Dans le cadre de notre activité, Kor est amené à traiter des données à caractère personnel vous concernant. Cette politique vous permet d’être informé sur la manière dont nous utilisons vos données, pourquoi nous les utilisons et ce que nous en faisons.
1. Objectifs et champ d’application de la politique
La société KOR dont le siège social est situé 1 impasse du Palais 37000 Tours (« KOR »), est une entreprise engagée dans le domaine de la santé proactive et entend notamment faciliter la réalisation de bilans de santé. Dans cette optique, KOR a développé une plateforme permettant la gestion et le suivi de bilans de santé, y compris la gestion des dossiers médicaux informatisés de patients (la « Plateforme KOR »). KOR est soucieux d’assurer la protection des données personnelles et de la vie privée des utilisateurs de la Plateforme KOR.
Cette politique de protection des données de KOR (la « Politique ») définit les conditions dans lesquelles KOR traite les données à caractère personnel (ci-après désignées « les Données Personnelles ») des utilisateurs de la Plateforme KOR en tant que responsable de traitement. Cette Politique s’applique aux utilisateurs professionnels de santé (par exemple: médecin, infirmier) et patients, (ci-après ensemble les « Utilisateurs »).
KOR se conforme aux dispositions du Règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (le « RGPD »), à la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, telle qu’amendée (la « LIL »), et à la présente Politique.
Les professionnels de santé utilisateurs de la Plateforme KOR:
- Demeurent responsables du traitement des données personnelles des patients dans le cadre de leur prise en charge médicale;
- Agissent en qualité de responsables du traitement conjoints avec KOR pour certaines finalités de traitement, tel que décrit dans la présente Politique.
2. Collecte des données personnelles
Les données personnelles collectées au sein de la Plateforme KOR proviennent:
- Du patient utilisateur, par exemple lorsqu’il répond aux questionnaires mis à disposition sur la Plateforme KOR; Des professionnels de santé utilisateurs impliqués dans la prise en charge du patient dans le cadre de son parcours au sein de la Plateforme KOR, (par exemple des médecins, des infirmiers)
- Du personnel du Centre ou tout autre établissement où des examens médicaux sont réalisés en vue du bilan de santé, soumis au secret médical, soit directement lors d’un accueil physique, soit lors d’un accueil téléphonique, ou par le module de prise de rendez-vous en ligne, Doctolib, lorsque le patient est pris en charge par le Centre.
3. Données traitées, finalités et bases légales
KOR traite les Données Personnelles des Utilisateurs :
- pour l’exécution du contrat conclu avec l’Utilisateur (en particulier les CGU de la Plateforme KOR) (Art. 6(1) b) du RGPD) ;
- pour satisfaire à ses obligations légales et réglementaires (Art. 6(1) b) du RGPD) ;
- pour poursuivre ses intérêts légitimes (Art. 6(1) f) du RGPD) ;
- sur la base de leur consentement (Art. 6(1) b) et 9(2) a) du RGPD) ;
- pour l’aide à la réalisation de bilans de santé (Art. 9(2) h) du RGPD).
La fourniture des Données Personnelles n’est pas obligatoire, mais sans certaines d’entre elles, l’Utilisateur ne sera pas en mesure d’utiliser l’ensemble des fonctionnalités de la Plateforme KOR.
a. KOR traite les Données Personnelles suivantes en qualité de responsable de traitement indépendant:
| Finalité |
Données Personnelles traitées |
Base légale du traitement |
| Création et gestion du compte utilisateur professionnel de santé |
Nom, prénom, adresse email, mot de passe, spécialité, n°RPPS |
Exécution du contrat |
| Organisation de consultations de télé-expertise par les professionnels de santé |
Tout ou partie des questionnaires complétés par le patient, du profil médical et/ou des analyses
biologiques du patient, dans la mesure des éléments nécessaire à la réalisation de la télé-expertise
|
Consentement de l’Utilisateur au traitement de ses données,
y compris ses données de santé
|
|
Amélioration de l’expérience Utilisateur et analyse de l’utilisation de
la Plateforme KOR à l’aide de cookies ou autres traceurs
|
Adresse IP, type de navigateur, taille d’écran, historique de navigation entre pages |
Consentement de l’Utilisateur lorsque celui-ci est requis par la loi |
| Répondre aux demandes d’information sur la Plateforme KOR |
Adresse email |
Intérêt légitime de KOR à informer ses utilisateurs ou futurs utilisateurs |
| Assurer le support et la sécurité de la Plateforme KOR |
Nom, prénom, adresse email, adresse IP |
Intérêt légitime de KOR d’assurer le support de la Plateforme KOR
et d’assister les Utilisateurs
|
b. KOR traite les Données Personnelles suivantes en qualité de responsable de traitement conjoints au sens de l’article 26 du RGPD avec les professionnels de santé impliqués dans la prise en charge du patient Utilisateur:
N.B. : Les professionnels de santé demeurent responsables du traitement dans le cadre de la prise en charge médicale de leurs patients. Toutefois, KOR est responsable de traitement conjointement avec ces professionnels dans le cadre de certaines finalités poursuivies dans le cadre de l’utilisation de la Plateforme KOR.
| Finalité |
Données Personnelles traitées |
Base légale du traitement |
| Dépistage de maladies et identification de facteurs de risque et participation à l’amélioration de ce dépistage |
Réponses aux questionnaires, liste des examens à réaliser, ordonnances pour réaliser des examens (par exemple prise de sang, analyse d’urine), Résultats d’analyses biologiques sur les différents marqueurs prescrits par le médecin, comptes rendus d’examens cliniques données qualitatives et quantitatives suite aux examens cliniques réalisés lors du checkup (e.g., examen cardiaque et respiratoire, palpation abdominale, impédancemétrie, constantes, etc.), compte rendu suite aux consultations réalisées par l’équipe médicale de Kor et partenaires, les professionnels de santé en physique ou en téléconsultation, compte rendu et scan des examens d’imagerie (scanner, IRM, échographie, etc.) réalisés par ordonnance des professionnels de santé, médecins Kor, bilan de santé, plan d’actions de santé |
Consentement de l’Utilisateur au traitement de ses données, y compris ses données de santé
Réalisation de diagnostics médicaux, prise en charge sanitaire ou sociale, gestion des systèmes et des services de soins de santé ou de protection sociale |
| Gestion du parcours de soin du patient Utilisateur |
Nom, prénom, adresse email, dates de rendez-vous. |
Exécution du contrat |
Un résumé de l’accord de responsabilité conjointe est disponible sur demande selon les modalités indiquées à la section 10 de la Politique.
4. Sécurité des Données Personnelles
KOR met en œuvre des mesures de sécurité techniques et organisationnelles afin d’assurer la sécurité des Données Personnelles et pour les protéger contre l'accès non autorisé, la perte, ou la divulgation.
Les Données Personnelles traitées dans le cadre de la Plateforme KOR sont hébergées par AWS France, certifié hébergeur de données de santé (HDS). Les serveurs sont situés sur le territoire français. Ci-dessous les principales mesures de sécurité de KOR pour la plateforme :
Sécurité des données
- Utilisation d'AWS VPC pour créer un réseau isolé, avec des sous-réseaux privés pour les bases de données et des sous-réseaux publics pour les balancers de charge.
- Chiffrement des données sensibles en utilisant AES-256 pour le stockage (S3, EBS) et TLS 1.2 ou supérieur pour le transit.
Gestion des identités et des accès
- Politiques IAM implémentant le principe du moindre privilège, auditées trimestriellement.
- L'authentification multifactorielle requise (MFA) pour tous les accès administratifs, en utilisant des applications d'authentification ou des tokens physiques.
- Révision semestrielle des politiques d'accès pour s'assurer de leur adéquation avec les besoins opérationnels.
Sauvegarde et reprise après sinistre
- Sauvegardes automatisées journalières avec Amazon RDS, et snapshots EBS pris toutes les 6 heures, conservés pendant 90 jours.
- Test du plan de reprise après sinistre bi-annuellement, avec des objectifs de point de reprise (RPO) de 4 heures et des objectifs de temps de reprise (RTO) de 24 heures.
Formation et sensibilisation à la sécurité
- Formation annuelle obligatoire sur la sécurité pour tous les employés, complétée par des sessions trimestrielles sur les tendances actuelles des menaces.
5. Transferts internationaux de Données Personnelles
Les Données Personnelles des Utilisateurs sont traitées et conservées sur le territoire de l’Union Européenne ou dans un pays dont la législation est reconnue adéquate par une décision de la Commission Européenne conformément à l’article 45 du RGPD. Lorsque les Données Personnelles font l’objet d’un transfert international dans un pays ne faisant pas l’objet d’une décision d’adéquation, KOR s’engage à mettre en oeuvre des mécanismes d’encadrement de ces transferts conformément au RGPD, comme par exemple la conclusion de clauses contractuelles types de la Commission Européenne.
6. Conservation des Données Personnelles
Les Données Personnelles des Utilisateurs sont conservées par KOR pour la durée strictement nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées. KOR se conforme également à toute durée de conservation applicable en vertu des lois et règlements applicables.
7. Destinataires des Données Personnelles
Les Données Personnelles pourront être communiqués aux destinataires suivants dans le cadre des finalités décrites dans la Politique:
- Les sous-traitants de KOR impliqués dans le traitement des Données Personnelles.
- Le personnel de KOR sur la base du besoin d’en connaître.
- Les professionnels de santé externes et laboratoires de biologie.
8. Droits des Utilisateurs
Conformément à la législation applicable, les Utilisateurs disposent du droit d'accéder, de rectifier et de supprimer leurs Données personnelles. Les utilisateurs disposent également du droit de s’opposer à leur traitement, de demander la limitation de leur traitement et de demander leur portabilité. Vous disposez du droit de porter une réclamation devant l’autorité de contrôle, en France: la Commission Nationale Informatique et Libertés (CNIL): CNIL - Service des Plaintes - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07.
Les Utilisateurs peuvent exercer leurs droits en s’adressant au Délégué à la Protection des Données de KOR, par courrier à l’adresse 1 impasse du Palais 37000 Tours ou par email à l’adresse
[email protected]9. Cookies et Technologies de Suivi
Nous utilisons des cookies et d'autres technologies de suivi pour améliorer votre expérience utilisateur et analyser l'utilisation de notre service. Le recours à certains de ces cookies ou autres technologies requiert votre consentement. Vous pouvez modifier vos préférences en la matière au sein de l’outil de consentement spécifique mis en œuvre sur la Plateforme KOR.
10. Modifications de la Politique et contact
Nous utilisons des cookies et d'autres technologies de suivi pour améliorer votre expérience utilisateur et analyser l'utilisation de notre service. Le recours à certains de ces cookies ou autres technologies requiert votre consentement. Vous pouvez modifier vos préférences en la matière au sein de l’outil de consentement spécifique mis en œuvre sur la Plateforme KOR.
