Politique de Confidentialité – CleoMed



1. Collecte des données personnelles

1.1 Types de données collectées :

CleoMed collecte les types de données suivants auprès des utilisateurs :

1.1.1 Patients :

Nom, prénom, date de naissance, genre.
Coordonnées (numéro de téléphone, email, adresse postale).
Informations médicales (éventuellement liées aux prescriptions ou interactions via l’application).

1.1.2 Pharmaciens :

Nom, prénom, coordonnées professionnelles (email, numéro de téléphone).
Informations sur la pharmacie (adresse, horaires d’ouverture, localisation).

1.1.3 Livreurs :

Nom, prénom, coordonnées (email, téléphone).
Informations sur le suivi des livraisons (localisation, trajets effectués).

1.2 Recueil des données

Les données sont recueillies par divers moyens, notamment :

1.2.1 Via l’application mobile :

Lors de la création d’un compte utilisateur.
Pendant l’utilisation des fonctionnalités comme la commande de médicaments ou la gestion des livraisons.

1.2.2 Sur le site web :

Via des formulaires d’inscription ou des demandes spécifiques.

1.2.3 Interactions directes :

Lors de la communication avec notre service client ou nos représentants.

2. Utilisation des données personnelles

2.1 Finalités du traitement :

Les données personnelles collectées dans le cadre des activités de CleoMed sont utilisées pour :
Livraison des médicaments :
Identifier et vérifier l’identité du patient pour s’assurer que les médicaments sont livrés à la bonne personne.
Optimiser la planification et le suivi des livraisons en partageant les informations nécessaires avec les livreurs (adresse, créneau horaire).
Garantir la traçabilité des livraisons, notamment pour respecter les obligations légales en matière de distribution de médicaments.
Communication avec les patients :
Envoyer des notifications relatives aux commandes (confirmation de commande, statut de la livraison, suivi en temps réel).
Gérer les échanges avec les patients en cas de questions ou de problèmes liés à leur commande.
Informer les patients des rappels de produits, conseils médicaux liés à la livraison ou changements dans leurs services.
Gestion des services :
Permettre aux pharmaciens de gérer les commandes et d’assurer la préparation des médicaments via l’interface dédiée.
Garantir la continuité du service, en utilisant les données pour résoudre les problèmes techniques ou opérationnels.
Effectuer des analyses statistiques anonymisées pour améliorer la qualité des services (temps de livraison, satisfaction des patients, efficacité des livreurs,...).


2.2 Base légale du traitement :

Conformément au RGPD, CleoMed s’appuie sur plusieurs bases légales pour traiter les données personnelles :

2.2.1 Exécution d’un contrat :

Les données sont nécessaires pour exécuter le contrat entre CleoMed et ses utilisateurs, notamment pour la livraison des médicaments et la gestion des commandes.

2.2.2 Obligations légales :

Certaines données sont traitées pour répondre à des obligations légales, par exemple celles imposées par le Code de la santé publique (traçabilité des médicaments) ou les réglementations pharmaceutiques.

2.2.3 Consentement :

Pour des finalités spécifiques, telles que l’envoi de communications marketing ou l’utilisation de certaines technologies de suivi (cookies, notifications), le consentement explicite des utilisateurs est requis.

2.2.4 Intérêts légitimes :

CleoMed peut traiter des données pour assurer la sécurité des services, prévenir les fraudes ou améliorer la qualité de l’expérience utilisateur, tant que ces intérêts n’outrepassent pas les droits des utilisateurs.

2.2.5 Sauvegarde des intérêts vitaux :

Dans des cas exceptionnels (par exemple, une urgence médicale détectée au moment de la livraison), certaines données pourraient être traitées pour protéger la santé du patient.

3. Partage des données avec des tiers

3.1 Destinataires des données :

Dans le cadre de son fonctionnement, CleoMed peut être amenée à partager des données personnelles avec différents tiers. Ces destinataires incluent :

3.1.1 Les livreurs :

Ils reçoivent uniquement les informations nécessaires à la réalisation de leur mission, notamment :
Nom et prénom du patient.
Adresse de livraison.
Numéro de téléphone pour faciliter la coordination.
Informations spécifiques relatives à la livraison (créneau horaire, exigences particulières).

3.1.2 Les pharmaciens :

Les pharmaciens, en tant que partenaires de CleoMed, ont accès aux données nécessaires pour préparer les commandes :
Identité du patient.
Prescription médicale liée à la commande.
Carte vitale liée à la commande.
Suivi de l’historique des commandes (dans le cadre des obligations réglementaires).

3.1.3 Prestataires de services techniques :

Les partenaires techniques peuvent accéder aux données dans le cadre de la maintenance ou de l’amélioration des services numériques, par exemple :
Hébergeurs cloud pour le stockage des données.
Fournisseurs de solutions de paiement pour traiter les transactions.
Développeurs ou entreprises de gestion de l’application mobile et du site web.

3.1.4 Autorités compétentes :

Dans certaines circonstances, les données peuvent être partagées avec les autorités judiciaires, administratives ou de santé publique :
En cas de demande légitime ou pour respecter une obligation légale.
Pour signaler des irrégularités ou répondre à des audits réglementaires.

3.2 Garanties de confidentialité :

Pour assurer une protection optimale des données personnelles lors de leur partage avec ces tiers, CleoMed met en place des garanties spécifiques :

3.2.1 Contrats avec les tiers :

Des accords de traitement des données sont signés avec chaque partenaire ou sous-traitant, définissant :
Les données accessibles.
Les finalités de leur traitement.
Les mesures de sécurité à respecter.

3.2.2 Accès limité :

Chaque destinataire n’a accès qu’aux données strictement nécessaires à l’accomplissement de sa mission.
Les données sensibles, telles que les prescriptions médicales,le numéro de sécurité social ne sont accessibles qu’aux pharmaciens, conformément aux lois applicables.

3.2.3 Mesures de sécurité :

Les données partagées sont protégées par des technologies de chiffrement pendant leur transmission et leur stockage.
Les partenaires techniques doivent prouver leur conformité avec les normes de sécurité, telles que l’ISO 27001, le RGPD, ou des certifications équivalentes.

3.2.4 Engagements de confidentialité :

Les livreurs, pharmaciens et autres collaborateurs externes sont tenus par des obligations de confidentialité strictes, incluant
des clauses dans leurs contrats interdisant toute divulgation non autorisée des données.

3.2.5 Audit et suivi :

CleoMed effectue régulièrement des audits pour s’assurer que ses partenaires respectent les engagements contractuels et les normes de sécurité des données.

3.2.6 Transferts internationaux :

Si des données doivent être transférées en dehors de l’Union Européenne, CleoMed s’assure que les garanties prévues par le RGPD (clauses contractuelles types, certifications) sont mises en œuvre pour protéger les droits des utilisateurs.

4. Conservation des données

4.1 Durée de conservation :

Les données personnelles collectées par CleoMed sont conservées pour des durées spécifiques, définies en fonction de la nature des données, des obligations légales et des besoins opérationnels. Voici les principales catégories :

4.1.1 Données des patients :

Commandes et livraison : Les informations relatives aux commandes (détails des médicaments, adresse de livraison, identité) sont conservées pendant une durée maximale de 5 ans après la dernière interaction, pour permettre une traçabilité en cas de litige ou de rappel de produits.
Données médicales : Les informations médicales (prescriptions) sont conservées pour une durée conforme à la réglementation en vigueur sur les dossiers médicaux, généralement 10 ans après la fin de la prise en charge, en application des articles L1111-7 et R1112-7 du Code de la santé publique.

4.1.2 Données des livreurs :

Les informations nécessaires à la gestion des livreurs (identité, coordonnées, historique des livraisons) sont conservées pendant toute la durée de la relation contractuelle, puis supprimées 2 ans après la fin du contrat, sauf en cas de litige.

4.1.3 Données des pharmaciens :

Les informations relatives aux interactions avec les pharmaciens, y compris les informations de connexion sur la plateforme,
sont conservées 5 ans après la dernière activité, pour des raisons d’audit et de conformité réglementaire.

4.1.4 Données techniques et analytiques :

Les logs et données techniques (adresse IP, journaux d’utilisation de l’application) sont conservés pendant une durée de 12 mois, conformément à la réglementation française sur la conservation des données techniques (articles L34-1 et R10-13 du Code des postes et des communications électroniques).
Les données statistiques anonymisées, qui ne permettent pas d’identifier une personne, peuvent être conservées indéfiniment.

4.1.5 Données liées à la facturation et au paiement :

Conformément aux obligations fiscales, les informations relatives aux transactions financières sont conservées 10 ans après la clôture de l’exercice fiscal correspondant.

5. Sécurité des données

5.1 Gestion des violations de données :

CleoMed suit une procédure stricte pour réagir rapidement et efficacement en cas de violation des données personnelles, conformément aux dispositions du RGPD.

5.1.1 Identification et containment :

Dès qu’une violation est détectée (intrusion, fuite ou perte de données), une équipe dédiée est mobilisée pour :
Identifier l’origine de la violation.
Contenir la menace en isolant les systèmes ou en neutralisant les vulnérabilités.
Récupérer les données affectées pour minimiser l’impact.

5.1.2 Évaluation de la gravité :

L’incident est évalué pour déterminer :
La nature et la sensibilité des données concernées.
Les conséquences potentielles pour les personnes affectées (risques financiers, atteinte à la vie privée, etc.).

5.1.3 Notification des autorités compétentes :

Si l’incident présente un risque élevé pour les droits et libertés des utilisateurs, CleoMed informe la CNIL dans un délai maximum de 72 heures après la découverte de la violation.
La notification inclut :
La nature de la violation.
Le type et le volume de données concernées.
Les mesures correctives prises.

5.1.4 Notification des personnes concernées :

Si la violation peut engendrer un risque significatif pour les utilisateurs, ces derniers sont informés directement dans les meilleurs délais. Cette communication inclut :
Une description de la violation.
Les mesures prises pour y remédier.
Les recommandations pour minimiser les risques (changement de mot de passe, vigilance accrue contre le phishing, etc.).

5.1.5 Documentation et apprentissage :

Tous les incidents sont documentés, incluant leur origine, les actions entreprises et les résultats obtenus.
Les leçons tirées de l’incident sont intégrées dans les processus internes pour éviter qu’un incident similaire ne se reproduise.

6 .Droits des personnes concernées

Conformément au Règlement Général sur la Protection des Données (RGPD) CleoMed garantit aux utilisateurs l’exercice de leurs droits relatifs à leurs données personnelles. Voici les principaux droits et leur mise en œuvre :

6.1 Accès, rectification et effacement :

6.1.1 Droit d’accès :

Les utilisateurs ont le droit de savoir si leurs données personnelles sont traitées par CleoMed et, le cas échéant, d’obtenir :
Une copie des données traitées.
Des informations sur les finalités du traitement, les catégories de données concernées, les destinataires des données et les durées de conservation.
Modalités :
Une demande d’accès peut être faite à tout moment en contactant le DPO (Délégué à la Protection des Données) à l’adresse fournie dans la politique de confidentialité.
Une réponse sera apportée dans un délai maximal de 30 jours, sauf en cas de complexité particulière.

6.1.2 Droit de rectification :

Les utilisateurs peuvent demander la correction des données inexactes ou incomplètes les concernant.
Exemples :
Modifier une adresse de livraison incorrecte.
Corriger des erreurs dans les informations médicales ou personnelles.
Modalités :
La rectification est effectuée gratuitement et dans les plus brefs délais après la demande.

6.1.3 Droit à l’effacement :

Les utilisateurs peuvent demander la suppression de leurs données personnelles dans les cas suivants :
Les données ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées.
Le consentement a été retiré (si le traitement repose sur le consentement).
Les données sont traitées de manière illicite.
L’utilisateur exerce ce droit dans le cadre d’une obligation légale.
Exceptions :
CleoMed peut refuser une demande d’effacement si les données sont nécessaires pour respecter une obligation légale ou pour des motifs d’intérêt public (ex. : traçabilité des médicaments).

6.2 Portabilité des données :

6.2.1 Droit à la portabilité :

Les utilisateurs peuvent demander à recevoir leurs données personnelles dans un format structuré, couramment utilisé et lisible par machine (par exemple, fichier CSV).
Ils peuvent également demander que ces données soient transmises directement à un autre responsable de traitement (par exemple, un nouveau prestataire de services de santé), si cela est techniquement possible.

6.2.2 Portée :

Ce droit s’applique uniquement aux données fournies par l’utilisateur lui-même et traitées de manière automatisée, sur la base de son consentement ou pour l’exécution d’un contrat.

6.2.3 Modalités :

La demande est traitée dans un délai maximal de 30 jours.
CleoMed garantit que les données transférées sont sécurisées pour éviter toute perte ou divulgation lors de la portabilité.

6.2.4 Opposition et limitation du traitement :

6.2.4.1 Droit d’opposition :

Les utilisateurs peuvent s’opposer au traitement de leurs données personnelles dans les situations suivantes :
Le traitement est basé sur l’intérêt légitime de CleoMed.
Les données sont utilisées à des fins de prospection commerciale.
En cas d’opposition, CleoMed cesse de traiter les données, sauf si elle peut démontrer des motifs légitimes impérieux pour poursuivre le traitement.

6.2.4.2 Droit à la limitation :

Les utilisateurs peuvent demander une limitation du traitement dans les cas suivants :
Les données sont inexactes : le traitement est limité pendant la vérification.
Le traitement est illicite, mais l’utilisateur préfère la limitation à l’effacement.
CleoMed n’a plus besoin des données, mais l’utilisateur en a besoin pour la constatation, l’exercice ou la défense de droits en justice.
Pendant la période de limitation, les données sont conservées mais ne peuvent pas être utilisées, sauf avec le consentement de l’utilisateur ou pour des motifs légaux.

7. Opposition et limitation du traitement :

7.1 Procédure de demande :

Les demandes relatives à ces droits peuvent être adressées au DPO via une adresse e-mail dédiée dpo@cleomed.fr ou par courrier postal.
Pour des raisons de sécurité, CleoMed peut demander une preuve d’identité avant de traiter la demande.

7.2 Délais de traitement :

Toutes les demandes sont traitées dans un délai maximal de 30 jours.
En cas de complexité ou de volume important de demandes, ce délai peut être prolongé de 2 mois supplémentaires, avec une notification préalable à l’utilisateur.

7.3 Recours en cas de désaccord :

Si un utilisateur estime que CleoMed n’a pas répondu à sa demande ou que ses droits n’ont pas été respectés, il peut adresser une réclamation à l’autorité de protection des données compétente (en France, la CNIL).

8. Transferts internationaux de données

8.1 Transferts hors de l’Union Européenne :

CleoMed peut être amenée à transférer des données personnelles en dehors de l’Union Européenne (UE) dans le cadre de la gestion technique de ses services, notamment si des prestataires situés dans des pays tiers sont impliqués. Toutefois, CleoMed garantit que ces transferts sont réalisés dans le respect des exigences du RGPD et assurent un niveau de protection adéquat des données personnelles.

8.1.1 Serveurs et infrastructures d’hébergement :

Les données collectées par CleoMed sont hébergées sur des serveurs appartenant à Amazon Web Services (AWS), certifiés HDS (Hébergement de Données de Santé).
La certification HDS garantit que l’hébergement répond aux normes les plus strictes en matière de sécurité et de protection des données sensibles, conformément à la réglementation française et européenne sur la gestion des données de santé.

8.1.2 Localisation des serveurs :

Les données des utilisateurs sont majoritairement stockées sur des serveurs situés dans l’Espace Économique Européen (EEE).Si, pour des raisons opérationnelles, des données doivent être transférées vers des centres de données AWS situés en dehors de l’UE, ces transferts respectent les mécanismes de protection prévus par le RGPD.

8.1.3 Garanties mises en place pour les transferts hors UE :

CleoMed applique des garanties spécifiques pour protéger les données personnelles lors de transferts internationaux :
Clauses contractuelles types :
Les transferts sont encadrés par des clauses contractuelles types approuvées par la Commission Européenne, garantissant un niveau de protection équivalent à celui en vigueur au sein de l’UE.
Certification du prestataire :
AWS, en tant que sous-traitant, est conforme aux normes internationales de protection des données, notamment la certification ISO/IEC 27001 et les accords liés au Privacy Shield Framework (le cas échéant).
Contrôles réguliers :
Des audits réguliers sont effectués pour vérifier la conformité des sous-traitants avec les exigences contractuelles et légales.

8.1.4 Accès aux données depuis l’étranger :

Si des équipes techniques ou de maintenance situées hors UE doivent accéder aux données, cet accès est sécurisé et limité aux besoins strictement nécessaires pour assurer la maintenance ou le support technique.Ces accès sont surveillés et enregistrés, et des mécanismes d’authentification forte sont mis en place pour garantir une sécurité optimale.

8.1.5 Transparence pour les utilisateurs :

Les utilisateurs sont informés de ces transferts via la politique de confidentialité et peuvent demander des informations supplémentaires sur les garanties mises en œuvre. Ils conservent tous leurs droits (accès, rectification, opposition, etc.) même lorsque leurs données sont transférées en dehors de l’UE.

9. Cookies et technologies similaires

9.1. Qu’est-ce qu’un cookie ?

Un cookie est un petit fichier texte déposé sur le terminal de l’utilisateur (ordinateur, smartphone, tablette) lors de sa navigation sur le site ou l’application. Les cookies permettent de stocker des informations spécifiques liées à la navigation (par exemple, les préférences de langue, l’historique de navigation, etc.).

9.2. Types de cookies utilisés par CleoMed:

9.2.1 Cookies strictement nécessaires :

Ces cookies sont essentiels au fonctionnement du site ou de l’application. Ils permettent, par exemple, la connexion sécurisée des utilisateurs et la gestion des sessions.
Exemples d’utilisation :
Authentification sur le compte utilisateur.
Mémorisation des commandes en cours.
Durée de conservation : Ces cookies expirent au bout d’une heure et 7 jours pour le refresh token.

9.2.2 Cookies de performance :

Ces cookies collectent des informations anonymisées sur la manière dont les utilisateurs interagissent avec le site ou l’application, afin d’améliorer ses performances.
Exemples d’utilisation :
Suivi des pages visitées et des actions effectuées sur l’application.
Détection des erreurs techniques.
Durée de conservation : une heure pour le cookies 7 jours pour le refresh token.

9.2.3 Cookies de personnalisation :

Ils permettent de mémoriser les préférences des utilisateurs, comme la langue, le format d’affichage ou les paramètres de confidentialité.
Exemples d’utilisation :
Affichage du site dans la langue préférée de l’utilisateur.
Personnalisation de l’expérience en fonction des habitudes de navigation.

9.2.4 Cookies publicitaires :

CleoMed utilise des outils publicitaires, ces cookies permettent de diffuser des annonces pertinentes et ciblées en fonction des préférences de navigation des utilisateurs.
Exemples d’utilisation :
Affichage d’annonces adaptées à l’utilisateur.
Mesure de l’efficacité des campagnes publicitaires.
Durée de conservation : Selon les régulations en vigueur ( limitée à 13 mois).

9.2.5 Technologies similaires :

CleoMed peut utiliser des technologies similaires telles que les balises web ou les pixels de suivi pour collecter des informations sur les interactions des utilisateurs.

9.3 Consentement des utilisateurs :

9.3.1 Bannière de consentement :

Lors de leur première visite sur le site ou l’application, les utilisateurs sont informés de l’utilisation des cookies à travers une bannière dédiée. Ils peuvent accepter, refuser ou personnaliser leur choix en fonction des types de cookies.

9.3.2 Gestion des préférences :

Les utilisateurs peuvent modifier leurs préférences à tout moment via un gestionnaire de cookies accessible sur le site ou l’application.Des instructions sont également fournies pour désactiver les cookies via les paramètres du navigateur.

9.3.3 Consentement obligatoire pour certains cookies :

Les cookies non essentiels (par exemple, les cookies publicitaires) nécessitent un consentement explicite de l’utilisateur, conformément à la directive européenne ePrivacy et au RGPD.

9.3.4 Droits des utilisateurs :

9.3.4.1 Retrait du consentement :

Les utilisateurs peuvent retirer leur consentement à tout moment via les paramètres de gestion des cookies.

9.3.4.2 Opposition au suivi :

Des outils tels que le mécanisme “Do Not Track” ou des extensions pour navigateur permettent aux utilisateurs de bloquer certaines catégories de cookies.

9.3.4.3 Conservation des données collectées via les cookies :

9.3.4.3.1 Données anonymisées :

Les données collectées via des cookies analytiques ou de performance sont anonymisées autant que possible.

9.3.4.3.2 Limites de conservation :

Les cookies déposés sont automatiquement supprimés après leur durée de validité (souvent limitée à 13 mois), sauf si l’utilisateur les supprime manuellement avant cette date.

10. Contact et réclamations

Coordonnées du Responsable de la Protection des Données (DPO):
CleoMed a désigné un Responsable de la Protection des Données (DPO) interne, en conformité avec les exigences du RGPD, pour superviser toutes les questions liées à la gestion et à la protection des données personnelles.
Les utilisateurs peuvent contacter le DPO pour :
Poser des questions sur la collecte, l’utilisation ou la conservation de leurs données personnelles.
Exercer leurs droits (accès, rectification, effacement, limitation, opposition, portabilité).
Signaler une inquiétude ou un problème lié à la protection de leurs données.
Obtenir des informations complémentaires sur les politiques de confidentialité de CleoMed.

Les coordonnées du DPO sont les suivantes :
Nom : BELLANGER CLEMENT
Adresse e-mail : dpo@cleo-med.fr
Adresse postale : CleoMed – Service DPO, [A venir]
Le DPO répond aux demandes dans un délai de 30 jours maximum, conformément à la réglementation. En cas de demande complexe, un délai supplémentaire de 2 mois peut être requis, avec une notification préalable à l’utilisateur.

10.1 Dépôt de réclamations auprès de CleoMed

En cas de préoccupation ou de désaccord sur le traitement de leurs données personnelles, les utilisateurs peuvent déposer une réclamation directement auprès de CleoMed via les moyens suivants :

Par e-mail : Contactez le DPO à l’adresse dpo@cleo-med.fr
Par courrier postal : Envoyez une réclamation à l’adresse indiquée ci-dessus, en précisant “Réclamation - Protection des Données” dans l’objet.

10.2 Dépôt de réclamations auprès de la CNIL

Si les utilisateurs estiment que leurs droits ne sont pas respectés ou que leurs préoccupations n’ont pas été correctement traitées par CleoMed, ils ont le droit de déposer une réclamation auprès de l’autorité compétente en matière de protection des données, la CNIL (Commission Nationale de l’Informatique et des Libertés).

Voici les informations pour contacter la CNIL :

Site internet : www.cnil.fr 

Formulaire en ligne : Disponible sur le site de la CNIL.