Droit à la limitation du traitement : le droit de demander d’arrêter temporairement ou définitivement le traitement de tout ou partie des données personnelles ;
  - Droit d’opposition : le droit de refuser à tout moment le traitement des données personnelles ;
  - Droit à la portabilité des données : le droit de demander une copie des données personnelles en format électronique et le droit de transmettre ces données personnelles pour une utilisation par un service tiers ;
  - Droit de ne pas être soumis à la prise de décision automatisée : le droit de ne pas être soumis à une décision basée uniquement sur la prise de décision automatisée, y compris le profilage, dans le cas où la décision aurait un effet juridique sur vous ou produirait un effet significatif similaire.

L’utilisateur peut également informer DALIA sur sa volonté de définir le sort de ses données personnelles après un décès. Dans un tel cas, DALIA s’engage à respecter les modalités de traitement de ces données personnelles dans la limite des obligations légales applicables. A défaut d’instructions précises de la part la personne concernée, DALIA s’engage à détruire les données personnelles concernées, sauf si leur conservation s’avère nécessaire à des fins probatoires ou pour répondre à une obligation légale.

12. Assistance et contact

Si vous avez des questions ou des réclamations concernant cette politique ou nos pratiques de collecte ou de traitement des données personnelles, si vous souhaitez exercer vos droits en matière de protection des données personnelles, ou si vous souhaitez nous signaler toute violation de sécurité, veuillez nous contacter par mail à dpo@daliacare.com ou par courrier DALIA CARE, Délégué à la protection des données, 16 rue Eugène Varlin, 75010, PARIS.

En cas de réclamation, vous pouvez choisir de saisir l’autorité de contrôle française en charge du respect des règles en matière de protection des données personnelles, la Commission Nationale de l’Informatique et des Libertés (CNIL) :

– Par courrier : 3 Place du Fontenoy TSA 80715, 75334 Paris, Cedex 07

– Par internet : https://www.cnil.fr/fr/plaintes/