Politique de confidentialité
1. Introduction
La présente politique de confidentialité a pour objet d’informer, de manière complète, transparente et conforme aux exigences légales en vigueur, les utilisateurs de la plateforme Coline.care sur les conditions dans lesquelles leurs données à caractère personnel sont collectées, traitées et protégées.
La plateforme Coline.care est destinée aux salariés d’entreprises partenaires et a pour finalité de leur permettre d’accéder à des dispositifs d’accompagnement en lien avec des situations de santé, de handicap ou de vulnérabilité, notamment par le biais d’échanges avec des experts (patients partenaires, assistantes sociales, psychologues, etc.).
Dans ce cadre, Coline.care est susceptible de traiter des données à caractère personnel, y compris des données sensibles relatives à la santé, au sens de l’article 9 du Règlement Général sur la Protection des Données (RGPD). Consciente de la sensibilité particulière de ces informations, Coline.care met en œuvre des mesures renforcées afin d’en garantir la confidentialité, l’intégrité et la sécurité.
Les traitements décrits dans la présente politique sont réalisés dans le respect du Règlement (UE) 2016/679 du 27 avril 2016 (RGPD), de la loi Informatique et Libertés modifiée, ainsi que des recommandations de l’CNIL.
2. Responsable du traitement
Le responsable du traitement des données à caractère personnel est :
COLINE CARE
Société par actions simplifiée, immatriculée au Registre du Commerce et des Sociétés sous le numéro 903 704 344
Siège social : 4 rue du Maréchal de Lattre de Tassigny, 78000 Versailles
La société est représentée par Monsieur Jonathan Boudault, Président, également désigné en qualité de Délégué à la Protection des Données (DPO).
Le responsable du traitement détermine les finalités et les moyens des traitements de données personnelles mis en œuvre via la plateforme.
Pour toute question relative à la protection des données, les utilisateurs peuvent contacter : dpo@coline.care
Gouvernance interne
La gouvernance des données repose sur un modèle restreint et sécurisé :
- seuls les fondateurs de Coline.care disposent d’un accès administrateur
- les accès sont limités strictement aux besoins opérationnels
- une politique de contrôle régulier des accès est mise en place
Coline.care tient un registre des traitements conforme aux exigences réglementaires.
4. Principes applicables aux traitements
Coline.care s’engage à respecter, dans l’ensemble des traitements mis en œuvre, les principes fondamentaux issus du RGPD.
Les données personnelles sont ainsi traitées de manière licite, loyale et transparente à l’égard des utilisateurs, pour des finalités déterminées, explicites et légitimes, et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.
Coline.care veille à ne collecter que les données strictement nécessaires au regard des finalités poursuivies, conformément au principe de minimisation. À ce titre, il est expressément précisé que la plateforme ne requiert pas la collecte de données nominatives telles que le nom, le prénom ou la date de naissance.
Les données sont maintenues à jour lorsque cela est nécessaire et conservées pour une durée n’excédant pas celle strictement nécessaire aux finalités pour lesquelles elles sont traitées.
Enfin, Coline.care met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques, et est en mesure de démontrer, à tout moment, sa conformité aux exigences réglementaires (principe d’accountability).
4. Données collectées
4.1 Données d’identification et d’authentification
Afin de permettre l’accès sécurisé à la plateforme, Coline.care collecte certaines données d’identification limitées, notamment l’adresse email personnelle de l’utilisateur, qui constitue son identifiant unique.
Des données relatives à l’authentification sont également traitées, telles que le mot de passe, lequel est stocké sous une forme chiffrée ne permettant pas son accès en clair, ainsi que les informations nécessaires à la mise en œuvre d’une authentification multi-facteurs (MFA).
Par ailleurs, des journaux d’authentification sont conservés, incluant notamment la date, l’heure et le résultat des tentatives de connexion, afin de garantir la sécurité du système.
Il est expressément précisé que Coline.care ne collecte pas de données nominatives telles que le nom, le prénom ou la date de naissance des utilisateurs.
4.2 Données relatives à la situation personnelle
Dans le cadre de l’inscription et de l’utilisation de la plateforme, l’utilisateur est invité à renseigner des informations relatives à sa situation, notamment l’existence d’un défi de santé ou d’une situation de vulnérabilité, ainsi que l’étape de son parcours (par exemple : annonce du diagnostic, arrêt de travail, préparation du retour à l’emploi, maintien dans l’emploi, accès aux droits).
L’utilisateur peut également être amené à exprimer ses besoins d’accompagnement, qu’ils soient d’ordre organisationnel, administratif, psychologique ou social.
Ces informations, dès lors qu’elles sont susceptibles de révéler des éléments relatifs à la santé, sont qualifiées de données sensibles au sens de l’article 9 du RGPD et font, à ce titre, l’objet d’un traitement encadré et sécurisé.
4.3 Données issues des accompagnements
Dans le cadre des rendez-vous réalisés via la plateforme, les experts peuvent être amenés à saisir des notes relatives aux échanges intervenus avec les utilisateurs.
Ces notes sont strictement personnelles à l’expert concerné et ne sont accessibles que par celui-ci. Elles ne sont en aucun cas accessibles à l’équipe Coline.care, ni aux autres experts, ni aux entreprises partenaires.
Ces données ne font l’objet d’aucune exploitation par Coline.care et ne sont utilisées que dans le cadre de la continuité de l’accompagnement de l’utilisateur par l’expert concerné.
4.4 Données techniques et de sécurité
Afin d’assurer la sécurité, l’intégrité et le bon fonctionnement de la plateforme, Coline.care collecte et traite des données techniques, telles que l’adresse IP de l’utilisateur, les journaux de connexion, les traces d’accès aux différentes fonctionnalités ainsi que certaines informations de navigation strictement nécessaires.
Ces données sont utilisées exclusivement à des fins de sécurité, de prévention des accès frauduleux, de détection des incidents et de maintien en conditions opérationnelles du service.
4.5 Synchronisation facultative avec Google Agenda
Afin de faciliter l’organisation des rendez-vous réalisés via la plateforme, certains utilisateurs, notamment les experts intervenant sur Coline.care, peuvent choisir de synchroniser leur agenda Google avec la plateforme.
Cette fonctionnalité est entièrement facultative et ne peut être activée qu’avec le consentement explicite de l’utilisateur concerné.
La synchronisation a pour seule finalité de permettre à la plateforme :
- d’identifier les créneaux de disponibilité de l’utilisateur ;
- d’éviter les conflits entre les rendez-vous Coline.care et les autres événements présents dans son agenda ;
- de créer automatiquement dans Google Agenda les rendez-vous planifiés via la plateforme ;
- de mettre à jour ou supprimer ces rendez-vous lorsqu’ils sont modifiés ou annulés.
Dans ce cadre, Coline.care accède uniquement aux informations strictement nécessaires au fonctionnement de cette synchronisation.
Les données issues de l’agenda Google ne sont utilisées à aucune autre fin, notamment à des fins commerciales, publicitaires ou de profilage.
Par ailleurs, Coline.care accorde une importance particulière à la confidentialité des accompagnements réalisés via la plateforme.
Ainsi :
- l’entreprise partenaire n’a jamais accès aux agendas des utilisateurs ;
- l’entreprise partenaire n’a jamais accès aux informations issues de la synchronisation Google Agenda ;
- l’identité de l’expert avec lequel un utilisateur échange n’est jamais communiquée à l’entreprise partenaire ;
- la nature du défi de santé, du handicap ou de la situation personnelle ayant motivé le rendez-vous n’est jamais communiquée à l’entreprise partenaire ;
- le contenu des échanges réalisés lors des rendez-vous demeure strictement confidentiel.
Les rendez-vous créés dans Google Agenda sont volontairement limités aux informations nécessaires à leur organisation afin de préserver la confidentialité des utilisateurs.
La synchronisation peut être désactivée à tout moment par l’utilisateur depuis son compte Google ou depuis les paramètres de la plateforme lorsque cette fonctionnalité est disponible.
5. Finalités des traitements
Les données personnelles collectées sont traitées pour des finalités déterminées et légitimes.
Elles permettent notamment la création et la gestion des comptes utilisateurs, l’authentification sécurisée des utilisateurs via des dispositifs renforcés (mot de passe robuste et authentification multi-facteurs), ainsi que la gestion des habilitations et des accès à la plateforme.
Les données sont également utilisées afin de permettre la mise en relation des utilisateurs avec les experts, l’organisation et la gestion des rendez-vous, ainsi que la personnalisation des parcours d’accompagnement en fonction des besoins exprimés.
Par ailleurs, Coline.care peut traiter des données de manière agrégée et non nominative afin d’améliorer les services proposés, d’optimiser l’expérience utilisateur et d’identifier les besoins récurrents.
Enfin, certaines données sont traitées à des fins de sécurité, notamment pour la détection des comportements anormaux, la gestion des incidents et la traçabilité des accès, ainsi que pour le respect des obligations légales et réglementaires.
Les données liées à la synchronisation facultative avec Google Agenda sont traitées exclusivement afin de permettre la gestion des disponibilités, la prévention des conflits d’agenda et l’automatisation de la planification des rendez-vous réalisés via la plateforme. Ces données ne sont utilisées à aucune autre fin.
6. Bases légales
Les traitements mis en œuvre reposent principalement sur le consentement explicite de l’utilisateur, en particulier s’agissant des données sensibles relatives à la santé.
Ce consentement est recueilli lors de l’inscription et lors de l’utilisation des fonctionnalités impliquant le traitement de données sensibles.
Certains traitements reposent également sur l’intérêt légitime de Coline.care, notamment en ce qui concerne la sécurité de la plateforme, la prévention des fraudes et l’amélioration continue des services.
Enfin, certains traitements peuvent être réalisés afin de satisfaire à des obligations légales ou réglementaires.
7. Destinataires des données
Les données personnelles sont accessibles uniquement aux personnes habilitées, dans la limite de leurs attributions respectives et conformément au principe du moindre privilège.
Au sein de Coline.care, seuls les collaborateurs dûment autorisés peuvent accéder à certaines données, dans le cadre strict de leurs missions.
Les experts intervenant sur la plateforme (patients partenaires, assistantes sociales, psychologues, etc.) peuvent accéder aux données nécessaires à l’accompagnement des utilisateurs avec lesquels ils sont en relation, dans le respect d’obligations contractuelles strictes de confidentialité.
Il est expressément précisé que les entreprises partenaires n’ont jamais accès aux données personnelles des utilisateurs. Elles peuvent uniquement recevoir des données anonymisées et agrégées, ne permettant en aucun cas d’identifier un utilisateur individuellement.
8. Hébergement et sécurité
Les données sont hébergées en France sur des infrastructures opérées par Scalingo, au sein de datacenters exploités par Outscale et qualifiés SecNumCloud 3.2.
L’hébergement est certifié HDS (Hébergement de Données de Santé), garantissant un niveau de sécurité adapté aux données sensibles.
Aucune donnée n’est transférée en dehors de l’Union européenne.
Coline.care met en œuvre des mesures de sécurité techniques et organisationnelles strictes, incluant notamment l’authentification forte des utilisateurs, l’exigence de mots de passe robustes, le chiffrement des mots de passe, la gestion fine des habilitations, la limitation des accès administrateurs à un nombre restreint de personnes, la journalisation des accès, la tenue d’un registre des incidents, ainsi que la réalisation de sauvegardes quotidiennes.
9. Durée de conservation
Les données personnelles sont conservées pendant la durée nécessaire à l’utilisation de la plateforme.
En cas d’inactivité prolongée, un compte utilisateur fait l’objet d’une notification après une période de douze mois sans activité. En l’absence de réaction de l’utilisateur, le compte est supprimé dans un délai de deux mois suivant cette notification.
L’utilisateur peut également supprimer son compte à tout moment, ce qui entraîne la suppression de ses données dans des conditions conformes aux exigences réglementaires.
10. Droits des utilisateurs
Conformément à la réglementation applicable, les utilisateurs disposent d’un droit d’accès, de rectification, d’effacement, de limitation du traitement, d’opposition et de portabilité de leurs données.
Ces droits peuvent être exercés à tout moment en contactant le Délégué à la Protection des Données à l’adresse suivante : dpo@coline.care
Une réponse sera apportée dans un délai maximum d’un mois à compter de la réception de la demande.
11. Gestion des accès et traçabilité
L’accès aux données est strictement encadré :
- authentification forte (mot de passe + MFA)
- accès administrateur limité aux fondateurs
- journalisation des accès au back-office
Les journaux d’accès sont conservés pendant 12 mois.
Contrôles réguliers
Coline.care réalise :
- une vérification mensuelle des accès administrateurs
- un contrôle des logs de connexion
- une identification des tentatives d’accès suspectes
12. Sécurité des données
Coline.care met en œuvre des mesures de sécurité avancées :
- chiffrement des données sensibles
- pare-feu contre les intrusions
- sauvegardes quotidiennes
- hébergement HDS en France
- anonymisation des données
Des audits de sécurité sont réalisés tous les 6 mois.
13. Gestion des violations de données
Définition
Une violation correspond à tout accès non autorisé, perte, altération ou divulgation de données.
Processus
En cas de violation :
- Analyse immédiate de l’incident
- Sécurisation de la plateforme
- Documentation dans un registre interne
- Évaluation des risques
Si nécessaire :
- notification à l’CNIL sous 72h
- information des utilisateurs concernés
14. Durée de conservation
Les données sont conservées pendant la durée d’utilisation du service.
En cas d’inactivité :
- notification après 12 mois
- suppression après 2 mois supplémentaires
15. Réclamation
Les utilisateurs disposent du droit d’introduire une réclamation auprès de l’CNIL s’ils estiment que leurs droits ne sont pas respectés.
16. Droits des utilisateurs
Les utilisateurs disposent des droits suivants :
- accès
- rectification
- suppression
- portabilité
- opposition
Procédure
- Demande via dpo@coline.care
- Vérification d’identité si nécessaire
- Réponse sous 30 jours (jusqu’à 90 jours si complexe)
- Exécution de la demande
17. Sensibilisation et formation
Les équipes Coline.care :
- sont formées au RGPD
- signent des engagements de confidentialité
- suivent des formations régulières
Les experts sont également soumis à une charte de confidentialité.
18. Audit et amélioration continue
Coline.care met en place :
- une revue annuelle de conformité
- des audits internes tous les 6 mois
- des tests de sécurité et de suppression des données
19. Mise à jour
La présente politique de confidentialité peut être modifiée à tout moment afin de tenir compte des évolutions légales, réglementaires ou techniques.
La version applicable est celle accessible sur la plateforme à la date de consultation.
20. Contact
Pour toute question relative à la présente politique ou à la gestion des données personnelles : dpo@coline.care