Coline
FonctionnalitésComment ça marchePour les entreprisesTémoignages
Retour

Sécurité & données sensibles

1. Objet

La présente page a pour objet de détailler les mesures techniques, organisationnelles et procédurales mises en œuvre par Coline.care afin de garantir la sécurité des données à caractère personnel traitées sur la plateforme, ainsi que les modalités spécifiques de gestion des données sensibles.

Elle complète la Politique de confidentialité et s’inscrit dans le cadre du respect du Règlement Général sur la Protection des Données (RGPD), de la loi Informatique et Libertés modifiée, ainsi que des recommandations de l’CNIL.

2. Nature des données traitées

Dans le cadre de ses services, Coline.care est susceptible de traiter des données à caractère personnel, incluant des données pouvant relever de la catégorie des données sensibles au sens de l’article 9 du RGPD.

Ces données peuvent notamment concerner :

  • l’existence d’un défi de santé ou d’une situation de vulnérabilité
  • des informations relatives au parcours de l’utilisateur (diagnostic, arrêt de travail, reprise, etc.)
  • des besoins d’accompagnement pouvant refléter une situation personnelle ou médicale

Coline.care a fait le choix de limiter au strict nécessaire la collecte de données, en ne collectant pas de données directement identifiantes telles que le nom, le prénom ou la date de naissance, afin de réduire les risques en cas d’incident.

3. Principes de protection des données

Coline.care applique une approche de privacy by design et by default, intégrée dès la conception de la plateforme.

Cela se traduit notamment par :

  • une minimisation des données collectées
  • une séparation stricte des accès
  • une absence de connexion entre les données de la plateforme et les systèmes des entreprises partenaires
  • une limitation des traitements aux seules finalités nécessaires

Les données sont traitées de manière à garantir leur confidentialité, leur intégrité et leur disponibilité.

4. Hébergement et localisation des données

Les données à caractère personnel traitées dans le cadre de la plateforme Coline.care sont hébergées exclusivement en France, sur des infrastructures opérées par la société Scalingo.

Ces infrastructures reposent sur des datacenters exploités par Outscale, qualifiés SecNumCloud 3.2, et conformes aux exigences applicables en matière d’hébergement de données sensibles.

L’hébergement bénéficie des certifications suivantes :

  • HDS (Hébergement de Données de Santé), garantissant un niveau de sécurité adapté au traitement de données de santé
  • ISO/IEC 27001, norme internationale relative aux systèmes de management de la sécurité de l’information

Ces certifications attestent de la mise en œuvre de mesures rigoureuses, notamment en matière de gouvernance de la sécurité, de gestion des risques, de contrôle des accès et de continuité d’activité.

Aucune donnée à caractère personnel n’est transférée en dehors de l’Union européenne. L’ensemble des traitements est réalisé dans un environnement maîtrisé et conforme aux exigences réglementaires les plus strictes.

5. Sécurité des infrastructures et des flux

Coline.care met en œuvre des mesures techniques visant à assurer la protection des données tant au repos qu’en transit.

Les communications entre les utilisateurs et la plateforme sont sécurisées par des protocoles de chiffrement conformes à l’état de l’art, notamment via l’utilisation du protocole TLS (Transport Layer Security), garantissant la confidentialité et l’intégrité des données échangées.

Les données sensibles sont protégées par des mécanismes de chiffrement adaptés, et les mots de passe des utilisateurs sont stockés sous forme chiffrée, ne permettant pas leur restitution en clair.

L’architecture technique repose sur un cloisonnement des environnements et une isolation des services, limitant les risques de propagation en cas d’incident.

Des dispositifs de pare-feu et de filtrage des accès sont mis en œuvre afin de prévenir les tentatives d’intrusion et de protéger les systèmes contre les attaques externes.

6. Gestion des vulnérabilités et maintenance

Coline.care met en œuvre une politique proactive de gestion des vulnérabilités.

Cette politique comprend notamment :

  • la mise à jour régulière des composants techniques de la plateforme
  • la surveillance continue des vulnérabilités connues
  • l’application de correctifs de sécurité dans des délais adaptés au niveau de criticité
  • des audits de sécurité périodiques

Les dépendances techniques, extensions et outils utilisés font l’objet d’un suivi régulier afin de limiter l’exposition aux risques.

7. Continuité d’activité et sauvegardes

Afin de garantir la disponibilité et la résilience du service, Coline.care met en œuvre des dispositifs de continuité d’activité.

Des sauvegardes automatiques quotidiennes sont réalisées sur des infrastructures sécurisées, permettant la restauration des données en cas d’incident.

Les mécanismes mis en place visent à limiter l’impact d’un événement technique ou de sécurité, et à assurer une reprise rapide du service.

Le niveau de disponibilité cible (SLA) est de 99,9 %, sous réserve des opérations de maintenance et des événements extérieurs.

8. Sécurité des données

Coline.care met en œuvre des mesures techniques visant à protéger les données contre tout accès non autorisé, perte, altération ou divulgation.

Ces mesures incluent notamment :

  • le chiffrement des mots de passe
  • la sécurisation des flux de données
  • la mise en place de pare-feu
  • la surveillance continue des infrastructures

Des sauvegardes quotidiennes sont réalisées afin de garantir la continuité du service et la restauration des données en cas d’incident.

9. Cloisonnement et isolation des données

Coline.care applique des principes stricts de cloisonnement des données.

Les données des utilisateurs sont isolées des systèmes d’information des entreprises partenaires, sans interconnexion ni synchronisation.

L’accès aux données est segmenté en fonction des rôles, et limité aux seules personnes habilitées, conformément au principe du moindre privilège.

Cette architecture permet de réduire significativement les risques d’accès non autorisé et de fuite de données.

10. Anonymisation

Coline.care a mis en place une architecture garantissant un cloisonnement strict des données.

Les données des utilisateurs ne sont pas connectées aux systèmes des entreprises partenaires.

Aucune donnée nominative n’est collectée, et aucune information ne permet à une entreprise d’identifier un utilisateur.

Les données éventuellement transmises aux entreprises partenaires le sont exclusivement sous forme anonymisée et agrégée.

11. Gestion des violations de données

Coline.care dispose d’une procédure interne de gestion des violations de données à caractère personnel.

En cas d’incident, les mesures suivantes sont mises en œuvre :

  • identification et analyse de la violation
  • sécurisation immédiate des systèmes
  • documentation de l’incident dans un registre dédié
  • évaluation des risques pour les utilisateurs

Lorsque la violation est susceptible d’engendrer un risque pour les droits et libertés des utilisateurs, Coline.care procède à une notification auprès de l’CNIL dans un délai maximal de 72 heures.

Si la violation présente un risque élevé, les utilisateurs concernés sont informés dans les meilleurs délais.

12. Sécurité organisationnelle

Coline.care met en place des mesures organisationnelles visant à garantir la protection des données :

  • sensibilisation des équipes aux enjeux de protection des données
  • formation régulière aux bonnes pratiques de cybersécurité
  • signature d’engagements de confidentialité par les collaborateurs et les experts

Ces mesures permettent d’assurer un niveau de vigilance élevé dans le traitement des données.

13. Audit et amélioration continue

Coline.care met en œuvre une démarche d’amélioration continue de la sécurité des données.

Des audits internes sont réalisés tous les six mois afin de :

  • vérifier les accès
  • contrôler les journaux d’activité
  • tester les procédures de suppression des données

Une revue annuelle globale est également réalisée afin d’adapter les mesures de sécurité aux évolutions réglementaires et technologiques.

14. Droits des utilisateurs

Les utilisateurs disposent de droits sur leurs données personnelles, notamment les droits d’accès, de rectification, d’effacement, d’opposition et de portabilité.

Ces droits peuvent être exercés à tout moment en contactant : dpo@coline.care

15. Contact

Pour toute question relative à la sécurité des données ou à leur traitement : dpo@coline.care

Coline

Coline accompagne les salariés confrontés à des défis de santé, les aidants, les managers et les RH pour avancer ensemble.

Informations

  • Politique de confidentialité
  • Conditions générales d'utilisation
  • Mentions légales
  • Protection des données

Hébergé en France

(Serveurs certifiés HDS & ISO 27001)