Politique de confidentialité
Introduction
Cette politique de confidentialité vous informe sur la manière dont Kralys (nous, notre, Kralys) traite les Données personnelles de ces Utilisateurs (vous, votre, Utilisateur), de la façon la plus précise et transparente possible. Cette politique de confidentialité tient notamment compte de la loi fédérale sur la protection des données (LPD) et du règlement général sur la protection des données (RGPD).
En utilisant nos services sur katarinahealth.com , vous acceptez cette présente Politique de confidentialité ainsi que les Traitements faits sur vos Données personnelles.
Définitions
Afin de faciliter la compréhension de notre politique de confidentialité, nous mettons à disposition les définitions d’expressions utilisées dans ce document.
Compte utilisateur personnel: type de compte pour les Patients permettant d’utiliser les services proposés par la Plateforme
Compte utilisateur professionnel: type de compte pour les Professionnels de santé proposant leurs services sur la Plateforme
Données personnelles: toute information se rapportant à une personne physique identifiée ou identifiable tel que définie dans le RGPD
Outils de support: outils mis à disposition pour les Utilisateurs de la Plateforme, notamment les formulaires de contact, le tchat en direct, ou encore le numéro de téléphone ou l’e-mail de Kralys.
Patient: personne physique ayant un Compte utilisateur personnel, pris en charge par le Professionnel de santé lors d’une consultation réservé sur la Plateforme
Plateforme: correspond au site web katarinahealth.com de Kralys
Prise de rendez-vous: service qui permet aux Patients de réserver des prestations auprès des Professionnels de santé via la Plateforme
Proche: personne physique ayant autorisé la réservation de services sur la Plateforme par un autre Utilisateur à son nom, cela concerne par exemple un enfant ou un autre membre de la famille de l’Utilisateur
Professionnel de santé: désigne un professionnel de la santé participant à la prise en charge d’un Patient, figurant sur la Plateforme
Responsable du traitement: personne physique (voire morale pour le RGPD), autorité publique ou organe fédéral (pour la LPD), un service ou un autre organisme qui détermine les finalités et les moyens du traitement
Sous-traitant: personne physique (voire morale pour le RGPD), autorité publique ou organe fédéral (pour la LPD), un service ou un autre organisme désigné afin de traiter les Données personnelles pour le compte du Responsable du traitement
Utilisateur: toute personne physique qui accède aux services de KatarinaHealth au travers de la Plateforme via son Compte utilisateur personnel ou son Compte utilisateur professionnel. Cela comprend le Répertoire de Professionnel et la Prise de rendez-vous.
Responsable du traitement et Sous-traitant de vos Données personnelles
Kralys agit en tant que Responsable du traitement de vos Données personnelles recueillies sur la Plateforme, en particulier lors de (i) la création et la gestion des Comptes utilisateurs personnels et professionnels ; (ii) l’administration et la gestion de la liste des Professionnels de santé ; (iii) la Prise de rendez-vous en ligne, et plus généralement l’utilisation de la Plateforme.
Kralys agit aussi en tant que Sous-traitant pour les Professionnels de santé inscrits sur notre Plateforme. Vos Données personnelles enregistrées lors de la Prise de rendez-vous sont partagées avec les Professionnels de santé.
Point important: cette politique de confidentialité ne régit pas comment les Professionnels de santé traitent vos Données personnelles. Veuillez contacter directement les Professionnels de santé concernés lorsque vous avez des doutes sur la manière dont ils traitent vos Données personnelles.
Nous prenons les mesures nécessaires et adaptées afin d’assurer la protection et la confidentialité de vos Données personnelles, dans le respect des dispositions du RGPD et de la LPD.
Provenance des Données personnelles
Nous collectons les Données personnelles via différents canaux.
Données collectées auprès des Utilisateurs
Kralys collecte directement les Données personnelles des Utilisateurs lors d’interactions avec notre Plateforme ou nos employés, par exemple lors de la création d’un Compte utilisateur personnel ou d’un Compte utilisateur professionnel ou via les formulaires de contact et Outils de support mise à disposition, ainsi que lors d’échange téléphonique.
Aussi, un Utilisateur peut nous communiquer les Données personnelles d’un Proche pour qui il voudrait offrir un service disponible. Cette communication de Données personnelles doit se faire avec l’accord du Proche.
Dans le cas où vous ne souhaitez pas communiquer les informations demandées, vous pourriez ne pas pouvoir accéder aux services proposés sur la Plateforme partiellement ou entièrement.
Données collectées automatiquement lors de l’utilisation des services
Kralys collecte aussi des Données personnelles lors de la visite de la Plateforme à l’aide de Cookies. Vous pouvez configurer votre navigateur afin qu’il refuse l’utilisation de Cookies sur notre Plateforme. Cependant, certains sont nécessaires pour assurer la bonne fonctionnalité de la Plateforme.
Données collectées auprès de tiers ou de source publique (pour les professionnelles de la santé)
Concernant nos Utilisateurs qui sont des Professionnels de santé, nous pouvons collecter des Données personnelles auprès de tiers, notamment des registres de médecins et cabinets ou des bases de données publiques.
Les données collectées à cet effet sont le nom, l’email, l’adresse du ou des cabinets, la spécialité du Professionnel de santé, les horaires du ou des cabinets, et les langues parlées par le Professionnel de santé. Elles sont utilisées afin de créer une page de profil du cabinet qui est ensuite à disposition pour les autres Utilisateurs sur la Plateforme, et/ou de contacter le Professionnel de santé pour leur proposer nos services.
Finalités et traitement des Données personnelles collectées
Nous traitons vos Données personnelles en premier lieu pour vous fournir nos services. Elles sont collectées et enregistrées afin que vous puissiez vous inscrire sur katarinahealth.com et y utiliser par exemple la Prise de rendez-vous avec le rappel par email et par SMS. Nous pouvons aussi les traiter pour nos intérêts légitimes.
Liste des traitements et finalités
Finalités
Données de base (nom, prénom, sexe, date de naissance)
Coordonnées personnelles (email, téléphone mobile, autres informations de contact)
Identifiants (mot de passe, nom d’utilisateur (email)
Données liées au compte (date et heure de création, et de suppression)
Données de connexion (date/heure des connexions et déconnexion au compte, adresse IP, navigateur et matériel informatique utilisé)
Art. 398 CO, Art 31 al. 2 let. a LPD, Art. 6 al. 1 let. b RGPD
Nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci
5 ans à compter de la dernière Prise de rendez-vous en cas d’inactivité du Compte utilisateur personnel
OU
Jusqu’à la demande de suppression du compte par l’Utilisateur
Données de base
Photos (du Professionnel de santé et du cabinet)
Données professionnelles (Profession, formations accomplies (diplômes et titres obtenus), spécialisations, droit d’exercer, langues parlées, description professionnelle, plage horaire d’ouverture pour les consultations, numéro GLN)
Coordonnées professionnelles (cabinet, adresse email, numéro de téléphone fixe et (optionnel) mobile, adresse professionnelle, autres informations de contact)
Pièce d’identité
Information de paiement
Art. 398 CO, Art 31 al. 2 let. a LPD, Art. 6 al. 1 let. b RGPD
Intérêts légitimes (améliorer la qualité des services)
Durée de la relation contractuelle
Données de base
Photos
Données professionnelles
Coordonnées professionnelles
Pièce d’identité
Information de paiement
Art. 398 CO, Art 31 al. 2 let. a LPD, Art. 6 al. 1 let. b RGPD
Intérêts légitimes de Kralys et des patients (Art. 31 al. 1 LPD)
Jusqu’à la demande de suppression ou de rectification
Données de base
Coordonnées personnelles
Identifiants
Données liées au compte
(Optionnel) Numéro de carte d’assurance (pour les services remboursés)
(Optionnel) Motif de consultation
Art. 398 CO, Art 31 al. 2 let. a LPD, Art. 6 al. 1 let. b RGPD
Nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci
5 ans à compter de la dernière Prise de rendez-vous en cas d’inactivité du Compte utilisateur personnel, ensuite archivage selon le délai de rétention légal (10 ans en Suisse, CO Art. 958f + Art. 127 + 130)
Données de base
Coordonnées personnelles
Informations bancaires
Art. 3 al. 1 let. s + Art. 8 LCD
Art. 3, 4, 5, 6, 7, 8, 9, 13, 16 & 17 + Art. 10 al. 1 let. t OIP
Jusqu’à la demande de suppression du compte utilisateur et professionnel associé au paiement, puis archivage jusqu’à 10 ans
Données de base
Coordonnées personnelles
Art. 398 CO, Art 31 al. 2 let. a LPD, Art. 6 al. 1 let. b RGPD
Nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci
5 ans à partir de la dernière connexion au compte
OU
Jusqu’à suppression du compte par l’Utilisateur
OU
Jusqu’à opposition de ce dernier
Données de base
Coordonnées professionnelles (email)
Données professionnelles (spécialisation)
Art 31 al. 1 LPD + Art. 3 al. 1 let. o LCD
Intérêts légitimes
5 ans à compter du dernier contact avec le Professionnel de santé
OU
Jusqu’à opposition de ce dernier
Données de connexion
Art. 398 + Art. 400 CO, Art 31 al. 1 LPD
Intérêts légitimes
Logs: 6 mois à compter de la dernière Prise de rendez-vous
Adresse IP et autres informations: 1 an à compter du jour de l’enregistrement
Données anonymisées
Art. 398 CO
Intérêts légitimes (Art. 31 al. 2 let. e LPD, Art. 89 al. 1 RGPD)
n/a
Données de connexion
Art. 8 LPD + Art. 398 CO, Art. 32 RGPD
Logs: 6 mois à compter de la dernière Prise de rendez-vous
Adresse IP et autres informations: 1 an à compter du jour de l’enregistrement
Données de base
Coordonnées personnelles
Contenu de la demande de l’Utilisateur
(Optionnel) Pièce d’identité
(Optionnel) Historique des prises de rendez-vous
Art. 398 CO, Art. 31 al. 2 let. a LPD, Art. 6 al. 1 let. b RGPD
5 ans à compter de la demande de support
Sauf pour la pièce d’identité: conserver uniquement durant le temps requis à la vérification d’identité
Données de base
Coordonnées personnelles
Historique des prises de rendez-vous
Art. 398 CO, Art. 31 al. 2 let. a LPD, Art. 6 al. 1 let. b RGPD
Intérêts légitimes de Kralys ou du patient
Données effacées lorsque plus nécessaires à leur finalité
Données de base
Coordonnées personnelles
Contenu de la demande
Pièce d’identité (si nécessaire)
Droits de la protection des données (RGPD, LPD)
5 ans à compter de la demande
Sauf pour la pièce d’identité: conserver uniquement durant le temps requis à la vérification d’identité
Données décrites ci-dessus
Art. 958f CO + Art. 127 & 130 CO + Olico
Intérêts légitimes
Obligations légales et fiscales
Durée légale imposée de 10 ans
Adresse IP
Adresse du Professionnel de santé
Position de votre apparei
Consentement de l’Utilisateur sur le navigateur
Kralys ne collecte aucune donnée liée aux services de Google Maps. Pour en savoir plus sur le fonctionnement de ce service, vous pouvez consulter la Politique de confidentialité de Google disponible ici.
Toutes ces Données personnelles ne sont pas utilisées pour établir un profil de vous-même (profilage). L’agrégation de vos Données personnelles avec d’autres informations ou l’effacement d’information vous identifiant est une possibilité pour nous (anonymisation), de sorte qu’elles ne soient plus considérées comme des Données personnelles au sens de la loi sur la protection des données (RGPD Art. 89, LPD Art. 31 al. 2 let. e), et qu’elle nous permet d’utiliser ces données à des fins non prévues par cette politique de confidentialité (p.ex. réaliser des statistiques anonymes sur l’utilisation de nos services).
Destinataires des Données personnelles et Sous-traitants
Dans le cadre de nos opérations, nous pouvons partager des Données personnelles avec des tiers, si cela est nécessaire, pour assurer nos services ou pour d’autres motifs légitimes.
Usage interne: Les Données personnelles des Utilisateurs (Compte utilisateur personnel et professionnel) peuvent être traitées par les employées de Kralys SA, dans la limite de leur finalité respective de la présente Politique de confidentialité.
Professionnels de la santé: Vos données de réservation lors d’une Prise de rendez-vous sont transférées au Professionnel de santé concerné. Celui-ci peut alors enregistrer vos données de réservation sur son propre système. Dans le cadre d’un litige entre vous et le Professionnel de santé, nous pouvons aussi lui transmettre d’autres informations nécessaires afin de faire valoir ses droits juridiques.
Sous-traitants: Kralys fait appel à des prestations de Sous-traitants essentiels pour ses activités. Voici la liste de ceux-ci:
Sous-traitant
Infomaniak
Infomaniak Network SA
Rue Eugène Marziano 25
1227 Les Acacias
Suisse
Suisse
Hébergement du nom de domaine
n/a
Vercel
Vercel Inc.
440 N Barranca Ave #4133
Covina, CA 91723
USA
Washington, D.C., USA (East) - iad1
Hébergement de la Plateforme
Clauses contractuelles types
PlanetScale
PlanetScale Inc.
535 Mission St.
San Francisco, CA 94015
USA
Frankfurt, Allemagne (AWS - eu-central-1)
Hébergement des données des utilisateurs
Clauses contractuelles types
Clerk
Clerk Inc.
660 King St Unit 345
San Francisco, CA 94107
USA
n/a
Authentification et création des comptes utilisateurs
Clauses contractuelles types
Stripe
Stripe Inc.
354 Oyster Point Boulevard
South San Francisco, CA, 94080
USA
n/a
Paiement sécurisé sur la Plateforme
Clauses contractuelles types
Zendesk
Zendesk Inc.989 Market St
San Francisco, CA 94103
USA
Virginie du Nord (US East), Ohio (US East), Oregon (US West), Irelande, Frankfurt Allemagne, Tokyo Japon, Sydney Australie (sur AWS)
Système de base de connaissance et de support client
Clauses contractuelles types
Jira
Atlassian Pty Ltd
Level 6, 341 George Street
Sydney NSW 2000
Australia
Frankfurt, Allemagne (AWS - eu-central-1)
Gestion des demandes de clients (ticketing) pour le support client
Clauses contractuelles types
Intercom
Intercom Inc
55 2nd Street, 4th Fl.
San Francisco, CA 94105
USA
Dublin, Irelande (AWS - eu-west-1)
Tchat intégré pour le support client
Clauses contractuelles types
Google Maps
Google LLC
1600 Amphitheatre Parkway
Mountain View, CA 94043
USA
n/a
Affichage de l’adresse d’un cabinet sur une carte
Clauses contractuelles types
Google Analytics
Google LLC
1600 Amphitheatre Parkway
Mountain View, CA 94043
USA
n/a
Outil d’analyse d’audience pour notre Plateforme
Clauses contractuelles types
Axeptio
Agilitation
15 rue du général Campredon, 34000 Montpellier
France
France
Plateforme de consentement pour les cookies
n/a
Clauses contractuelles types
Transfert à l'étranger
Certains des Sous-traitants que nous utilisons sont basés à l’étranger, que ce soit dans des pays de l’Union Européenne, ou au-delà. En principe, la Suisse détient des accords des pays étrangers qui sont jugés “disposant d’une législation assurant un niveau de protection adéquat ou qu’un organisme international garantit un niveau de protection adéquat” (LPD, Art. 16 al. 1). La liste des pays est disponible ici.
Concernant des pays tiers non listés, sauf indication contraire de notre part, la base juridique pour la transmission des données est en général les clauses standard de protection des données. Celles-ci sont un ensemble de règles adoptées par le PFPDT et font partie du contrat avec le tiers concerné. Conformément à l'art. 16, al. 2, let. d LPD, elles garantissent la sécurité lors de la transmission des données.
De nombreux Sous-traitants ont fourni des garanties contractuelles qui vont au-delà des clauses contractuelles standard. Il s'agit par exemple de garanties concernant le cryptage des données ou concernant l'obligation du tiers d'informer les personnes concernées lorsque les organes de poursuite pénale veulent accéder aux données.
Vos droits
Conformément aux lois sur la protection des données auxquels nous sommes soumises (LPD et RGPD), vous disposez de droits sur vos Données personnelles listés ci-dessous:
Droit d’accès (LPD: Art. 25, RGPD: Art. 15): l’Utilisateur peut à tout moment consulter ses Données personnelles détenues par Kralys.
Droit de rectification (LPD: Art. 32, RGPD: Art. 16): l’Utilisateur peut à tout moment demander de rectifier ses Données personnelles présentes
Droit à l’effacement (LPD: Art. 32, RGPD: Art. 17): l’Utilisateur peut à tout moment demander l’effacement ou la destruction de ses Données personnelles
Droit à la limitation du traitement (LPD: Art. 32, RGPD: Art. 18): l’Utilisateur peut à tout moment demander de limiter le traitement de ses Données personnelles si : (i) il conteste l’exactitude de ses données, (ii) il pense que le traitement de ses données est illicite, (iii) il a besoin de cette limitation afin contester, exercer, ou défendre ses droits en justice, ou (iii) dans le cas où une opposition au traitement ait lieu afin de vérifier si nos motifs légitimes prévalent sur les vôtres.
Droit d’opposition (LPD Art. 32, RGPD Art. 21): l’Utilisateur peut s’opposer à tout moment au traitement de ses Données personnelles
Droit à la portabilité des données (LPD Art. 28, RGPD Art. 20): l’Utilisateur peut demander à tout moment une copie de ses Données personnelles auprès de Kralys dans un format interopérable, ou de les faire transférer à un autre Responsable du traitement
En plus de ces droits susmentionnés, vous avez aussi le droit de déposer une réclamation auprès de l’autorité de contrôle compétente en matière de protection des données. Pour la Suisse, il s’agit du Préposé fédéral à la protection des données et à la transparence (PFPDT). Pour l’Europe, il s’agit de contacter votre autorité de contrôle dans le pays où vous résidez.
Sécurité chez Kralys
Concernant les services proposés par Kralys, nous mettons en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adéquat face aux risques présents pour le traitement des Données personnelles, notamment pour éviter l’accès non autorisé, la transmission, la modification, ou aussi la suppression non autorisée des Données personnelles de nos Utilisateurs.
Les mesures de sécurité prises sont constamment réévaluées et améliorées en fonction des avancées technologiques en matière de sécurité informatique. En font partie le contrôle d’accès aux Données personnelles, via une authentification par mot de passe confidentiels, chiffrement des données, ou bien encore la journalisation des connexions sur nos systèmes.
Malgré toutes nos précautions prises en matière de sécurité, aucun système n’est sûr à 100%. Dans le cas où nous jugeons qu’un Utilisateur non autorisé a eu accès à vos Données personnelles, nous vous contacterons dans les plus brefs délais directement par les canaux disponibles (email, téléphone), comme le veut la loi sur la protection des données (LPD, RGPD).
Nous contacter
Si vous avez des questions concernant notre respect de cette politique de confidentialité ou voulez exercer vos droits, voire si vous avez des recommandations ou des commentaires permettant de l’améliorer, vous pouvez contacter notre DPO par écrit à l’adresse suivant:
heyData GmbH, Schützenstraße 5, 10117 Berlin
ou par email via datenschutz@heydata.eu.