Politique de protection des données à caractère personnel – Version septembre 2023
PRÉAMBULE
Le respect de la vie privée est un droit fondamental et l’une des valeurs essentielles de STIMULAB.
STIMULAB s’engage à respecter la réglementation française et européenne sur la protection des données
personnelles, en particulier le Règlement général sur la protection des données du 27 avril 2016 et la Loi
Informatique et Libertés du 6 janvier 1978 modifiée.
Nous respectons l’intégralité de nos obligations légales en matière de protection des données personnelles
de Santé.
STIMULAB dispose d’une équipe dédiée à la protection des données à caractère personnel, incluant notamment
un Délégué à la Protection des Données déclaré auprès de la CNIL.
Les données à caractère personnel (y compris de santé) des patients qui utilisent les services de STIMULAB
sont hébergées par un hébergeur d’infrastructure physique et infogéreur ayant reçu la certification HDS
(Hébergeur de Données de Santé).
DÉFINITIONS
Les termes utilisés dans la présente Politique de protection des données à caractère personnel (ci-après
“Politique”) avec des majuscules ont été définis ici.
OBJET DE LA PRÉSENTE POLITIQUE
Par la présente Politique, STIMULAB informe les Utilisateurs de la manière dont STIMULAB et les Acteurs de
Santé traitent leurs Données à caractère personnel.
Elle s’applique à tous les Utilisateurs de la Plateforme app.stimulme.com.
ORIGINE DES DONNEES A CARACTERE PERSONNEL
Les Utilisateurs sont informés des finalités pour lesquelles leurs Données à caractère personnel sont
collectées via (i) les informations mentionnées dans les différents formulaires en ligne de collecte de
données ; (ii) la Politique sur les Cookies et (iii) la présente Politique de protection des données à
caractère personnel.
1. Les Données à caractère personnel collectées auprès de l’Utilisateur
Toutes les Données à caractère personnel concernant les Utilisateurs et/ou leurs Proches sont collectées
auprès de ces derniers par (i) STIMULAB lors de la création de leurs Comptes Utilisateur ou via les
formulaires ou autres documents qu’ils complètent dans le cadre de l’utilisation des Services ; ou par (ii)
les Acteurs de Santé, Abonnés STIMULAB, lors de la Prise de rendez-vous en ligne et plus généralement dans
le cadre de toute consultation ou suivi du Patient.
2. Les Données à caractère personnel que STIMULAB collecte automatiquement lors de l’utilisation des
Services.
STIMULAB recueille automatiquement, en recourant notamment à des Cookies Fonctionnels, des Données à
caractère personnel lors de l’Utilisation par les Utilisateurs des Services.
IDENTITÉ DES RESPONSABLES DE TRAITEMENT
Le responsable du traitement est, au sens du RGPD, la personne qui détermine les moyens et les finalités du
traitement. Le sous-traitant est une personne traitant des données à caractère personnel pour le compte du
responsable du traitement. Il agit sous l’autorité du responsable du traitement et sur instruction de
celui-ci.
En fonction des Données à caractère personnel traitées, STIMULAB est susceptible d’agir en qualité de
Responsable de traitement ou de Sous-traitant pour le compte des Acteurs de Santé.
STIMULAB est Responsable de traitement des Données à caractère personnel des Utilisateurs recueillies dans
le cadre de la création et gestion du Compte Utilisateur, de leur navigation sur le Site et de leur
utilisation de la Plateforme pulsiosante.fr.
Les Acteurs de Santé, Abonnés des Services, sont Responsables de traitement des Données à caractère
personnel recueillies dans le cadre de toute consultation ou suivi du Patient. STIMULAB intervient alors en
tant que Sous-traitant.
Qu’elle soit responsable de traitement ou sous-traitant, STIMULAB prend les mesures propres à assurer la
protection et la confidentialité des Données à caractère personnel qu’elle détient ou qu’elle traite dans le
respect des dispositions du RGPD et des législations nationales.
FINALITÉS ET TRAITEMENTS DES DONNEES A CARACTERE PERSONNEL COLLECTEES
1. Nécessité de la collecte
Lors de son utilisation de la Plateforme, l’Utilisateur communique à STIMULAB certaines Données à caractère
personnel nécessaires à la fourniture du Service demandé. Si l’Utilisateur ne souhaite pas communiquer les
informations qui lui sont demandées, ou s’oppose à leur utilisation par STIMULAB, il se peut que
l’Utilisateur ne puisse pas accéder à certaines parties du Site ou des Services et que STIMULAB soit dans
l’impossibilité de répondre à sa demande.
2. Durées de conservation
Toutes les Données à caractère personnel collectées sont traitées et conservées pour une durée limitée en
fonction de la finalité du traitement et de la législation applicable aux Services.
STIMULAB détermine les durées de conservation des Données à caractère personnel uniquement en sa qualité de
Responsable de Traitement. Dans le cadre des traitements effectués en qualité de Sous-traitant, STIMULAB
agit uniquement sur instruction des Responsables de Traitement et ne détermine pas elle-même la durée de
conservation des Données à caractère personnel.
Pour toute question ou précision sur la durée de conservation des Données à caractère personnel pour
lesquelles STIMULAB n’est que Sous-traitant, nous vous recommandons de vous adresser directement à votre
Acteur de Santé, Responsable de traitement.
A l’expiration des durées de conservation, les Données à caractère personnel des Utilisateurs sont
supprimées de façon définitive ou anonymisées.
Compte tenu des obligations légales d’archivage s’imposant aux Acteurs de Santé, ceux-ci sont susceptibles
de conserver, sur leurs propres outils, les Données à caractère personnel des Utilisateurs pour des durées
plus longues que celles indiquées ci-dessous afin d’assurer aux Patients un suivi médical et une prise en
charge optimale.
| Finalité du traitement |
Base juridique |
Données traitées |
Durée de conservation |
| Création de compte utilisateur et fourniture d’un identifiant |
Intérêt légitime
Gérer les comptes de ses clients et utilisateurs
|
Identifiant client, nom, prénom, adresse postale, courriel… |
Ou 5 ans à compter de la dernière activité sur le compte |
|
L’amélioration de nos produits et services sur la base d’enquêtes utilisateurs complétées
|
Intérêt légitime
Amélioration de notre offre de produits et services
|
Identifiant client, nom, prénom, avis, témoignage, note |
3 ans à compter du dernier contact avec la personne |
|
Le fonctionnement de l’aide en ligne pour fournir une assistance en ligne en temps réel
|
Intérêt légitime
Mise à disposition d’un outil permettant de répondre aux questions des utilisateurs en temps
réel
|
Identifiant client, nom, prénom, demande d’aide, date et heure de la demande, conversation
écrite
|
1 à 3 ans à compter du dernier contact avec la personne |
| Gérer les candidatures au travers de l’espace dédié sur le site |
Consentement
Permettre la candidature au travers du site afin de développer les effectifs de la
société
|
CV et lettres de motivation |
2 ans à compter du dernier contact avec le candidat |
|
Gérer les demandes qui nous parviennent au travers du formulaire de contact
|
Intérêt légitime
Répondre aux demandes de contacts
|
Nom, prénom, objet de la demande, société, message |
Pour les clients : 3 ans à compter de la fin de la relation commerciale
Pour les prospects : 3 ans à compter de la collecte des données personnelles ou à
compter du dernier contact émanant du prospect
|
SOUS TRAITANTS ET DESTINATAIRES DES DONNEES A CARACTERE PERSONNEL
LES DONNÉES À CARACTÈRE PERSONNEL DE L’UTILISATEUR NE SONT PAS TRANSMISES À DES ACTEURS COMMERCIAUX OU
PUBLICITAIRES SANS CONSENTEMENT
Usage interne : Les Données à caractère personnel de l’Utilisateur peuvent être traitées
par les employés de STIMULAB et ses filiales, dans la limite de leurs attributions respectives et ce
exclusivement afin de réaliser les finalités de la présente politique.
STIMULAB recourt également, pour quelques activités liées à son fonctionnement, aux prestations fournies par
plusieurs sociétés spécialisées (mailing, analyse d’audience…) dont la liste peut être communiquée aux
personnes concernées sur demande adressée à dpo@stimulab.fr.
Hébergement : Afin de respecter les dispositions du Code de la santé publique concernant
les Données à caractère personnel de Santé, STIMULAB a recours à Jaguar Network en tant qu’ Hébergeur de
Données de Santé (certifié HDS).
L’ENSEMBLE DES DONNÉES À CARACTÈRE PERSONNEL DE SANTÉ SONT HÉBERGÉES EN FRANCE.
LES DROITS DES UTILISATEURS
1. Droits des Utilisateurs sur leurs Données à caractère personnel
Conformément à la réglementation européenne en vigueur, les Utilisateurs de app.stimulme.com disposent des
droits suivants :
•
Droit d'accès (article 15 RGPD)
et de rectification (article 16 RGPD),
de mise à jour, de complétude des Données à caractère personnel des Utilisateurs : les Utilisateurs ont le
droit d’accéder aux Données à caractère personnel les concernant dont dispose STIMULAB et en demander la
rectification ou la mise à jour.
•
Droit à l’effacement des Données à caractère personnel des Utilisateurs (article 17 du
RGPD), lorsqu (i) ’elles ne sont plus nécessaires, (ii) l’Utilisateur a retiré son consentement, (iii)
l’Utilisateur s’oppose au traitement, (iv) le traitement est illicite ou pour respecter une obligation
légale.
•
Droit de retirer à tout moment un consentement (article 13-2c RGPD) si ce traitement est
fondé sur le consentement.
•
Droit à la limitation du traitement des Données à caractère personnel des Utilisateurs
(article 18 RGPD) : Ce droit signifie que le traitement des Données à caractère personnel des Utilisateurs
auquel STIMULAB peut procéder est limité, de sorte que les Données à caractère personnel sont conservées,
mais que STIMULAB ne peut pas les utiliser ni les traiter.
•
Droit d’opposition au traitement des Données à caractère personnel des Utilisateurs
(article 21 RGPD) : Les Utilisateurs peuvent à tout moment s’opposer au traitement de leurs Données à
caractère personnel lorsque le traitement est basé sur l’intérêt légitime de STIMULAB.
•
Droit à la portabilité des Données à caractère personnel que les Utilisateurs auront
fournies, lorsque ces Données à caractère personnel font l’objet de traitements automatisés fondés sur leur
consentement ou sur un contrat (article 20 RGPD). Les Utilisateurs ont le droit de déplacer, copier ou
transmettre les Données à caractère personnel les concernant de la base de données de STIMULAB vers une
autre.
•
Droit de définir le sort des Données à caractère personnel es Utilisateurs après leur
mort et de choisir à qui STIMULAB devra communiquer (ou non) ses Données à caractère personnel à un tiers
qu’ils auront préalablement désigné. Dès que STIMULAB a connaissance du décès d’un Utilisateur et à défaut
d’instructions de sa part, STIMULAB s’engage à détruire ses Données à caractère personnel, sauf si leur
conservation s’avère nécessaire à des fins probatoires ou pour répondre à une obligation légale (telle que
la conservation du dossier patient)
Pour plus d’informations sur leurs droits, les Utilisateurs peuvent consulter le
site de la CNIL.
2. Modalités d’exercice des droits des Utilisateurs sur leurs
Données à caractère personnel :
2.1. Pour toutes les demandes concernant des Données à caractère
personnel pour lesquelles STIMULAB est
Responsable de traitement :
Si l’Utilisateur souhaite savoir comment STIMULAB utilise ses Données à caractère personnel, ou exercer ses
droits, l’Utilisateur peut contacter STIMULAB par mail à dpo@stimulab.fr.
2.2. Pour toutes les demandes concernant des Données à caractère personnel pour lesquelles STIMULAB est
Sous-traitant :
Si l’Utilisateur souhaite exercer ses droits, il peut contacter son Acteur de Santé, Responsable de
traitement.
STIMULAB, à la demande de l’Acteur de Santé, pourra assister ce dernier dans les suites à donner aux
demandes adressées par ses Patients mais ne pourra répondre directement aux demandes desdits Patients.
Les demandes de suppression de Données à caractère personnel seront soumises aux obligations qui sont
imposées à STIMULAB par la loi, notamment en matière de conservation ou d’archivage des documents.
Les Utilisateurs peuvent déposer une réclamation auprès de la CNIL.
« COOKIES » ET BALISES (TAGS) INTERNET
Veuillez-vous référer à notre Information sur les cookies
ici.
SÉCURITÉ
Chaque Acteur de Santé destinataire de Données à caractère personnel dans le cadre de son utilisation des
Services s’engage à en garantir la sécurité et la confidentialité. STIMULAB met en œuvre toutes les mesures
techniques et organisationnelles afin d’assurer la sécurité des traitements et la confidentialité des
Données à caractère personnel.
A ce titre, SIMULAB prend toutes les précautions utiles, au regard de la nature des Données à caractère
personnel et des risques présentés par le traitement, afin de préserver la sécurité des Données à caractère
personnel et, notamment, d’empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y
aient accès (protection physique des locaux, procédés d’authentification avec accès personnel et sécurisé
via des identifiants et mots de passe confidentiels, journalisation des connexions, chiffrement de certaines
Données à caractère personnel…).
STIMULAB conduit régulièrement des tests de pénétration différenciés permettant de contrôler, d’évaluer et
de juger régulièrement l’efficacité des mesures de sécurité mises en place.
Protection de la vie privée dès la conception : STIMULAB veille à ce que la protection et
la
sécurité des données soient pris en compte dans la planification et le développement de ses Services.
INFORMATIONS PERSONNELLES ET MINEURS
L’Utilisation des Services est réservée aux Utilisateurs personnes physiques de plus de quinze (15) ans
capables de souscrire des obligations conformément à la loi applicable.
CONDITIONS D’APPLICATION DE LA POLITIQUE
STIMULAB est susceptible de modifier, compléter ou mettre à jour la présente Politique afin de prendre en
compte toute évolution légale, réglementaire, jurisprudentielle et/ou technique.
En cas de modification significative de la présente Politique (relatives aux finalités de traitement, aux
Données à caractère personnel collectées, à l’exercice des droits, au transfert des Données à caractère
personnel des Utilisateurs), STIMULAB s’engage à en informer les Utilisateurs par tout moyen écrit dans un
délai minimum de trente (30) jours avant leur date de prise d’effet.
En cas de désaccord de l’Utilisateur avec les termes de la nouvelle Politique, ce dernier pourra supprimer
son compte STIMULAB.
Passé ce délai, tout accès et utilisation des Services sera soumis à la nouvelle Politique.
Tout Utilisateur est informé que l’unique version des Conditions Générales d’Utilisation (“CGU”) et de la
Politique qui fait foi est celle qui se trouve en ligne ce qu’il reconnaît et accepte sans restriction.
L’Utilisateur est tenu de se référer à la version des CGU et de la Politique en vigueur à la date de son
accès aux Services et de chaque utilisation de ces derniers.
NOUS CONTACTER – COORDONNÉES DU DPO
Tout Utilisateur a la possibilité d’adresser ses questions ou réclamations concernant le respect par
STIMULAB de la présente Politique, ou de faire part à STIMULAB de recommandations ou des commentaires visant
à améliorer la qualité de la présente Politique, l’Utilisateur peut contacter STIMULAB : dpo@stimulab.fr
