Coline
FonctionnalitésComment ça marchePour les entreprisesTémoignages
Retour

Politique de confidentialité

1. Introduction

La présente politique de confidentialité a pour objet d’informer, de manière complète, transparente et conforme aux exigences légales en vigueur, les utilisateurs de la plateforme Coline.care sur les conditions dans lesquelles leurs données à caractère personnel sont collectées, traitées et protégées.

La plateforme Coline.care est destinée aux salariés d’entreprises partenaires et a pour finalité de leur permettre d’accéder à des dispositifs d’accompagnement en lien avec des situations de santé, de handicap ou de vulnérabilité, notamment par le biais d’échanges avec des experts (patients partenaires, assistantes sociales, psychologues, etc.).

Dans ce cadre, Coline.care est susceptible de traiter des données à caractère personnel, y compris des données sensibles relatives à la santé, au sens de l’article 9 du Règlement Général sur la Protection des Données (RGPD). Consciente de la sensibilité particulière de ces informations, Coline.care met en œuvre des mesures renforcées afin d’en garantir la confidentialité, l’intégrité et la sécurité.

Les traitements décrits dans la présente politique sont réalisés dans le respect du Règlement (UE) 2016/679 du 27 avril 2016 (RGPD), de la loi Informatique et Libertés modifiée, ainsi que des recommandations de l’CNIL.

2. Responsable du traitement

Le responsable du traitement des données à caractère personnel est :

COLINE CARE
Société par actions simplifiée, immatriculée au Registre du Commerce et des Sociétés sous le numéro 903 704 344
Siège social : 4 rue du Maréchal de Lattre de Tassigny, 78000 Versailles

La société est représentée par Monsieur Jonathan Boudault, Président, également désigné en qualité de Délégué à la Protection des Données (DPO).

Le responsable du traitement détermine les finalités et les moyens des traitements de données personnelles mis en œuvre via la plateforme.

Pour toute question relative à la protection des données, les utilisateurs peuvent contacter : dpo@coline.care

Gouvernance interne

La gouvernance des données repose sur un modèle restreint et sécurisé :

  • seuls les fondateurs de Coline.care disposent d’un accès administrateur
  • les accès sont limités strictement aux besoins opérationnels
  • une politique de contrôle régulier des accès est mise en place

Coline.care tient un registre des traitements conforme aux exigences réglementaires.

4. Principes applicables aux traitements

Coline.care s’engage à respecter, dans l’ensemble des traitements mis en œuvre, les principes fondamentaux issus du RGPD.

Les données personnelles sont ainsi traitées de manière licite, loyale et transparente à l’égard des utilisateurs, pour des finalités déterminées, explicites et légitimes, et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.

Coline.care veille à ne collecter que les données strictement nécessaires au regard des finalités poursuivies, conformément au principe de minimisation. À ce titre, il est expressément précisé que la plateforme ne requiert pas la collecte de données nominatives telles que le nom, le prénom ou la date de naissance.

Les données sont maintenues à jour lorsque cela est nécessaire et conservées pour une durée n’excédant pas celle strictement nécessaire aux finalités pour lesquelles elles sont traitées.

Enfin, Coline.care met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques, et est en mesure de démontrer, à tout moment, sa conformité aux exigences réglementaires (principe d’accountability).

4. Données collectées

4.1 Données d’identification et d’authentification

Afin de permettre l’accès sécurisé à la plateforme, Coline.care collecte certaines données d’identification limitées, notamment l’adresse email personnelle de l’utilisateur, qui constitue son identifiant unique.

Des données relatives à l’authentification sont également traitées, telles que le mot de passe, lequel est stocké sous une forme chiffrée ne permettant pas son accès en clair, ainsi que les informations nécessaires à la mise en œuvre d’une authentification multi-facteurs (MFA).

Par ailleurs, des journaux d’authentification sont conservés, incluant notamment la date, l’heure et le résultat des tentatives de connexion, afin de garantir la sécurité du système.

Il est expressément précisé que Coline.care ne collecte pas de données nominatives telles que le nom, le prénom ou la date de naissance des utilisateurs.

4.2 Données relatives à la situation personnelle

Dans le cadre de l’inscription et de l’utilisation de la plateforme, l’utilisateur est invité à renseigner des informations relatives à sa situation, notamment l’existence d’un défi de santé ou d’une situation de vulnérabilité, ainsi que l’étape de son parcours (par exemple : annonce du diagnostic, arrêt de travail, préparation du retour à l’emploi, maintien dans l’emploi, accès aux droits).

L’utilisateur peut également être amené à exprimer ses besoins d’accompagnement, qu’ils soient d’ordre organisationnel, administratif, psychologique ou social.

Ces informations, dès lors qu’elles sont susceptibles de révéler des éléments relatifs à la santé, sont qualifiées de données sensibles au sens de l’article 9 du RGPD et font, à ce titre, l’objet d’un traitement encadré et sécurisé.

4.3 Données issues des accompagnements

Dans le cadre des rendez-vous réalisés via la plateforme, les experts peuvent être amenés à saisir des notes relatives aux échanges intervenus avec les utilisateurs.

Ces notes sont strictement personnelles à l’expert concerné et ne sont accessibles que par celui-ci. Elles ne sont en aucun cas accessibles à l’équipe Coline.care, ni aux autres experts, ni aux entreprises partenaires.

Ces données ne font l’objet d’aucune exploitation par Coline.care et ne sont utilisées que dans le cadre de la continuité de l’accompagnement de l’utilisateur par l’expert concerné.

4.4 Données techniques et de sécurité

Afin d’assurer la sécurité, l’intégrité et le bon fonctionnement de la plateforme, Coline.care collecte et traite des données techniques, telles que l’adresse IP de l’utilisateur, les journaux de connexion, les traces d’accès aux différentes fonctionnalités ainsi que certaines informations de navigation strictement nécessaires.

Ces données sont utilisées exclusivement à des fins de sécurité, de prévention des accès frauduleux, de détection des incidents et de maintien en conditions opérationnelles du service.

4.5 Synchronisation facultative avec Google Agenda

Afin de faciliter l’organisation des rendez-vous réalisés via la plateforme, certains utilisateurs, notamment les experts intervenant sur Coline.care, peuvent choisir de synchroniser leur agenda Google avec la plateforme.

Cette fonctionnalité est entièrement facultative et ne peut être activée qu’avec le consentement explicite de l’utilisateur concerné.

La synchronisation a pour seule finalité de permettre à la plateforme :

  • d’identifier les créneaux de disponibilité de l’utilisateur ;
  • d’éviter les conflits entre les rendez-vous Coline.care et les autres événements présents dans son agenda ;
  • de créer automatiquement dans Google Agenda les rendez-vous planifiés via la plateforme ;
  • de mettre à jour ou supprimer ces rendez-vous lorsqu’ils sont modifiés ou annulés.

Dans ce cadre, Coline.care accède uniquement aux informations strictement nécessaires au fonctionnement de cette synchronisation.

Les données issues de l’agenda Google ne sont utilisées à aucune autre fin, notamment à des fins commerciales, publicitaires ou de profilage.

Par ailleurs, Coline.care accorde une importance particulière à la confidentialité des accompagnements réalisés via la plateforme.

Ainsi :

  • l’entreprise partenaire n’a jamais accès aux agendas des utilisateurs ;
  • l’entreprise partenaire n’a jamais accès aux informations issues de la synchronisation Google Agenda ;
  • l’identité de l’expert avec lequel un utilisateur échange n’est jamais communiquée à l’entreprise partenaire ;
  • la nature du défi de santé, du handicap ou de la situation personnelle ayant motivé le rendez-vous n’est jamais communiquée à l’entreprise partenaire ;
  • le contenu des échanges réalisés lors des rendez-vous demeure strictement confidentiel.

Les rendez-vous créés dans Google Agenda sont volontairement limités aux informations nécessaires à leur organisation afin de préserver la confidentialité des utilisateurs.

La synchronisation peut être désactivée à tout moment par l’utilisateur depuis son compte Google ou depuis les paramètres de la plateforme lorsque cette fonctionnalité est disponible.

5. Finalités des traitements

Les données personnelles collectées sont traitées pour des finalités déterminées et légitimes.

Elles permettent notamment la création et la gestion des comptes utilisateurs, l’authentification sécurisée des utilisateurs via des dispositifs renforcés (mot de passe robuste et authentification multi-facteurs), ainsi que la gestion des habilitations et des accès à la plateforme.

Les données sont également utilisées afin de permettre la mise en relation des utilisateurs avec les experts, l’organisation et la gestion des rendez-vous, ainsi que la personnalisation des parcours d’accompagnement en fonction des besoins exprimés.

Par ailleurs, Coline.care peut traiter des données de manière agrégée et non nominative afin d’améliorer les services proposés, d’optimiser l’expérience utilisateur et d’identifier les besoins récurrents.

Enfin, certaines données sont traitées à des fins de sécurité, notamment pour la détection des comportements anormaux, la gestion des incidents et la traçabilité des accès, ainsi que pour le respect des obligations légales et réglementaires.

Les données liées à la synchronisation facultative avec Google Agenda sont traitées exclusivement afin de permettre la gestion des disponibilités, la prévention des conflits d’agenda et l’automatisation de la planification des rendez-vous réalisés via la plateforme. Ces données ne sont utilisées à aucune autre fin.

6. Bases légales

Les traitements mis en œuvre reposent principalement sur le consentement explicite de l’utilisateur, en particulier s’agissant des données sensibles relatives à la santé.

Ce consentement est recueilli lors de l’inscription et lors de l’utilisation des fonctionnalités impliquant le traitement de données sensibles.

Certains traitements reposent également sur l’intérêt légitime de Coline.care, notamment en ce qui concerne la sécurité de la plateforme, la prévention des fraudes et l’amélioration continue des services.

Enfin, certains traitements peuvent être réalisés afin de satisfaire à des obligations légales ou réglementaires.

7. Destinataires des données

Les données personnelles sont accessibles uniquement aux personnes habilitées, dans la limite de leurs attributions respectives et conformément au principe du moindre privilège.

Au sein de Coline.care, seuls les collaborateurs dûment autorisés peuvent accéder à certaines données, dans le cadre strict de leurs missions.

Les experts intervenant sur la plateforme (patients partenaires, assistantes sociales, psychologues, etc.) peuvent accéder aux données nécessaires à l’accompagnement des utilisateurs avec lesquels ils sont en relation, dans le respect d’obligations contractuelles strictes de confidentialité.

Il est expressément précisé que les entreprises partenaires n’ont jamais accès aux données personnelles des utilisateurs. Elles peuvent uniquement recevoir des données anonymisées et agrégées, ne permettant en aucun cas d’identifier un utilisateur individuellement.

8. Hébergement et sécurité

Les données sont hébergées en France sur des infrastructures opérées par Scalingo, au sein de datacenters exploités par Outscale et qualifiés SecNumCloud 3.2.

L’hébergement est certifié HDS (Hébergement de Données de Santé), garantissant un niveau de sécurité adapté aux données sensibles.

Aucune donnée n’est transférée en dehors de l’Union européenne.

Coline.care met en œuvre des mesures de sécurité techniques et organisationnelles strictes, incluant notamment l’authentification forte des utilisateurs, l’exigence de mots de passe robustes, le chiffrement des mots de passe, la gestion fine des habilitations, la limitation des accès administrateurs à un nombre restreint de personnes, la journalisation des accès, la tenue d’un registre des incidents, ainsi que la réalisation de sauvegardes quotidiennes.

9. Durée de conservation

Les données personnelles sont conservées pendant la durée nécessaire à l’utilisation de la plateforme.

En cas d’inactivité prolongée, un compte utilisateur fait l’objet d’une notification après une période de douze mois sans activité. En l’absence de réaction de l’utilisateur, le compte est supprimé dans un délai de deux mois suivant cette notification.

L’utilisateur peut également supprimer son compte à tout moment, ce qui entraîne la suppression de ses données dans des conditions conformes aux exigences réglementaires.

10. Droits des utilisateurs

Conformément à la réglementation applicable, les utilisateurs disposent d’un droit d’accès, de rectification, d’effacement, de limitation du traitement, d’opposition et de portabilité de leurs données.

Ces droits peuvent être exercés à tout moment en contactant le Délégué à la Protection des Données à l’adresse suivante : dpo@coline.care

Une réponse sera apportée dans un délai maximum d’un mois à compter de la réception de la demande.

11. Gestion des accès et traçabilité

L’accès aux données est strictement encadré :

  • authentification forte (mot de passe + MFA)
  • accès administrateur limité aux fondateurs
  • journalisation des accès au back-office

Les journaux d’accès sont conservés pendant 12 mois.

Contrôles réguliers

Coline.care réalise :

  • une vérification mensuelle des accès administrateurs
  • un contrôle des logs de connexion
  • une identification des tentatives d’accès suspectes

12. Sécurité des données

Coline.care met en œuvre des mesures de sécurité avancées :

  • chiffrement des données sensibles
  • pare-feu contre les intrusions
  • sauvegardes quotidiennes
  • hébergement HDS en France
  • anonymisation des données

Des audits de sécurité sont réalisés tous les 6 mois.

13. Gestion des violations de données

Définition

Une violation correspond à tout accès non autorisé, perte, altération ou divulgation de données.

Processus

En cas de violation :

  • Analyse immédiate de l’incident
  • Sécurisation de la plateforme
  • Documentation dans un registre interne
  • Évaluation des risques

Si nécessaire :

  • notification à l’CNIL sous 72h
  • information des utilisateurs concernés

14. Durée de conservation

Les données sont conservées pendant la durée d’utilisation du service.

En cas d’inactivité :

  • notification après 12 mois
  • suppression après 2 mois supplémentaires

15. Réclamation

Les utilisateurs disposent du droit d’introduire une réclamation auprès de l’CNIL s’ils estiment que leurs droits ne sont pas respectés.

16. Droits des utilisateurs

Les utilisateurs disposent des droits suivants :

  • accès
  • rectification
  • suppression
  • portabilité
  • opposition

Procédure

  • Demande via dpo@coline.care
  • Vérification d’identité si nécessaire
  • Réponse sous 30 jours (jusqu’à 90 jours si complexe)
  • Exécution de la demande

17. Sensibilisation et formation

Les équipes Coline.care :

  • sont formées au RGPD
  • signent des engagements de confidentialité
  • suivent des formations régulières

Les experts sont également soumis à une charte de confidentialité.

18. Audit et amélioration continue

Coline.care met en place :

  • une revue annuelle de conformité
  • des audits internes tous les 6 mois
  • des tests de sécurité et de suppression des données

19. Mise à jour

La présente politique de confidentialité peut être modifiée à tout moment afin de tenir compte des évolutions légales, réglementaires ou techniques.

La version applicable est celle accessible sur la plateforme à la date de consultation.

20. Contact

Pour toute question relative à la présente politique ou à la gestion des données personnelles : dpo@coline.care

Coline

Coline accompagne les salariés confrontés à des défis de santé, les aidants, les managers et les RH pour avancer ensemble.

Informations

  • Politique de confidentialité
  • Conditions générales d'utilisation
  • Mentions légales
  • Protection des données

Hébergé en France

(Serveurs certifiés HDS & ISO 27001)