Protection des données

POLITIQUE DE PROTECTION DES DONNEES PERSONNELLES

NumaHealth International

Table des matières

PRÉAMBULE

ARTICLE 1 – RGPD

ARTICLE 2 – NOTION DE DONNÉES PERSONNELLES

ARTICLE 3 – DONNÉES COLLECTÉES AU SEIN DE LA SOCIETE

ARTICLE 4 – L’OBLIGATION D’INFORMATION ET LE RESPECT DU CONSENTEMENT

ARTICLE 5 – FINALITÉS DES DONNÉES COLLECTÉES

ARTICLE 6 – UTILISATION DES DONNÉES COLLECTÉES

ARTICLE 7 – SÉCURITÉ DES DONNÉES

ARTICLE 8 – DURÉE DE CONSERVATION DES DONNÉES

ARTICLE 9 – LES DROITS CONCERNÉS

ARTICLE 10 – ENTRÉE EN VIGUEUR

PRÉAMBULE

La présente politique de protection des données personnelles (« Politique ») a été élaborée en vue de définir les engagements pour la protection des données personnelles et sensibles et préciser la mise en place du Règlement Général de Protection des Données (« RGPD ») au sein de la société NumaHealth International SAS dont le siège est situé à LA ROCHELLE (17 000), 1 rue de la Trinquette (la « Société »). 

La Société exploite un site internet de vente en ligne de produits et services de santé naturelle et personnalisée (« Produits et Services »), site accessible à l’adresse suivante : https://numahealth.com (« Site »). La présente Politique est accessible en page d’accueil du Site et fait partie intégrante des conditions générales d’utilisation du Site (« CGU ») également accessible en page d’accueil du Site. Cette Politique pourra faire l’objet de modification par la Société en cas d’évolutions réglementaires, jurisprudentielles ou techniques.

La Société propose aux utilisateurs un service en ligne d’analyse et d’évaluation de la capacité adaptative de l’organisme face aux agressions internes et externes qu’il peut subir. A cette fin, les utilisateurs sont invités à communiquer diverses informations personnelles, y compris informations sensibles de santé telles que données cliniques, données liées au mode de vie et résultats d’analyse sanguine. Ce service en ligne fournit cette évaluation sous forme de score global et détaillé, ainsi que des recommandations personnalisées de traitements naturels (compléments alimentaires) et d’hygiène de vie.

Compte tenu de la nature des Produits et Services qu’elle propose, la Société accorde une importance toute particulière à la protection :

  • des données santé (ou données sensibles) que les utilisateurs sont amenés à communiquer dans le cadre de l’utilisation des Produits et Services proposés sur le Site ;
  • des données personnelles des utilisateurs du Site ainsi que de ses salariés, clients et partenaires.

La Société respecte la loi « Informatique & Libertés» n° 78-17 du 6 janvier 1978 modifiée, la loi «pour la confiance dans l’économie numérique» n° 2004-575 du 21 juin 2004, ainsi que le Règlement Général sur la Protection des Données, n° 2016/679 du 27 avril 2016, devenu applicable dans l’Union Européenne depuis le 25 mai 2018.

ARTICLE 1 – RGPD

Le RGPD concerne le traitement et la circulation des données à caractère personnel, ces informations sur lesquelles les entreprises s’appuient pour proposer des services et des produits.

Il établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données.

Il protège les libertés et droits fondamentaux des personnes physiques et en particulier leur droit à la protection des données à caractère personnel.

Les principaux objectifs du RGPD sont d’accroître à la fois la protection des personnes concernées par un traitement de leurs données à caractère personnel et la responsabilisation des acteurs de ce traitement.

L’objectif est également d’harmoniser la norme juridique européenne en matière de protection des données personnelles, afin qu’il n’y ait qu’un seul et même cadre s’appliquant à l’ensemble des États membres.

ARTICLE 2 – NOTION DE DONNÉES PERSONNELLES

Une donnée personnelle est une information qui permet d’identifier une personne physique, directement ou indirectement. Il peut s’agir d’un nom, d’une photographie, d’une adresse IP, d’un numéro de téléphone, d’un identifiant de connexion informatique, d’une adresse postale, d’une empreinte, d’un enregistrement vocal, d’un numéro de sécurité sociale, d’une adresse email, etc.

Certaines données sont sensibles, car elles touchent à des informations qui peuvent donner lieu à de la discrimination ou des préjugés: une opinion politique, une sensibilité religieuse, un engagement syndical, une appartenance ethnique, une orientation sexuelle, une situation médicale ou des idées philosophiques sont des données sensibles.

Elles ont un cadre particulier, qui interdit toute collecte préalable sans consentement écrit, clair et explicite, et pour des cas précis, validés par la Commission Nationale de l’Informatique et des Libertés (« CNIL ») et dont l’intérêt public est avéré.

ARTICLE 3 – DONNÉES COLLECTÉES AU SEIN DE LA SOCIETE

3.1 Catégories de données collectées

L’activité de la Société nécessite pour ses opérations de recueillir et de traiter des données à caractère personnel, y compris des données sensibles, en vue de fournir les Produits et Services. 

La Société collecte l’ensemble des informations suivantes : 

  • Des données génériques nécessaires à l’identification des utilisateurs et des praticiens pour la création et la validation de leurs comptes utilisateur et professionnel ou pour les besoins de contacter la Société via un formulaire de contact ou pour recevoir des notifications de score, de règlements ou des propositions commerciales : civilité, nom, prénom, adresse, numéro de téléphone, adresse électronique, date de naissance, données relatives à l’enregistrement sur des listes d’opposition.
  • Le numéro d’Inscription au Répertoire – NIR nécessaire pour l’identification des utilisateurs.
  • Le numéro d’inscription au répertoire partagé des professionnels de santé (RPPS), nécessaire pour l’identification des praticiens et la validation de leurs comptes.
  • Des données de santé nécessaires à fourniture des Produits et Services en ligne demandée par les utilisateurs et les praticiens : données cliniques (tension artérielle, poids, taille…) ou données relatives au mode de vie (heure d’endormissement, pratique physique, médication, etc.). 
  • Des informations de connexion et de navigation des pages du Site ou relatives à l’historique des achats peuvent également être collectées pour rendre la navigation plus efficace, proposer aux utilisateurs des offres adaptées ou, de façon générale, réaliser des actions de fidélisation et de prospection.
  • Données relatives aux moyens de paiement : numéro de carte bancaire, date de fin de validité de la carte bancaire, cryptogramme visuel (lequel est immédiatement effacé).
  • Données personnelles de partenaires commerciaux ou non, prospects ou sous contrat avec la Société (fournisseurs, clients…): nom, prénom, titre, adresse mél professionnelle, numéro de téléphone professionnel, nom de la société.
  • Données personnelles de salariés en vue de l’établissement des relations de travail et la gestion du personnel.

3.2 Moyens de collecte des données

Les données sont collectées comme suit :

  • données personnelles : lors de la création et de la validation du compte par les utilisateurs et les praticiens, lors de la saisie d’un formulaire de contact ou de questionnaires préalables à tout achat de Produits et Services.
  • données de santé :
    • lors de la saisie par les utilisateurs de leurs données cliniques et de mode de vie,
    • issues de la transmission par les laboratoires d’analyse sanguine de données d’analyses sanguines identifiées ou de la mise à disposition de ces données par l’utilisateur sur son interface dédiée.
  • Informations de connexion et/ou de navigation sur le Site via :
    • une balise web pour déterminer qui lit, quand et depuis quel ordinateur, une page Web émise par la Société ;
    • Lors de la lecture d’une page Web émise par la société NHI, une routine d’en tête de réponse ETag, de protocole http, afin d’optimiser les caches pour rendre la navigation plus efficace et d’économiser de la bande passante ;
    • Des scripts et des Plugins associés aux pages Web émises par la Société pour une automatisation de processus afin de guider les utilisateurs ;
    • des cookies permettant de reconnaître le terminal de l’utilisateur à chaque fois que ce terminal accède au Site. Ils permettent au Site de fonctionner efficacement, et de se souvenir des préférences. 
  • données relatives aux commandes de Produits et Services faites sur le Site : lors de la saisie par les utilisateurs sur la page de commande du Site de leurs informations liées à leur carte bancaire.
  • Toutes les autres données sont collectées par la communication à la Société, par les personnes concernées, de leurs données personnelles pour les besoins du traitement en cause (établissement d’actes préparatoires à un contrat ou d’un contrat, gestion du personnel, etc.).

ARTICLE 4 – L’OBLIGATION D’INFORMATION ET LE RESPECT DU CONSENTEMENT

La Société:

  • garantit la protection des droits d’accès, de rectification, et en cas de motifs légitimes, d’opposition, de portabilité et de suppression pour toutes les données personnelles ;
  • s’engage à prendre des mesures de sécurité physiques, techniques et organisationnelles nécessaires pour préserver la sécurité des données à caractère personnel des utilisateurs contre tout accès non autorisé, modification, déformation, divulgation, ou destruction des données à caractère personnel qu’elle détient et protéger ses activités ;
  • s’engage à diligenter régulièrement des audits internes afin de s’assurer de la sécurité des données à caractère personnel et de se prémunir contre tout accès non autorisé à ses systèmes.
  • Pour procéder à la collecte et aux traitements de ces données, la Société recueille l’assentiment des utilisateurs et des praticiens.

ARTICLE 5 – FINALITÉS DES DONNÉES COLLECTÉES

Seules les données nécessaires et pertinentes au regard des finalités poursuivies sont collectées, dans le respect du principe de proportionnalité et ce afin d’améliorer la qualité des produits ou services que la Société propose.

La Société ne collecte que les données adéquates, pertinentes et strictement nécessaires à la finalité du traitement.

Les données identifiées comme étant obligatoires sont nécessaires afin de permettre à la Société de fournir les Produits et Services qu’elle propose.

Les finalités poursuivies par la collecte et le traitement des données personnelles sont les suivantes :

5.1 Concernant les données personnelles et de santé des utilisateurs

  • Optimiser le fonctionnement global de l’organisme et sa capacité d’autoguérison,

Les données de santé anonymisées des patients peuvent également être transmises au centre de recherche de la Société en vue d’améliorer les Produits et Services. 

Ce traitement des données correspond à une finalité d’intérêt public, en aidant le patient à prendre conscience de son état de santé et en l’aidant à choisir de modifier son mode de vie et de palier aux carences révélées dans le score. 

5.2 Concernant les données personnelles des praticiens

  • Aider les professionnels de santé dans leurs prescriptions en améliorant la connaissance de leurs patients et en abaissant les traitements médicamenteux grâce à l’apport d’alternatives naturelles.
  • Proposer aux professionnels de santé des contenus adaptés.

5.3 Concernant les autres données personnelles 

5.3.1 Données personnelles des salariés

Pour remplir son objet social la Société emploie du personnel. A cette fin, la Société recueille toutes les informations nécessaires au service de ressources humaines pour la gestion du personnel et l’établissements des actes, tels que les contrats de travail ou les fiches de paie, les informations peuvent être transmises aux partenaires notamment expert-comptable (service de paie), assureurs, courtiers en assurances ou organismes sociaux tels que URSSAF, organismes de prévoyance collective, mutuelles complémentaires, médecine du travail, etc..

5.3.2 Autres données personnelles

  • Etablir et gérer des relations commerciales (établissements des contrats, règlements fournisseurs, gestion des litiges, etc.).

5.4 Autres finalités poursuivies

  • Gérer les commandes, les paiements et fournitures des Produits et des Services de la Société ;
  • Les données peuvent être utilisées à des fins de contrôle interne et dans le cadre des dispositions légales concernant la lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT).
  • Les données peuvent également être vérifiées afin d’être exactes et complètes. Les utilisateurs peuvent être sollicités pour la mise à jour de leur dossier.
  • Les données peuvent être utilisées afin de mener des opérations de marketing (fidélisation, promotions) et adresser des publicités par courriel auprès des utilisateurs qui ne s’y sont pas opposés ou qui l’ont accepté.
  • Les données collectées automatiquement peuvent constituer une base d’information pour des réseaux tiers de confiance susceptible d’adresser des offres adaptées. Les utilisateurs peuvent se désengager.

ARTICLE 6 – UTILISATION DES DONNÉES COLLECTÉES

Toute utilisation de données personnelles par la Société repose sur l’un des fondements juridiques prévus par la loi soit:

  • la protection des intérêts légitimes de la Société,
  • l’exécution d’un contrat conclu ou d’un engagement,
  • le respect d’une obligation légale ou réglementaire,
  • la préservation de l’intérêt public, comme la prévention ou la détection d’une fraude ou d’un délit financier.

En aucun cas, les données ne seront traitées d’une manière incompatible avec ces finalités, sauf à recueillir un accord préalable de la personne concernée.

Les données collectées par la Société sont traitées pour les besoins d’exécution des opérations sur les contenus des Produits et Services qu’elle fournit. Les données sensibles sont destinées à alimenter les algorithmes développés par la Société pour que les calculs nécessaires soient exacts et puissent ainsi fournir un résultat en cohérence avec le métabolisme physiologique de l’utilisateur. Les données de santé des utilisateurs peuvent également être consultées par le professionnel de santé qui le suit dans le cadre de sa relation avec son patient.

Les intervenants extérieurs (prestataires, sous-traitants, ..), sous contrat de confidentialité avec la Société, ne sont pas destinataires des données anonymisées mais peuvent y accéder dans un souci de développement, de contrôle de cohérence et de maintenance.

Dans le cadre de l’amélioration de l’offre de la Société, les données anonymisées pourraient en outre être partagées avec des partenaires pour des besoins d’amélioration des algorithmes et d’enrichissement de l’offre existante avec des objets connectés (prestations complémentaires). Les données sont partagées avec le consentement des utilisateurs.

Les données à caractère personnel recueillies conformément aux finalités annoncées, à l’occasion de diverses opérations, ne font pas l’objet d’un transfert hors de l’Union Européenne.

Dans le cadre éventuel d’un transfert vers un pays hors Union Européenne, des règles assurant la protection et la sécurité de ces informations seront alors mises en place.

Les données personnelles autres que celles des utilisateurs ou des praticiens peuvent être transmises par la Société à des prestataires externes dans le cadre du respect de ses obligations légales (établissement des fiches de paie, des comptes annuels, établissement des contrats d’assurance, etc.). Ces prestataires concluent avec la Société un contrat garantissant la protection des données personnelles dont ils ont connaissance dans le strict cadre de leur mission.

ARTICLE 7 – SÉCURITÉ DES DONNÉES

7.1 Sécurité des données autres que les données personnelles et de santé des utilisateurs et des praticiens

Les données personnelles recueillies par la Société ne sont en aucun cas cédées, louées ou échangées à des tiers, à l’exception des partenaires et filiales de la Société, à moins que cela n’ait été clairement précisé lors de la collecte des données concernées. Les données personnelles étant confidentielles, la société limite leur accès aux seuls collaborateurs de la Société ou prestataires ayant besoin d’en connaître dans le cadre de l’exécution du traitement. 

Toutes les personnes ayant accès aux données personnelles sont liées par un devoir de confidentialité et s’exposent à des mesures disciplinaires et/ou autres sanctions si elles ne respectent pas ces obligations. En particulier, la Société s’engage à conclure avec ces partenaires et filiales des contrats définissant précisément les conditions et modalités de traitement des données à caractère personnel, avec :

  • un niveau de protection des données à caractère personnel équivalent au sien,
  • un accès et une utilisation des données à caractère personnel ou des informations strictement nécessaires pour les services qu’ils doivent fournir,
  • un respect strict de la législation et de la réglementation applicables en matière de confidentialité, de secret médical, et de protection des données personnelles, une mise en œuvre de toutes les mesures adéquates pour assurer la protection des données à caractère personnel amenées à être conservées ou traitées.

Toutefois les données pourront être divulguées en application d’une loi, d’un règlement ou en vertu d’une décision d’une autorité réglementaire ou judiciaire compétente ou encore, si cela s’avère nécessaire, aux fins de préserver les droits et intérêts de la Société.

Par ailleurs la Société pourra, le cas échéant, transmettre des informations si elle acquiert une autre société ou fait l’objet d’un rachat, d’une fusion, d’une absorption, d’un regroupement ou d’une réorganisation de quelque nature que ce soit.

7.2 Sécurité spécifique des données personnelles et de santé des utilisateurs des Produits et Services et des praticiens

Les données personnelles et de santé collectées sont systématiquement transférées sur un serveur sécurisé hébergé par une société certifiée par une norme HDS « BDD HDS ». 

Les résultats de prise de sang sont envoyés par les laboratoires d’analyse sanguine à une adresse de messagerie sécurisée de la Société fournie par l’association APICEM grâce à sa messagerie APICRYPT (format HPRIM). 

Un serveur de la Société reçoit les résultats de la prise de sang sous forme de messages emails sécurisés qui sont déchiffrés pour renseigner les résultats en base de données sécurisées hébergée par une société certifiée par une norme HDS « BDD HDS ». APICEM fournit à la Société des outils serveurs et une clef de déchiffrement TLS 512 bits permettant ce déchiffrage. Une fois déchiffrés, les résultats sanguins sont directement intégrés dans le logiciel de traitement du Service et font l’objet d’un envoi au praticien prescripteur. 

Tout utilisateur ouvrant un compte est invité à créer un identifiant et un mot de passe. Ce mot de passe doit impérativement rester secret et l’utilisateur doit limiter l’accès à son ordinateur ou à ses appareils mobiles et se déconnecter à la fin de l’utilisation des services. Les utilisateurs sont invités à consulter les CGU du Site pour obtenir des précisions sur les modalités de création de leurs comptes.

ARTICLE 8 – DURÉE DE CONSERVATION DES DONNÉES

Les données personnelles sont stockées et conservées pour la durée nécessaire à la réalisation des finalités poursuivies par la Société.

  • Dès l’activation de leurs comptes utilisateurs, les données personnelles et de santé des utilisateurs sont conservées pendant 20 ans si la connexion au compte est régulière (au moins une connexion par an) et pendant 36 mois s’il y a une inactivité (aucune connexion pendant un an).
  • Les données personnelles des salariés seront conservées pour la durée du contrat de travail qui les lient à la Société et pour la durée de conservation légale des documents administratifs et sociaux.
  • Les autres données personnelles sont conservées dans des délais variables en fonction de la durée des relations entre la personne concernée et la Société, de la durée de conservation légale des documents administratifs, etc. 

ARTICLE 9 – LES DROITS CONCERNÉS

La Société entend respecter l’intégralité des droits des personnes à l’égard du traitement de leurs données personnelles et sensibles:

  • le droit d’être informé sur l’utilisation des données personnelles ;
  • le droit d’accéder aux informations personnelles ;
  • le droit de demander la correction des données personnelles inexactes, incomplètes, équivoques ou obsolètes;
  • la possibilité d’exiger la transférabilité (droit à la portabilité) des données à un autre fournisseur/utilisateur de service ;
  • le droit de définir des directives relatives au sort des données personnelles après la mort  ;
  • le droit de déposer le cas échéant des plaintes justifiées et dûment motivées auprès de l’autorité nationale en charge de la protection des données personnelles.

Tout utilisateur des Produits et Services a la possibilité d’exercer ces droits en contactant la Société par mél à l’adresse suivante : contact@numahealth.com.

ARTICLE 10 – ENTRÉE EN VIGUEUR

La présente Politique est applicable dès la date de sa publication.

                                                                                                              Fait à La Rochelle, juillet 2020