PRÉAMBULE

La présente politique de confidentialité a pour but d’informer les internautes de la manière dont GPR respecte et applique le cadre national et européen de protection des données. Elle couvre également les données fournies par les Utilisateurs du Site. Elle vous informe :

  • Sur la manière dont sont collectées les données personnelles des Utilisateurs et peuvent être saisies des données de santé de patients sur le Site. Est considérée comme une donnée personnelle, toute information permettant d’identifier un utilisateur ; est donnée de santé toute donnée personnelle à caractère médical ;
  • Sur les droits dont les personnes concernées disposent s’agissant de leurs données ;
  • Sur les personnes responsables du traitement des données à caractère personnel collectées et traitées ;
  • Sur les destinataires de ces données personnelles ;
  • Sur l’hébergement des données personnelles.

Cette politique complète les mentions légales et les Conditions Générales d’Utilisation auxquelles elle est adossée, et notamment son article 6.

GPR a désigné un Délégué à la protection des données (« DPO ») qui est votre point de contact pour toutes questions ou demandes en lien avec le traitement de vos données. Vous trouverez les coordonnées du DPO ci-dessous dans l’article 3.3 « Délégué à la Protection des données ».

ARTICLE 1 : PRINCIPES RELATIFS À LA COLLECTE ET AU TRAITEMENT DES DONNÉES PERSONNELLES

Conformément à l’article 5 du Règlement européen no2016/679 (ci-après « RGPD »), les données à caractère personnel collectées par GPR sont :

  • Traitées de manière licite, loyale et transparente envers la personne concernée ;
  • Collectées pour des finalités déterminées (cf. Article 2.1 des présentes), explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ;
  • Adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ;
  • Exactes et, si nécessaire, tenues à jour. GPR et l’Utilisateur s’engagent à accomplir toutes les mesures raisonnables pour que les données personnelles qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder ;
  • Conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;
  • Traitées de façon à garantir une sécurité appropriée des données collectées, y compris la protection contre le traitement non autorisé ou illicite, contre le détournement de finalité et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures humaines, techniques ou organisationnelles appropriées.

Conformément aux articles 4, 9 §2 et 87 du RGPD, 65 de la loi française no78/17 du 6 janvier 1978, et 3 de la loi française no 2002-303 du 4 mars 2022, les données de santé sont des données à caractère personnel qui sont :

  • Relatives à une personne prise en charge par un Professionnel de Santé, un établissement ou un service, un professionnel ou organisme concourant à la prévention ou aux soins dont les conditions d’exercice ou les activités sont réglementées, ou par un service de santé des armées, ou encore par un professionnel ou un établissement du secteur social ou médico-social ;
  • Inscrites dans différentes investigations, traitements ou actions de prévention proposées, leur urgence éventuelle, leurs conséquences, les risques fréquents ou graves normalement prévisibles qu’ils comportent, ainsi que sur les autres solutions possibles et sur les conséquences prévisibles en cas de refus ;
  • Hébergées sur des serveurs dûment habilités à les détenir, par choix du Professionnel de Santé, de l’établissement ou du service ;

Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

  • La personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ou, si son consentement ne peut être recueilli, le traitement est nécessaire à la préservation de la santé physique et/ou mentale de la personne ;
  • Le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
  • Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
  • Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
  • Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est une personne particulièrement vulnérable (enfant, personne âgée, personne en situation de handicap, …).

ARTICLE 2 : DONNÉES À CARACTÈRE PERSONNEL COLLECTÉES ET TRAITÉES DANS LE CADRE DE L’UTILISATION DU SERVICE

Article 2.1 : Données collectées lors de la navigation sur le site

Lorsque vous naviguez sur notre Site, vous fournissez des informations personnelles susceptibles d’être enregistrées par GPR. Cette navigation sur le Site ne collecte par elle-même aucune donnée de santé, conformément à l’art. 9 §1 RGPD.

Les données identifiantes collectées sont notamment : les données d’identification nécessaires à la création d’un Compte tels que nom, prénom, adresse électronique, adresse postale.

Nous collectons ces données pour les finalités suivantes :  la gestion des services offerts aux internautes et l’optimisation du site, l’implémentation d’un service de support aux utilisateurs, la vérification, l’identification et l’authentification des données transmises par l’internaute, la personnalisation des services par l’affichage de publicités ciblées en fonction de l’historique de navigation de l’internaute et de ses préférences propres, la prévention et la détection des actions frauduleuses ou malveillantes, la lutte contre les malwares, la cybersécurité et la gestion des incidents informatiques éventuels, la protection des droits des tiers et l’envoi éventuels d’informations commerciales et publicitaires, en accord avec les préférences des utilisateurs.

Pour faciliter la collecte de ces données, GPR utilise des Cookies. Vous pouvez gérer l’utilisation de ces Cookies ou vous opposez à leur installation dans l’espace dédié.

Article 2.2 : Données collectées lors de l’utilisation du Site

Les Données Personnelles collectées dans le cadre de l’utilisation du service du site GPR sont les suivantes :

  • Tout élément permettant l’authentification de l’Utilisateur : Nom, prénom, statut, date de naissance, adresse électronique, numéro de téléphone, adresse professionnelle, profession, spécialité médicale, domaine/secteur d’activité médical, numéro RPPS ou justificatif professionnel, données de facturation, données de journalisation ;
  • Toute donnée personnelle contextualisée telle que les données de recherche d’information sur le site, recherches par Médicament(s), liste de Médicaments ou effets rénaux : date de l’estimation et Utilisateur ayant réalisé l’estimation, données saisies par l’Utilisateur (âge, sexe, origine ethnique, poids, taille, créatininémie), réponses du Site en retour (surface corporelle & IMC, estimation de la Clairance de la créatinine, estimation du Débit de Filtration Glomérulaire), DCI recherché et/ou nom commercial recherché, état du patient (Non dialysé avec DFG, en hémodialyse, en dialyse péritonéale continue ambulatoire, HVVC/HDVVC/HDFVVC), indication et/ou voie d’administration ;
  • Toute donnée identifiante requise pour le fonctionnement du site, et notamment les journaux de logs et de connexion, et d’historique ;

La collecte et le traitement de ces données répond aux finalités suivantes :

  • Gestion du Compte ;
  • Gestion des Abonnements ;
  • Gestion de la facturation ;
  • Statistiques ;
  • Communication (emailing, envoi de newsletter) ;
  • Aide à la décision thérapeutique de l’Utilisateur ;
  • Aide à la prescription ;
  • Veille et information scientifiques médicales.

Article 2.3 : Mode de collecte des données

Dans le cadre de l’utilisation des services du site, les données sont collectées de la manière suivante :

  • Par saisie directe d’un Professionnel de Santé, d’un établissement ou d’un service ;
  • Par enregistrement via une base de données tierces, mise à disposition par nos partenaires, et sous condition de conformité réglementaire ;
  • Par collecte via une application tierce

Elles sont conservées par le responsable du traitement dans des conditions de sécurité conformes aux règles de l’art, pour la durée précisée par celui-ci au regard de ses obligations légales et réglementaires.

GPR est susceptible de conserver certaines données à caractère personnel au-delà des délais énoncés ci-dessus afin de remplir ses obligations légales ou réglementaires.

Article 2.3 : Fondement juridique

Pour la bonne application de l’article 1 de la présente Politique de Protection des données, les fondements juridiques sur lesquels reposent la collecte, le traitement, la conservation et la destruction des données identifiantes sont :

  • Le consentement de l’internaute, celui de l’Utilisateur et le consentement éclairé du patient ;
  • La nécessité imposée au responsable du traitement pour l’observation de ses obligations légales et réglementaires ;
  • La sauvegarde des intérêts vitaux de la personne concernée ou d’une personne tierce ;
  • L’efficacité de la médecine préventive, de diagnostics médicaux, de la prise en charge sanitaire et sociale, de la gestion d’un système ou d’un service de soins de santé en vertu du droit applicable, d’un contrat et soumis aux obligations de secret inhérentes à l’exercice de la médecine par un Professionnel de Santé ;
  • La nécessité pour la garantie de normes élevées de qualité et de sécurité de soins de santé, des Médicaments ou des dispositifs médicaux, ou de tout autre intérêt de santé publique ;
  • L’intérêt légitime de GPR d’identifier et d’authentifier les utilisateurs, de leur fournir des services appropriés, d’améliorer sa connaissance des utilisateurs, de suivre et d’améliorer le fonctionnement du site.

Article 2.4 : Hébergement des données

Les données recueillies par GPR sont hébergées par :

OVH – 2 rue Kellermann – 59100 Roubaix – France.

OVH met en œuvre une Politique de sécurité du système d’information (PSSI) et répond aux normes et réglementations européennes en matière de protection des données. Conformité et certifications | OVHcloud

Article 2.5 : Transfert des données hors de l’Espace économique européen

Compte tenu de la dimension internationale de nos missions et de nos services médicaux, GPR est susceptible de transférer vos données personnelles à ses homologues situés dans l’Espace économique européen (EEE) et en dehors de l’EEE.

Dans le cadre de l’accomplissement des services qu’elle propose, GPR garantit qu’elle :

  • transfèrera uniquement les données à caractère personnel adéquates et pertinentes, dans la limite de ce qui est nécessaire à la poursuite des finalités pour lesquelles elles sont transmises et ultérieurement traitées ;
  • disposera de mesures techniques et organisationnelles appropriées permettant de protéger les données à caractère personnel qui lui sont transmises contre tout traitement non autorisé ou illicite et contre leur destruction, leur perte, leur modification ou leur divulgation non autorisée ;
  • conservera les données à caractère personnel pour une durée qui n’excèdera pas celle qui est pertinente et nécessaire à la poursuite des objectifs pour lesquels elles sont traitées ;
  • ne prendra aucune décision, y compris de profilage, à l’égard d’une personne physique sur la seule base d’un traitement automatisé des données à caractère personnel, sans intervention humaine ;
  • ne divulguera pas vos données à caractère personnel à des fins proscrites par le cadre juridique national et européen de protection des données.

ARTICLE 3 : RESPONSABLE DU TRAITEMENT DES DONNÉES ET DÉLÉGUÉ À LA PROTECTION DES DONNÉES

Article 3.1 : Le responsable du traitement des données

Lorsque les données à caractère personnelles sont collectées par l’Utilisateur, qu’il soit Professionnel de Santé, établissement ou service, celui-ci doit être regardé comme responsable du traitement des données. L’Utilisateur fournit à toute personne concernée les moyens de le contacter conformément à sa propre politique de protection des données.

Agissant en qualité de sous-traitant des données à caractère personnel, GPR peut être contacté de la manière suivante :

Par courrier à l’adresse : GPR, 23-25 avenue Mac Mahon, 75017 Paris, France

Par courriel : info@sitegpr.com

Article 3.2 : Sous-traitance

Lorsqu’elle agit en qualité de sous-traitant de données à caractère personnel, au sens qu’en donne l’article 4 du Règlement général sur la protection des données, la société GPR s’engage à observer et, le cas échéant, à respecter les lignes directrices et instructions documentées que le responsable du traitement pourrait lui adresser dans le cadre de la relation contractuelle qui les lie, à la stricte condition que de telles instructions soient conformes aux lois et règlements applicables à GPR.

L’Utilisateur est d’ores et déjà informé et accepte, sans réserve possible, d’inscrire des clauses contractuelles conformes ou, à tout le moins, compatibles avec celles figurant dans l’Annexe 1 de de la décision d’exécution (UE) no 2021/914 de la Commission européenne, du 4 juin 2021, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil.

En qualité de sous-traitant, la société GPR observe les obligations générales suivantes :

  • déclarer à l’Utilisateur les traitements de Données Personnelles qu’elle effectue, lui fournir toute information utile et nécessaire pour démontrer sa conformité aux législations idoines, et tenir à jour son registre de traitement des données ;
  • adopter les mesures techniques et organisationnelles appropriées pour garantir la pleine effectivité du droit à la protection des Données Personnelles ;
  • suivre les directives de mise en œuvre des traitements des données fournies par l’Utilisateur, ainsi que les instructions documentées, sauf si GPR estime que les unes ou les autres violent le droit européen ou le droit national relatif à la protection des données, auquel cas il en informe par écrit l’Utilisateur ;

Elle observe également les obligations spécifiques suivantes au meilleur de ses moyens :

  • ne pas embaucher de sous-traitant ultérieur pour les données, sans obtenir préalablement l’accord écrit l’Utilisateur ;
  • veiller à l’intégrité, à la confidentialité et à la sécurité, des données et de leur processus de traitement ;
  • assister le DPO ou le Compliant officer de l’Utilisateur, sur requête de sa part, à donner suite à toute demande présentée par une personne, dans le respect de ses droits, à préserver la sécurité des données ;
  • détruire les données ou les rétrocéder à l’Utilisateur au terme de l’utilisation du service, sauf disposition légale contraire ;
  • collaborer aux éventuelles demandes d’informations qu’adresserait l’Utilisateur relatif aux traitements de Données Personnelles le concernant ;
  • en cas de violation de la confidentialité, de l’intégrité ou de la sécurité des données, et notamment en cas d’accès non-autorisé par des tiers, à en informer immédiatement l’Utilisateur, ainsi que les autorités compétentes, au moyen d’une documentation pertinente;

Article 3.3 : Délégué à la protection des données (DPO)

Le délégué à la protection des données de GPR est :

M. Nicolas Desrumaux (Digital Medical Hub)

46 rue de Villiers – 92300 Levallois-Perret

dpo@dmh-aphp.fr

Consultez l’article 4 des présentes et le site cnil.fr pour plus d’informations sur vos droits. Pour exercer ces droits ou pour toute question sur le traitement de vos données dans ce dispositif, vous pouvez contacter notre délégué à la protection des données.

Si vous estimez, après nous avoir contactés, que vos droits « Informatique et Libertés » ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL.

ARTICLE 4 : DROITS DE L’UTILISATEUR EN MATIÈRE DE COLLECTE ET DE TRAITEMENT DES DONNÉES

Tout Utilisateur concerné par le traitement de ses Données Personnelles peut se prévaloir des droits suivants, en application du règlement européen 2016/679 et de la Loi Informatique et Liberté (Loi 78-17 du 6 janvier 1978) :

  • Droit d’accès, de rectification et droit à l’effacement des données (garantis respectivement par les articles 15, 16 et 17 du RGPD) ;
  • Droit à la portabilité des données (article 20 du RGPD) ;
  • Droit à la limitation (article 18 du RGPD) et à l’opposition du traitement des données (article 21 du RGPD) ;
  • Droit de ne pas faire l’objet d’une décision fondée exclusivement sur un procédé automatisé ;
  • Droit de déterminer le sort des données après la mort ;
  • Droit de saisir l’autorité de contrôle compétente (article 77 du RGPD).

Pour exercer vos droits, veuillez adresser votre courrier à notre siège ou à notre DPO, dont les coordonnées figurent aux articles 3.1 et 3.3 de la présente Politique de protection des données.

Afin que le responsable du traitement des données puisse faire droit à sa demande, l’Utilisateur peut être tenu de lui communiquer certaines informations telles que : ses noms et prénoms, son adresse électronique ainsi que son numéro de compte, d’espace personnel ou d’abonné.

ARTICLE 5 : CONDITIONS DE MODIFICATION DE LA POLITIQUE DE CONFIDENTIALITÉ

GPR se réserve le droit de pouvoir modifier la présente Politique à tout moment afin d’assurer aux Utilisateurs du Site sa conformité avec le cadre national et européen de protection des données en vigueur.

Les éventuelles modifications ne sauraient avoir d’incidence sur les services antérieurement prestés par le Site, lesquels restent soumis à la Politique en vigueur au moment de leur prestation et telle qu’acceptée par l’Utilisateur du Site ou par l’utilisateur lors de l’utilisation du service.

L’utilisateur et l’Utilisateur sont invités à prendre connaissance de cette Politique à chaque fois qu’il utilise nos services, sans qu’il soit nécessaire de l’en prévenir formellement. GPR accomplira le meilleur de ses efforts pour fournir une information adéquate et pertinente sur les éventuelles mises à jour du Site.

La présente politique, éditée le 22 juin 2023, a été mise à jour le 12 mai 2023. La version actuelle est la version 2.0.