Qui sommes-nous ?
L’adresse de notre site est : https://www.e-pnos.com.
EPNOS est un service de PSASS sas. Pour plus d’informations, veuillez vous rendre sur la site de PSASS et consulter les mentions légales du site.
1. Définitions
Abonnement : désigne l’abonnement mensuel à la Plateforme, souscrit par l’Administrateur dans les conditions définies aux présentes.
Administrateur : désigne tout professionnel, personne physique ou morale, immatriculé au registre du commerce et des sociétés ou tout registre commercial équivalent, client de PSASS qui souscrit un Abonnement ou achète un pack de crédits en vue d’accéder et d’utiliser la Plateforme, quel que soit le lieu où il se trouve et les modalités de sa connexion ;
Compte : désigne le compte créé par l’Administrateur sur la Plateforme, lui permettant de gérer l’Abonnement, acheter des packs de crédits et commander des Services ;
Crédit : désigne les crédits permettant des consommer des Services de prélecture ;
Devis : désigne le document émis par PSASS récapitulant la commande de Crédits passée par l’Administrateur et son montant.
Données Personnelles : désigne toute donnée qui, au sens de la Réglementation applicable à la protection des données personnelles, permet de désigner ou d’identifier, directement ou indirectement, une personne physique, notamment par référence à son état civil, un identifiant, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques qui lui sont propres ;
Données Personnelles de Santé : désigne une Donnée Personnelle relative à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent les informations sur l’état de santé de cette personne, indépendamment de leur source, qu’elles proviennent par exemple d’un médecin ou d’un autre professionnel de santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic et recueillies par exemple à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social;
Données Patients : désigne les Données relatives au Patient, y compris les Données Personnelles, dont les Données Personnelles de Santé,
(a) collectées par le Client pour les besoins de l’analyse du sommeil qui a été prescrite au Patient par l’Utilisateur dans le cadre du soin du Patient,
(b) transmises par l’Utilisateur à PSASS, de manière sécurisée, par le biais de l’enregistrement du sommeil téléchargé sur la Plateforme,
(c) traitées par PSASS sur la Plateforme pour le compte du Client, et
(d) communiquées à l’Utilisateur au travers de la Plateforme, pour les besoins du suivi de son Patient;
Patient : désigne toute personne physique dont les Données Patients sont traitées au travers de la Plateforme par PSASS ;
Politique de confidentialité Epnos V2 en date du 10 Mars 2021 Page 2 sur 7
Plateforme : désigne la plateforme EPNOS permettant à l’Administrateur de charger l’enregistrement du sommeil pour accéder aux Services. La Plateforme est éditée par PSASS et mise à disposition de l’Administrateur par le biais d’internet, sur le site https://www.psass.fr/validation-epnos (le « Site »)
Services : désigne l’ensemble des services proposés par PSASS sur la Plateforme EPNOS et notamment les services de prélecture d’enregistrements du sommeil ;
Utilisateur : désigne le professionnel de santé et, le cas échéant, les membres de son équipe soumis au secret professionnel et agissant sous la responsabilité du professionnel ou établissement de santé conformément aux dispositions légales et déontologiques applicables, qui dispose d’un accès à la Plateforme et l’utilise pour télécharger l’enregistrement du sommeil et accéder aux Services.
2. Objet
La présente Politique de confidentialité a pour objet d’informer et de présenter aux Administrateurs et Utilisateurs la manière dont PSASS protège les Données Personnelles traitées via la Plateforme.
Elle s’applique aux Administrateurs et Utilisateurs. Elle peut être modifiée, complétée ou mise à jour, afin notamment de prendre en compte toute évolution légale, réglementaire, jurisprudentielle et/ou technique.
Au sens de la Réglementation applicable à la protection des données personnelles, le Responsable de Traitement est la personne morale ou physique qui détermine les finalités et les moyens d’un traitement, c’est à dire l’objectif et la façon de le réaliser. Le Sous-traitant est la personne physique ou morale qui traite des données pour le compte du Responsable de Traitement. Le Sous-traitant agit sur instruction et sous l’autorité du Responsable de Traitement.
PSASS est soucieuse de la protection des données personnelles des Administrateurs et Utilisateurs et s’engage à les protéger en conformité avec la réglementation applicable et notamment le Règlement (UE) n°2016/679 du 27 avril 2016 dit « Règlement Général sur la Protection des Données » ou « RGPD » et la loi n° 78-17 du 6 janvier 1978 modifiée, dite « Loi Informatique et Liberté » modifiée.
3. Traitements opérés en tant que Responsable de traitement
Lorsqu’elle collecte les données personnelles des Administrateurs et Utilisateurs, PSASS met en oeuvre des traitements de celles-ci pour lesquels elle est qualifiée de « responsable de traitement », au sens des textes précités. A ce titre, PSASS s’engage à respecter à tout moment les exigences de la réglementation applicable à la protection des données personnelles et à n’opérer de traitements sur les données personnelles des Administrateurs et Utilisateurs que dans les conditions prévues ci-après.
3.1. Données Personnelles collectées et finalités du traitement
| DONNEES PERSONNELLES DE L’ADMINISTRATEUR | |
|---|---|
| Données personnelles collectées | Finalités de traitement |
| Souscription à la Plateforme : • Etat civil : nom, prénom ; • Fonction • Numéro de téléphone et adresse email ; |
Gérer l’accès et l’utilisation de la Plateforme par l’Administrateur ; gérer la souscription à la plateforme et la fourniture des Services, conformément au Contrat souscrit par l’Administrateur auprès de PSASS ; envoi des factures relatives au contrat souscrit ; communiquer avec l’Administrateur lorsqu’il sollicite toutes informations par l’intermédiaire de la Plateforme et/ou tous autres moyens de communication (téléphone, email) ; suivre et analyser le trafic de la Plateforme en vue de son amélioration. |
| DONNEES PERSONNELLES DES UTILISATEURS | |
| Données personnelles collectées | Finalités de traitement |
| Accès à la Plateforme • Etat civil : nom, prénom • Fonction et/ou agence • Numéro de téléphone et adresse email • N°RPPS • Spécialité • Lieu d’exercice |
Gérer l’accès et l’utilisation de la Plateforme par l’Utilisateur ; gérer la souscription à la plateforme et la fourniture des Services, conformément au Contrat souscrit par l’Administrateur auprès de PSASS ; communiquer avec l’Administrateur lorsqu’il sollicite toutes informations par l’intermédiaire de la Plateforme et/ou tous autres moyens de communication (téléphone, email) ; suivre et analyser le trafic de la Plateforme en vue de son amélioration. |
Le caractère obligatoire ou facultatif de la saisine des données est précisé lors de la collecte, par la mention « requis » ou par un astérisque apposé à côté des données à renseigner de manière obligatoire. La communication obligatoire de certaines données personnelles est nécessaire à PSASS pour mettre en oeuvre les finalités ci-avant précisées. Les données facultatives permettent à PSASS de mieux connaitre l’Administrateur ou l’Utilisateur.
3.2. Durée de conservation des données personnelles
Les données personnelles des Administrateurs et Utilisateurs seront conservées par PSASS pendant la durée nécessaire à la bonne gestion de la relation contractuelle et commerciale entre l’Administrateur et PSASS.
Au-delà des durées de conservation précitées, les données personnelles sont archivées par PSASS, dans un environnement sécurisé, pendant la durée légale de prescription aux fins de preuve pour la constatation, l’exercice ou la défense d’un droit en justice.
3.3. Destinataires des données personnelles
Les données personnelles sont strictement confidentielles
Sauf obligation légale ou judiciaire lui enjoignant de le faire, PSASS ne divulguera, cédera, louera ou transmettra jamais les données personnelles des Utilisateurs et Administrateurs collectées lors de l’utilisation de la Plateforme à des tiers autres que l’hébergeur des données transmises par la Plateforme aux fins d’exécution des prestations techniques d’hébergement et de gestion des bases de données. Ce prestataire agit comme sous-traitant de PSASS au sens de la réglementation applicable à la protection des données personnelles, sur instructions de PSASS et dans les conditions contractuelles signées avec PSASS qui ne peuvent déroger au présent article et qui sont conformes à la réglementation applicable à la protection des données personnelles.
Dans le respect de l’article L. 1111-8 du code de la santé publique la Plateforme, ainsi que les Données Personnelles des Administrateurs, Utilisateurs et Patients, sont hébergées sur des serveurs dédiés mis à disposition de PSASS par un hébergeur certifié de données de santé, la société Amazon Cloud Service AWS. Cet hébergeur est astreint au secret professionnel dans les conditions et sous les peines prévues à l’article 226-13 du code pénal.
3.4. Mesures de sécurité mises en oeuvre
PSASS s’engage à assurer la sécurité et l’intégrité des données personnelles de l’Administrateur et de l’Utilisateur. A ce titre, PSASS met en oeuvre et maintien des mesures techniques et organisationnelles de sécurité de la Plateforme et du Site, et, plus généralement, de son système d’information adaptées au regard de la nature des données personnelles traitées et des risques présentés par leur traitement. Ces mesures visent à (i) protéger les données personnelles contre leur destruction, perte, altération, divulgation à des tiers non autorisés, (ii) assurer le rétablissement de la disponibilité des données personnelles et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique.
3.5. Droits de l’Administrateur ou Utilisateur sur ses données personnelles
L’Administrateur et l’Utilisateur disposent chacun à tout moment, des droits suivants sur leurs données personnelles :
• Droit d’accès : obtenir la confirmation du traitement de ses données personnelles ainsi qu’un certain nombre d’informations sur les traitements, étant entendu que ces informations sont en tout état de cause données dans la présente politique de protection des données personnelles ;
• Droit de rectification : obtenir la rectification de ses données personnelles lorsqu’elles sont inexactes ou incomplètes ;
• Droit à l’effacement (« droit à l’oubli ») : obtenir l’effacement de ses données personnelles lorsqu’elles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou que l’Administrateur ou Utilisateur s’oppose au traitement de ses données personnelles. L’Administrateur reconnait et accepte que ce droit ne lui est pas ouvert tant qu’il souhaite utiliser la Plateforme et bénéficier des Services souscrits, ces données personnelles étant nécessaires à PSASS pour la gestion de la relation commerciale, conformément au contrat souscrit par l’Administrateur avec PSASS ;
• Droit à la limitation du traitement : obtenir la limitation du traitement de ses données personnelles lorsque l’Utilisateur conteste l’exactitude des données, lorsque le délai de conservation des données est arrivé à son terme mais que l’Administrateur ou Utilisateur a encore besoin de conserver ces données personnelles pour la constatation, l’exercice ou la défense d’un droit en justice, ou si l’Utilisateur s’est opposé au traitement ;
• Droit à la portabilité : obtenir la communication des données personnelles que l’Administrateur ou Utilisateur a communiquées à PSASS dans un format lisible, ou demander à PSASS qu’elle transmette les données personnelles que l’Administrateur ou Utilisateur a communiquées à un autre responsable de traitement ;
• Droit d’opposition : s’opposer à tout moment, pour des motifs tenant à sa situation personnelle, au traitement de ses données personnelles, notamment dans le cas où cette opposition concerne de la prospection commerciale, y compris le profilage. A l’exception de ces cas, l’Administrateur ou Utilisateur reconnait et accepte que ce droit ne lui est pas ouvert tant qu’il souhaite utiliser la Plateforme et bénéficier des Services souscrits, ces données personnelles étant nécessaires à PSASS pour la gestion de la relation commerciale, conformément au contrat souscrit par l’Administrateur avec PSASS
• Retrait du consentement : retirer son consentement au traitement futur de ses données personnelles par PSASS, lorsque le traitement est fondé sur le consentement ;
Politique de confidentialité Epnos V2 en date du 10 Mars 2021 Page 5 sur 7
• Droit d’introduire une réclamation : introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés si l’Administrateur ou Utilisateur considère que le traitement opéré par PSASS constitue une violation de ses données personnelles.
Les droits de l’Administrateur ou Utilisateur sur ses données personnelles peuvent être exercés à tout moment auprès de PSASS par email en utilisant le formulaire suivant [ Lien vers le formulaire ].
4. Traitement opéré en tant que Sous-Traitant de l’Administrateur
Au sens de la Réglementation applicable à la protection des données personnelles, l’Administrateur est responsable du traitement des Données Personnelles des Patients, au sens défini dans les CGU, effectué dans le cadre de l’utilisation de la Plateforme.
L’Administrateur garantit PSASS contre tout recours au titre du présent article. L’Utilisateur s’engage à traiter les Données dans le strict respect de la Réglementation applicable à la protection des données personnelles. En particulier, l’Utilisateur s’engage à ne traiter que les données personnelles des Patients strictement nécessaires au regard de la finalité du traitement effectué dans le cadre de l’utilisation de la Plateforme. L’Utilisateur s’engage également à respecter, à tout moment et en tout état de cause, les droits des Patients dont les données personnelles sont traitées.
La Plateforme fournie par PSASS prévoit des fonctionnalités permettant la mise en oeuvre des droits des Patients sur leurs données personnelles, notamment la suppression des Données. En aucun cas PSASS ne saurait être tenue responsable de la non-utilisation de ces mesures par l’Administrateur. De manière générale, la responsabilité de PSASS ne saurait être engagée en cas de non-respect par l’Administrateur de ses obligations en tant que responsable de traitement.
Pour les besoins de la gestion et de la maintenance de la Plateforme, PSASS peut être amenée à accéder aux Données Patients, telles que définies dans les CGU, et, en particulier aux Données Personnelles de Santé, et à procéder à un traitement de celles-ci. A ce titre, PSASS agit comme sous-traitant de l’Administrateur.
En tant que sous-traitant, PSASS est responsable envers le responsable du traitement du respect des obligations suivantes qu’elle s’engage à faire respecter par son personnel :
• traiter les Données dans le cadre strict et nécessaire de la gestion, l’utilisation et de la maintenance de la Plateforme et à n’agir que sur la base des instructions du responsable du traitement ;
• assurer la confidentialité des Données Patients et veiller à ce que chaque personne qu’elle autorise à traiter les dites données s’engage à respecter la confidentialité ou soit soumise à une obligation appropriée de confidentialité ;
• assurer la sécurité et l’intégrité des Données Patients une fois leur intégration sur la Plateforme par l’Utilisateur ou l’Administrateur. A ce titre, PSASS met en oeuvre et maintien des mesures appropriées de la Plateforme, conformément aux exigences de la Réglementation applicable à la protection des données personnelles. Ces mesures visent à (i) protéger les Données Patients contre leur destruction, perte, altération, divulgation à des tiers non autorisés, (ii) assurer le rétablissement de la disponibilité des Données Patients et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique. PSASS s’engage également à mettre en place une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles mises en oeuvre pour assurer la sécurité des traitements ;
• ne pas utiliser les Données Patients à d’autres fins que celles prévues au présent article et ne pas les conserver au-delà de la durée des CGU de la Plateforme ;
Politique de confidentialité Epnos V2 en date du 10 Mars 2021 Page 6 sur 7
• ne pas concéder, louer, céder ou autrement communiquer à une autre personne, tout ou partie des Données Patients ;
• ne conserver les Données que tant qu’elles ne sont pas supprimées par l’Utilisateur ou l’Administrateur, dans la limite de la durée de la relation contractuelle avec l’Administrateur, et les restituer à première demande de l’Administrateur;
• apporter son assistance au responsable de traitement afin de lui permettre de répondre, dans les délais et selon les conditions prévus par la Réglementation applicable à la protection des données personnelles, à toute demande d’exercice d’un droit, requête ou plainte d’une personne concernée ou d’une autorité de protection des données ou tout autre régulateur ;
• apporter son assistance, dans des conditions à définir, au responsable de traitement dans le cadre de la réalisation d’analyses d’impact relative à la vie privée et/ou dans le cadre de formalités qui seraient à accomplir. L’Administrateur reconnait à ce titre que cette prestation d’assistance fera l’objet d’une proposition de services spécifique entre PSASS et l’Administrateur ;
• mettre à la disposition du responsable de traitement, sous condition de respect d’un engagement de confidentialité, toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits, y compris des inspections, par le responsable de traitement ou tout auditeur mandaté par lui et contribuer à ces audits. Les audits seront réalisés aux frais exclusifs du responsable de traitement, en ce compris les frais liés à la mise à disposition du personnel de PSASS pour leur réalisation. Le responsable de traitement s’engage également à notifier la demande d’audit dans un délai raisonnable avant sa tenue, qui ne saurait être inférieur à trente (30) jours ouvrés ;
• ne pas transférer les Données Patients traitées vers des pays hors de l’espace économique européen qui n’auraient pas été reconnus par la Commission européenne comme assurant un niveau de protection adéquat (i) sans avoir préalablement obtenu l’autorisation expresse et écrite du responsable de traitement et (ii) sans la mise en place d’instruments juridiques reconnus comme appropriés par la Réglementation applicable à la protection des données personnelles pour encadrer le ou les transfert(s) concerné(s) ;
• alerter immédiatement le responsable de traitement en cas de violation des Données Patients et à assister le responsable de traitement dans la mise en oeuvre de toute action permettant de faire face à cette violation de données, y compris les notifications aux autorités compétentes et aux personnes concernées par les manquements et à apporter tous éléments d’information utiles permettant d’apprécier l’ampleur de la violation de données et d’identifier les moyens pour y remédier ;
• informer immédiatement le responsable de traitement si PSASS estime qu’une instruction donnée constitue une violation de la Réglementation applicable à la protection des données personnelles.
En acceptant la Politique de Confidentialité, l’Administrateur autorise PSASS à sous-traiter l’exécution des prestations d’hébergement, de gestion et/ou de maintenance de la Plateforme impliquant le traitement, en tout ou partie, des Données Patients. PSASS s’engage à informer l’Administrateur de tout changement prévu concernant l’ajout ou le remplacement d’un sous-traitant et à lui donner la possibilité d’émettre des objections à l’encontre de ce changement. En tout état de cause, PSASS garantit que tout sous-traitant qu’elle recrute offre des garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences de la Réglementation applicable à la protection des données personnelles, et garantisse la protection des droits des personnes concernées.
ANNEXE – GLOSSAIRE
Les mots et expressions utilisés dans la Politique de protection des données ont le sens qui leur est donné par le RGPD et la Loi Informatique et Libertés :
• Destinataire : désigne la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers (…)
• Donnée personnelle : désigne toute information se rapportant à une personne physique directement ou indirectement identifiée ou identifiable, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
• Responsable du traitement : désigne la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.
• Sous-traitant : désigne la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données personnelles pour le compte du responsable du traitement.
• Traitement : désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données personnelles, tels que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.