Sécurité & données sensibles
1. Objet
La présente page a pour objet de détailler les mesures techniques, organisationnelles et procédurales mises en œuvre par Coline.care afin de garantir la sécurité des données à caractère personnel traitées sur la plateforme, ainsi que les modalités spécifiques de gestion des données sensibles.
Elle complète la Politique de confidentialité et s’inscrit dans le cadre du respect du Règlement Général sur la Protection des Données (RGPD), de la loi Informatique et Libertés modifiée, ainsi que des recommandations de l’CNIL.
2. Nature des données traitées
Dans le cadre de ses services, Coline.care est susceptible de traiter des données à caractère personnel, incluant des données pouvant relever de la catégorie des données sensibles au sens de l’article 9 du RGPD.
Ces données peuvent notamment concerner :
- l’existence d’un défi de santé ou d’une situation de vulnérabilité
- des informations relatives au parcours de l’utilisateur (diagnostic, arrêt de travail, reprise, etc.)
- des besoins d’accompagnement pouvant refléter une situation personnelle ou médicale
Coline.care a fait le choix de limiter au strict nécessaire la collecte de données, en ne collectant pas de données directement identifiantes telles que le nom, le prénom ou la date de naissance, afin de réduire les risques en cas d’incident.
3. Principes de protection des données
Coline.care applique une approche de privacy by design et by default, intégrée dès la conception de la plateforme.
Cela se traduit notamment par :
- une minimisation des données collectées
- une séparation stricte des accès
- une absence de connexion entre les données de la plateforme et les systèmes des entreprises partenaires
- une limitation des traitements aux seules finalités nécessaires
Les données sont traitées de manière à garantir leur confidentialité, leur intégrité et leur disponibilité.
4. Hébergement et localisation des données
Les données à caractère personnel traitées dans le cadre de la plateforme Coline.care sont hébergées exclusivement en France, sur des infrastructures opérées par la société Scalingo.
Ces infrastructures reposent sur des datacenters exploités par Outscale, qualifiés SecNumCloud 3.2, et conformes aux exigences applicables en matière d’hébergement de données sensibles.
L’hébergement bénéficie des certifications suivantes :
- HDS (Hébergement de Données de Santé), garantissant un niveau de sécurité adapté au traitement de données de santé
- ISO/IEC 27001, norme internationale relative aux systèmes de management de la sécurité de l’information
Ces certifications attestent de la mise en œuvre de mesures rigoureuses, notamment en matière de gouvernance de la sécurité, de gestion des risques, de contrôle des accès et de continuité d’activité.
Aucune donnée à caractère personnel n’est transférée en dehors de l’Union européenne. L’ensemble des traitements est réalisé dans un environnement maîtrisé et conforme aux exigences réglementaires les plus strictes.
5. Sécurité des infrastructures et des flux
Coline.care met en œuvre des mesures techniques visant à assurer la protection des données tant au repos qu’en transit.
Les communications entre les utilisateurs et la plateforme sont sécurisées par des protocoles de chiffrement conformes à l’état de l’art, notamment via l’utilisation du protocole TLS (Transport Layer Security), garantissant la confidentialité et l’intégrité des données échangées.
Les données sensibles sont protégées par des mécanismes de chiffrement adaptés, et les mots de passe des utilisateurs sont stockés sous forme chiffrée, ne permettant pas leur restitution en clair.
L’architecture technique repose sur un cloisonnement des environnements et une isolation des services, limitant les risques de propagation en cas d’incident.
Des dispositifs de pare-feu et de filtrage des accès sont mis en œuvre afin de prévenir les tentatives d’intrusion et de protéger les systèmes contre les attaques externes.
6. Gestion des vulnérabilités et maintenance
Coline.care met en œuvre une politique proactive de gestion des vulnérabilités.
Cette politique comprend notamment :
- la mise à jour régulière des composants techniques de la plateforme
- la surveillance continue des vulnérabilités connues
- l’application de correctifs de sécurité dans des délais adaptés au niveau de criticité
- des audits de sécurité périodiques
Les dépendances techniques, extensions et outils utilisés font l’objet d’un suivi régulier afin de limiter l’exposition aux risques.
7. Continuité d’activité et sauvegardes
Afin de garantir la disponibilité et la résilience du service, Coline.care met en œuvre des dispositifs de continuité d’activité.
Des sauvegardes automatiques quotidiennes sont réalisées sur des infrastructures sécurisées, permettant la restauration des données en cas d’incident.
Les mécanismes mis en place visent à limiter l’impact d’un événement technique ou de sécurité, et à assurer une reprise rapide du service.
Le niveau de disponibilité cible (SLA) est de 99,9 %, sous réserve des opérations de maintenance et des événements extérieurs.
8. Sécurité des données
Coline.care met en œuvre des mesures techniques visant à protéger les données contre tout accès non autorisé, perte, altération ou divulgation.
Ces mesures incluent notamment :
- le chiffrement des mots de passe
- la sécurisation des flux de données
- la mise en place de pare-feu
- la surveillance continue des infrastructures
Des sauvegardes quotidiennes sont réalisées afin de garantir la continuité du service et la restauration des données en cas d’incident.
9. Cloisonnement et isolation des données
Coline.care applique des principes stricts de cloisonnement des données.
Les données des utilisateurs sont isolées des systèmes d’information des entreprises partenaires, sans interconnexion ni synchronisation.
L’accès aux données est segmenté en fonction des rôles, et limité aux seules personnes habilitées, conformément au principe du moindre privilège.
Cette architecture permet de réduire significativement les risques d’accès non autorisé et de fuite de données.
10. Anonymisation
Coline.care a mis en place une architecture garantissant un cloisonnement strict des données.
Les données des utilisateurs ne sont pas connectées aux systèmes des entreprises partenaires.
Aucune donnée nominative n’est collectée, et aucune information ne permet à une entreprise d’identifier un utilisateur.
Les données éventuellement transmises aux entreprises partenaires le sont exclusivement sous forme anonymisée et agrégée.
11. Gestion des violations de données
Coline.care dispose d’une procédure interne de gestion des violations de données à caractère personnel.
En cas d’incident, les mesures suivantes sont mises en œuvre :
- identification et analyse de la violation
- sécurisation immédiate des systèmes
- documentation de l’incident dans un registre dédié
- évaluation des risques pour les utilisateurs
Lorsque la violation est susceptible d’engendrer un risque pour les droits et libertés des utilisateurs, Coline.care procède à une notification auprès de l’CNIL dans un délai maximal de 72 heures.
Si la violation présente un risque élevé, les utilisateurs concernés sont informés dans les meilleurs délais.
12. Sécurité organisationnelle
Coline.care met en place des mesures organisationnelles visant à garantir la protection des données :
- sensibilisation des équipes aux enjeux de protection des données
- formation régulière aux bonnes pratiques de cybersécurité
- signature d’engagements de confidentialité par les collaborateurs et les experts
Ces mesures permettent d’assurer un niveau de vigilance élevé dans le traitement des données.
13. Audit et amélioration continue
Coline.care met en œuvre une démarche d’amélioration continue de la sécurité des données.
Des audits internes sont réalisés tous les six mois afin de :
- vérifier les accès
- contrôler les journaux d’activité
- tester les procédures de suppression des données
Une revue annuelle globale est également réalisée afin d’adapter les mesures de sécurité aux évolutions réglementaires et technologiques.
14. Droits des utilisateurs
Les utilisateurs disposent de droits sur leurs données personnelles, notamment les droits d’accès, de rectification, d’effacement, d’opposition et de portabilité.
Ces droits peuvent être exercés à tout moment en contactant : dpo@coline.care
15. Contact
Pour toute question relative à la sécurité des données ou à leur traitement : dpo@coline.care