Politique de confidentialité
de la solution QoLibri

(version 1.4)


1.     Objet de cette politique de confidentialité

Cette politique de confidentialité vise à informer les utilisateurs sur les pratiques de NOVESIA concernant la collecte, l’utilisation, la protection et la divulgation des données à caractère personnel traitées par QoLibri.

Pour des informations détaillées sur l’utilisation de QoLibri, veuillez consulter nos Conditions Générales d’Utilisation.


2.    Définitions

Consentement : Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.

Données personnelles : Toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Données de santé : Les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne. Cela comprend :

  • Les informations relatives à une personne physique collectées lors de son inscription sur la solution,
  • Les informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir des données génétiques et d’échantillons biologiques,
  • Les informations concernant une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée.

Traitement : Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Responsable de traitement : La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ;

Sous-traitant : La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

Le dispositif médical est appelé QoLibri et permet aux patients vivant avec une douleur chronique d’assurer un suivi de leurs symptômes et de poursuivre un programme d’autosoin personnalisé visant l’amélioration de leur qualité de vie.

La solution QoLibri propose ainsi les fonctionnalités suivantes :

  • Recueil régulier des symptômes, au moyen de baromètres (proposés 1 fois par semaine), d’un schéma corporel des douleurs (proposé 1 fois par mois) et d’un questionnaire de qualité de vie (proposé 1 fois par trimestre)
  • Mise à disposition d’un programme personnalisé d’accompagnement, s’appuyant sur des approches psychocorporelles et proposant des contenus sous différents formats : vidéos, carrousels d’images, podcasts, quiz.

3.    Collecte des données personnelles

Les données personnelles sont collectées lors de l’inscription des utilisateurs à QoLibri et lors de son utilisation ultérieure. Ces données sont essentielles pour fournir et améliorer les services offerts.


4.    Finalités et bases légales du traitement

4.1 Finalités principales

La collecte de données personnelles par QoLibri a pour but principal de mettre à disposition du patient un programme d’autosoin personnalisé en fonction de ses besoins.

Ces traitements réalisés dans le cadre de la solution destinée aux patients répondent aux finalités suivantes :

  • Pour les utilisateurs :
    • Mettre à disposition du patient du contenu d’accompagnement thérapeutique sous différentes formes (vidéos, carrousels d’image, podcasts, quiz) ;
    • Mettre à disposition du patient et de son prescripteur une représentation graphique des informations transmises.
  • Pour la société NOVESIA :
    • Fournir des services de maintenance/résoudre des bugs ou des incidents,
    • Gérer l’hébergement et la sauvegarde des données,
    • Assurer la sécurité grâce à l’authentification, aux journaux de connexion et à la gestion des incidents,
    • Effacer les données à la demande de l’utilisateur.
  • Pour le sous-traitant AppThera :
    • Envoyer au patient un lien de téléchargement de l’application QoLibri et un code d’accès via la plateforme AppThera à la suite de la prescription faite par un professionnel de santé. AppThera ne traite aucune donnée de santé, mais facilite l’inscription du patient à QoLibri.

Conformément à la Réglementation sur la Protection des Données Personnelles, tout traitement de données doit s’appuyer sur une base légale bien identifiée.

Les traitements des données personnelles des patients, en particulier des données de santé, réalisés spécifiquement dans le cadre de la solution QoLibri relèvent quant à eux du consentement du patient, qui est demandé dès sa première connexion.

Le patient peut donc retirer à tout moment son consentement au traitement de ses données personnelles dans le cadre de la solution et cela entraînera la clôture de son compte.

En aucun cas, les données nominatives du patient ne pourront être transmises à des tiers.


4.2 Finalités secondaires

À des fins d’amélioration continue du produit

Certaines données collectées via la solution QoLibri peuvent également être utilisées, de manière secondaire, à des fins d’amélioration continue du dispositif médical et de personnalisation du parcours patient.

Cette finalité vise à adapter plus finement les fonctionnalités, contenus ou recommandations proposés par l’application, en tenant compte des usages et des retours d’expérience des utilisateurs. Ces traitements sont réalisés en respectant les principes de minimisation des données.

À des fins administratives

Les données peuvent également être traitées à des fins administratives et de gestion interne, notamment pour le suivi des prescriptions réalisées via la plateforme AppThera, conformément aux exigences légales et réglementaires. Ces traitements sont réalisés en respectant les principes de minimisation des données et ne concernent en aucun cas les données de santé des patients.

À des fins de recherche

En tant qu’utilisateur de la solution QoLibri, le patient a la liberté de consentir ou non à ce que ses données puissent, après pseudonymisation, être utilisées à des fins de recherche.
Cette finalité est strictement limitée :

  • aux seules données non identifiantes des patients ayant expressément consenti à cette utilisation ;
  • et aux recherches visant à développer les connaissances scientifiques sur la douleur chronique : étude des mécanismes de la douleur et de ses répercussions, évaluation de l’efficacité et de la sécurité de la prise en charge thérapeutique, identification de profils de patients…

Ainsi, seules les données non identifiantes des patients ayant expressément consenti à la finalité de recherche seront transférées dans l’entrepôt de données sécurisé, conçu et administré par l’équipe de recherche LIMOS (CNRS – Clermont-Ferrand) et la Fondation ANALGESIA (fondation de recherche sur la douleur – Clermont-Ferrand).

Le patient peut retirer à tout moment son consentement au traitement de ses données personnelles à des fins de recherche, sans pour autant retirer son consentement au traitement de ses données personnelles dans le cadre de la solution QoLibri.

Le retrait du seul consentement pour la finalité de recherche n’entraîne pas la clôture de son compte.


5.    Durée de conservation des données

Les données personnelles sont conservées pendant la durée nécessaire à l’accomplissement des finalités pour lesquelles elles ont été collectées, plus une période supplémentaire conformément aux exigences légales et réglementaires.

6.     Transmission des données

Les données peuvent être partagées avec des parties internes à NOVESIA et avec des prestataires externes agissant en tant que sous-traitants, dans le respect des exigences de confidentialité et de sécurité.

 

6.1 Les destinataires internes de NOVESIA

Par défaut les données ne sont pas accessibles par NOVESIA. Elles peuvent être rendues accessibles au service maintenance uniquement si l’anomalie à résoudre ne peut pas être traitée sans cet accès. Il s’agit d’opérations exceptionnelles, encadrées par une procédure stricte, définie en amont.

 

6.2 Les prestataires de NOVESIA

NOVESIA fait appel à la société Scalingo pour l’hébergement des données de la solution QoLibri. Il s’agit d’un hébergeur certifié Hébergeur de Données de Santé (HDS).

Pour plus d’information : scalingo.com/fr/certification-hds

NOVESIA fait appel à la société Agaetis pour la gestion de la maintenance de la solution.

Pour plus d’information : www.agaetis.fr/solutions

Un contrat est mis en place avec tous les sous-traitants et des engagements de confidentialité sont systématiquement signés individuellement par chaque intervenant.

 

6.3 Les sous-traitants de NOVESIA

6.3.1 AppThera

NOVESIA fait appel à une plateforme AppThera pour permettre aux professionnels de santé de prescrire l’application QoLibri à leurs patients. AppThera envoie un lien de téléchargement et un code d’accès au patient sans que les professionnels de santé accèdent directement aux données traitées par QoLibri. AppThera agit en tant que sous-traitant et s’engage à respecter les obligations légales en matière de protection des données personnelles, conformément au RGPD.

Un contrat de sous-traitance a été mis en place, encadrant le traitement des données pour garantir la confidentialité et la sécurité des informations. Aucune donnée nominative ou sensible n’est partagée avec AppThera sans que des mesures de protection adéquates ne soient mises en place.

 

7.    Transferts de données hors UE

La société qui assure l’hébergement des données de santé étant française, aucun transfert de données hors de l’Union Européenne n’est effectué.

 

8.    Droits des utilisateurs

Les utilisateurs disposent de droits spécifiques concernant leurs données personnelles, tels que le droit d’accès, de rectification, d’effacement, de limitation du traitement, d’opposition, et de portabilité.

Pour toute question concernant l’utilisation de vos données personnelles dans le cadre de la prescription via la plateforme sous-traitante AppThera, vous pouvez contacter NOVESIA aux coordonnées fournies ci-dessous.

 

8.1 Droit d’accès

Vous avez le droit de demander aux administrations, sociétés commerciales ou organismes, quelles informations ils détiennent sur vous dans leurs fichiers. Ce droit d’accès vous permet de vérifier l’exactitude de ces informations et, au besoin, de les faire rectifier ou effacer.

En justifiant de votre identité, vous pouvez interroger le responsable du traitement ou du fichier concerné afin d’obtenir :

  • L’intégralité des informations vous concernant,
  • L’origine de ces informations,
  • Le but du traitement ou du fichier, les destinataires des informations et les éventuels transferts hors de l’Union Européenne.

Vous pouvez exercer vos demandes de droit d’accès auprès de NOVESIA.

 

8.2 Droit de rectification

Vous pouvez demander la rectification des informations inexactes ou incomplètes vous concernant. Ce droit permet d’éviter qu’un organisme n’utilise ou ne diffuse des informations erronées sur vous.

Vous pouvez exercer vos demandes de droit de rectification auprès de NOVESIA.

 

8.3 Droit à l’effacement des données

Vous avez le droit de demander à un organisme l’effacement de données à caractère personnel vous concernant, si au moins une de ces situations correspond à votre cas : 

  • Vos données sont utilisées à des fins de prospection ;
  • Les données ne sont pas ou plus nécessaires au regard des objectifs pour lesquelles elles ont été initialement collectées ou traitées ;
  • Vous retirez votre consentement à l’utilisation de vos données ;
  • Vos données font l’objet d’un traitement illicite (par exemple, publication de données piratées) ;
  • Vos données ont été collectées lorsque vous étiez mineur dans le cadre de la société de l’information (blog, forum, réseau social, site web…) ;
  • Vos données doivent être effacées pour respecter une obligation légale ;
  • Vous vous êtes opposé au traitement de vos données et le responsable du fichier n’a pas de motif légitime ou impérieux de ne pas donner suite à cette demande.

Toutefois, dans certains cas, ce droit sera écarté car il ne doit pas aller à l’encontre :

  • De l’exercice du droit à la liberté d’expression et d’information ;
  • Du respect d’une obligation légale ;
  • De l’utilisation de vos données si elles concernent un intérêt public dans le domaine de la santé ;
  • De leur utilisation à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ;
  • De la constatation, de l’exercice ou de la défense de droits en justice.

Vous pouvez exercer vos demandes d’effacement auprès de NOVESIA.

 

8.4 Droit à la limitation du traitement

Le droit à la limitation de vos données est un droit qui complète vos autres droits (rectification, opposition…). Si vous contestez l’exactitude des données utilisées par l’organisme ou que vous vous opposez à ce que vos données soient traitées, la loi autorise l’organisme à procéder à une vérification ou à un examen de votre demande pendant un certain délai. Pendant ce délai, vous avez la possibilité de demander à l’organisme de geler l’utilisation de vos données. Concrètement, il ne devra plus utiliser les données mais devra les conserver.

Inversement, vous pouvez demander directement la limitation de certaines données dans le cas où l’organisme souhaite les effacer. Cela vous permettra de conserver les données par exemple afin d’exercer un droit.

Vous pouvez exercer vos demandes de limitation du traitement auprès de NOVESIA.

 

8.5 Droit d’opposition au traitement

Le droit d’opposition vous permet de vous opposer à ce que vos données soient utilisées par un organisme pour un objectif précis. Vous devez mettre en avant « des raisons tenant à votre situation particulière », sauf en cas de prospection commerciale, à laquelle vous pouvez vous opposer sans motif.

 

Dans ce cas, l’établissement de santé ne traitera plus les données personnelles, à moins de démontrer qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.

 

Vous pouvez exercer vos demandes d’opposition au traitement auprès de NOVESIA.

 

8.6 Droit à la portabilité de vos données

Vous avez le droit de demander à NOVESIA de vous transmettre les données personnelles qui vous concernent et que vous avez fournies. Ce nouveau droit s’applique si ces trois conditions sont toutes réunies :

  • Le droit à la portabilité est limité aux données personnelles fournies par la personne concernée.
  • Il ne s’applique que si les données sont traitées de manière automatisée (les fichiers papiers ne sont donc pas concernés) et sur la base du consentement préalable de la personne concernée ou de l’exécution d’un contrat conclu avec la personne concernée.
  • L’exercice du droit à la portabilité ne doit pas porter atteinte aux droits et libertés de tiers, dont les données se trouveraient dans les données transmises suite à une demande de portabilité.

Les personnes doivent exercer leurs demandes de portabilité auprès de NOVESIA.

 

8.7 Droit d’introduire une réclamation auprès de l’autorité de contrôle (CNIL)

Vous avez le droit d’introduire une réclamation auprès de la CNIL si vous considérez que le traitement de données à caractère personnel qui vous concerne constitue une violation du Règlement Européen sur la Protection des Données.

Ces droits peuvent être exercés en contactant NOVESIA.

 

8.8 Comment exercer vos droits

Pour plus d’informations sur les modalités de traitement de vos données ou pour exercer vos droits de rectification et/ou d’opposition au traitement de vos données à caractère personnel, vous pouvez contacter NOVESIA :

  • Par courrier postal : NOVESIA – Confidentialité des données, 28 place Henri Dunant, 63000 Clermont-Ferrand
  • Ou par email : rgpd@novesia.fr

Une réponse vous sera apportée dans un délai d’un mois, à compter de la date de réception de votre demande, sous réserve de nous avoir transmis toutes les informations requises pour confirmer votre identité et pour préciser le type exact de données à caractère personnel concerné par votre requête.

Pour plus d’informations, vous pouvez consulter le site web de la Commission Nationale de l’Informatique et des Libertés (CNIL : www.cnil.fr) :  informations relatives à la protection des données personnelles, actualités, informations pratiques, textes officiels, santé et Internet.

 

9.    Mesures de sécurité

NOVESIA s’engage à mettre en œuvre des mesures techniques et organisationnelles pour protéger les données personnelles contre tout accès non autorisé, altération, divulgation ou destruction :

  • La sensibilisation de tous les collaborateurs à la protection des données personnelles et à leur sécurité ;
  • La protection physique des locaux de NOVESIA et des locaux où les données sont hébergées (niveau de sécurité élevé des Datacenters) ;
  • Des procédés d’authentification conformes à l’état de l’art ;
  • Une gestion rigoureuse des accès et des habilitations ;
  • La journalisation des connexions ;
  • Le chiffrement de certaines données ;
  • Le cloisonnement des environnements de développement, test/qualification, production et démonstration ;
  • La gestion de l’hébergement des données réalisées par un hébergeur certifié HDS ;
  • La gestion de la continuité de services.

NOVESIA veille également à ce que la plateforme sous-traitante AppThera mette en œuvre des mesures techniques adaptées pour sécuriser l’envoi des liens et codes d’accès à l’application QoLibri, conformément aux exigences du RGPD.

 

10.    Contact

Si l’utilisateur a des questions ou des réclamations concernant le respect de NOVESIA de la présente politique, ou si l’utilisateur souhaite faire part à NOVESIA de recommandations ou des commentaires visant à améliorer la qualité de la présente politique, l’utilisateur peut contacter NOVESIA :

  • Par courrier postal : NOVESIA – Confidentialité des données, 28 place Henri Dunant, 63000 Clermont-Ferrand
  • Ou par email : rgpd@novesia.fr