Politique de confidentialité

« EkiYou »

La société DIAPPYMED (ci-après « le Responsable de Traitement ») souhaite par la présente politique de confidentialité, informer les utilisateurs de l’application (ci-après « les Utilisateurs ») du traitement de données personnelles collectées via l’application EkiYou (ci-après « l’Application »).

La collecte de données à caractère personnel s’opère dans le respect des dispositions du RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD).

L’Utilisateur est informé par les présentes de ce que les données à caractère personnel signalées comme étant obligatoires sur les formulaires et recueillies dans le cadre du service décrit dans les présentes sont nécessaires à l’utilisation de l’application EkiYou.

Identité et coordonnées du responsable de traitement

Le traitement des données à caractère personnel des Utilisateurs est mis en œuvre sous la responsabilité du responsable de traitement suivant :

DIAPPYMED

Cap Alpha,
3 avenue de l’Europe,
34830, Clapiers
représenté par Monsieur Omar DIOURI.

Délégué à la protection des données (DPO)

Notre délégué à la protection des données a été enregistré auprès des autorités chargées de la protection des données dans un État membre de l’UE. Si vous avez des questions ou demandes concernant cette déclaration de confidentialité ou pour le délégué à la protection des données, vous pouvez contacter le DPO via l’adresse mail suivante : dpo@diappymed.com

Traitements mis en œuvre par finalité

Gestion du compte et de l’authentification de l’Utilisateur sur l’Application

Sous-finalités :

La création ou la modification du compte sur l’Application par l’Utilisateur ;
Authentification de l’Utilisateur sur l’Application

Données à caractère personnel de l’Utilisateur collectées :

Données d’identification et de contact de l’Utilisateur (nom, prénom, date de naissance, e-mail, numéro de téléphone, identifiant, numéro d’identification de l’Utilisateur au sein des systèmes du Responsable de Traitement, sexe, pays, code postal facultatif) ;
Données relatives aux identifiants de l’Utilisateur (login, mot de passe, adresse IP)

Responsable du traitement

Base légale

Durée de conservation

Destinataires des données

Transfert hors UE

Diappymed

Art. 6§1.b – Nécessaire à l’exécution d’un contrat ou de mesures précontractuelles

Effacement 30 jours à compter de la suppression du compte

Le responsable du traitement et toute autorité légalement autorisée à accéder aux données

L’application EkiYou ainsi que les bases de données sont hébergées par notre sous-traitant Google dans des DataCenter basés à Francfort (en Allemagne). En ce qui concerne les données traitées dans le cadre de l’authentification, elles sont hébergées dans des DataCenter aux Etats-Unis.

Google a souscrit à des clauses contractuelles types de la Commission Européenne.

Gestion des accès et paiements

Sous-finalités :

La souscription à un abonnement par l’Utilisateur ou la génération d’un code donnant droit à un accès à la demande de l’Utilisateur ou d’un professionnel de santé ou l’activation automatique par le Responsable de Traitement après réception d’une prescription de la part d’un professionnel de santé ou de l’Utilisateur ;
La collecte, l’enregistrement et l’utilisation des informations relatives aux accès ;
Le suivi des historiques des paiements et des souscriptions ;
La gestion du contentieux ;
L’enregistrement des données des professionnels de santé contactant le Responsable de Traitement afin de pouvoir générer un code d’abonnement pour leurs patients utilisant EkiYou

Données à caractère personnel de l’Utilisateur collectées :

Données d’identification et de contact de l’Utilisateur (nom, prénom, date de naissance, sexe, e-mail, numéro de téléphone, numéro d’identification de l’Utilisateur au sein des systèmes du Responsable de Traitement) ;
Données relatives à l’authentification de l’Utilisateur (login, mot de passe, adresse IP) ;
Données de santé (issues de la prescription) ;
Numéro de Sécurité sociale ;
Données relatives aux historiques de paiements et souscriptions

Données à caractère personnel du Professionnel de santé collectées (seulement dans le cadre strict de la sous-finalité n°5) :

Données d’identification et de contact du Professionnel de santé (nom, prénom, e-mail, numéro de téléphone) ;
Numéro RPPS / finess du Professionnel de santé

Responsable du traitement

Base légale

Durée de conservation

Destinataires des données

Transfert hors UE

Diappymed

Art. 6§1.b – Nécessaire à l’exécution d’un contrat ou de mesures précontractuelles

10 ans à compter de la clôture de l’exercice comptable

Le responsable du traitement et toute autorité légalement autorisée à accéder aux données

Google a souscrit à des clauses contractuelles types de la Commission Européenne.

Gestion des sollicitations et demandes via le formulaire de contact

Sous-finalités :

La réponse aux sollicitations et aux demandes d’informations de l’Utilisateur sur les services offerts par le Responsable de Traitement via le formulaire de contact
La gestion du contentieux

Données à caractère personnel de l’Utilisateur collectées :

Données d’identification et de contact de l’Utilisateur (nom, prénom, e-mail, numéro de téléphone facultatif, numéro d’identification de l’Utilisateur au sein des systèmes du Responsable de Traitement) ;
Données relatives à l’authentification de l’Utilisateur (login, mot de passe, adresse IP)

Responsable du traitement

Base légale

Durée de conservation

Destinataires des données

Transfert hors UE

Diappymed

Art. 6§1.c – Nécessaire au respect d’une obligation légale

3 ans à compter de la demande ou de la sollicitation

Le responsable du traitement et toute autorité légalement autorisée à accéder aux données

Google a souscrit à des clauses contractuelles types de la Commission Européenne.

Gestion des demandes d’exercice de droits conformément au RGPD

Sous-finalités :

L’instruction et réponse aux demandes reçues par voie électronique et par voie postale
La gestion du contentieux

Données à caractère personnel de l’Utilisateur collectées :

Données d’identification et de contact de l’Utilisateur (nom, prénom, e-mail, numéro d’identification de l’Utilisateur au sein des systèmes du Responsable de Traitement) ;
Données relatives à l’authentification de l’Utilisateur (login, mot de passe, adresse IP)

Responsable du traitement

Base légale

Durée de conservation

Destinataires des données

Transfert hors UE

Diappymed

Art. 6§1.c – Nécessaire au respect d’une obligation légale

5 ans à compter de la demande d’exercice de droits

Le responsable du traitement et toute autorité légalement autorisée à accéder aux données

Google a souscrit à des clauses contractuelles types de la Commission Européenne.

Gestion des sondages, études et enquêtes

Sous-finalités :

L’amélioration de l’Application en invitant les Utilisateurs à participer à des sondages, études et enquêtes de satisfaction
Justification des intérêts que présente l’Application pour le suivi médical du diabète des Utilisateurs à la demande des autorités compétentes

Données à caractère personnel de l’Utilisateur collectées :

Données d’identification et de contact de l’Utilisateur (nom, prénom, e-mail, numéro d’identification de l’Utilisateur au sein des systèmes du Responsable de Traitement) ;
Données relatives à l’authentification de l’Utilisateur (login, mot de passe, adresse IP)

Responsable du traitement

Base légale

Durée de conservation

Destinataires des données

Transfert hors UE

Diappymed

Art. 6§1.f – Intérêt légitime

5 ans à compter du sondage, de l’étude ou de l’enquête

Le responsable du traitement et toute autorité légalement autorisée à accéder aux données

Google a souscrit à des clauses contractuelles types de la Commission Européenne.

Gestion du suivi du diabète

Sous-finalités :

La personnalisation par l’Utilisateur de son compte EkiYou en renseignant des données à caractère personnel relatives à ses caractéristiques personnelles et à sa santé ;
La possibilité pour l’Utilisateur de retrouver dans son Journal de bord toutes ses données enregistrées ;
La possibilité pour l’Utilisateur de demander à l’Application de lui rappeler l’heure de sa dose d’insuline basale et d’enregistrer son injection ou de vérifier sa glycémie ;
La possibilité pour l’Utilisateur d’accéder à de l’information fiable et de qualité sur des sujets en lien avec le diabète (notamment en matière d’alimentation, de sport, de santé mentale, de voyages ou encore de témoignages) ;
La possibilité pour l’Utilisateur de partager les données qu’il a renseignée sur son compte EkiYou avec son professionnel de santé ;
La possibilité pour l’Utilisateur de rechercher des données alimentaires ;
Le fonctionnement des algorithmes à la suite du consentement de l’Utilisateur ;
La fourniture par des parties tierces de fonctions techniques pour le compte du Responsable de Traitement

Données à caractère personnel de l’Utilisateur collectées :

Données d’identification et de contact de l’Utilisateur (nom, prénom, e-mail, numéro d’identification de l’Utilisateur au sein des systèmes du Responsable de Traitement) ;
Données relatives à l’authentification de l’Utilisateur (login, mot de passe, adresse IP) ;
Caractéristiques personnelles (telles que le sexe, la taille et le poids de l’Utilisateur, activité physique pratiquée, habitudes alimentaires) ;
Données de santé (telles que le type de diabète, système d’injection, stylo d’injection bolus et insuline rapide, stylo d’injection basale et insuline lente, pompe et insuline rapide, ratio glucidique et facteurs de correction, dose quotidienne totale basale, dose quotidienne totale bolus, heure d’injection d’insuline lente, données d’injections, données de glycémie) ;
Numéro de sécurité sociale

Responsable du traitement

Base légale

Durée de conservation

Destinataires des données

Transfert hors UE

Diappymed

Art. 6§1.a – Consentement de la personne concernée

Art. 6§1.f – Intérêt légitime du responsable de traitement concernant la sous-finalité °8

Suppression 30 jours à compter du retrait du consentement ou de la suppression du compte

Le responsable du traitement et toute autorité légalement autorisée à accéder aux données

Google a souscrit à des clauses contractuelles types de la Commission Européenne.

Suivi après commercialisation

Sous-finalités :

Le maintien de la sécurité et de la performance du dispositif médical, avec surveillance des performances de l’Application, détection et correction des anomalies techniques et mise en conformité avec les réglementations en vigueur ;
La fourniture d’un support applicatif aux utilisateurs, avec assistance technique et résolution des problèmes liés à l’Application, réponses aux demandes des Utilisateurs et amélioration de l’expérience Utilisateur ;
La mesure de l’utilisation des produits du Responsable de traitement, avec analyse des comportements d’usage, suivi des tendances d’utilisation pour optimiser les fonctionnalités et l’identification des besoins des Utilisateurs ;
L’amélioration de l’Application, avec recueil des retours d’expérience des utilisateurs, intégration des nouvelles exigences médicales et technologiques et optimisation continue des fonctionnalités et de la fiabilité ;
Le traitement des plaintes et failles ;
La fourniture par des parties tierces de fonctions techniques pour le compte du Responsable de Traitement

Données à caractère personnel de l’Utilisateur collectées :

Données d’identification et de contact de l’Utilisateur (nom, prénom, e-mail, numéro d’identification de l’Utilisateur au sein des systèmes du Responsable de Traitement) ;
Données relatives à l’authentification de l’Utilisateur (login, mot de passe, adresse IP) ;
Caractéristiques personnelles (telles que le sexe, la taille et le poids de l’Utilisateur, activité physique pratiquée, habitudes alimentaires) ;
Données de santé (telles que le type de diabète, système d’injection, stylo d’injection bolus et insuline rapide, stylo d’injection basale et insuline lente, pompe et insuline rapide, ratio glucidique et facteurs de correction, dose quotidienne totale basale, dose quotidienne totale bolus, heure d’injection d’insuline lente, données d’injections, données de glycémie).

– Responsable du traitement

Base légale

Durée de conservation

Destinataires des données

Transfert hors UE

Diappymed

Art. 6§1.f – Intérêt légitime du responsable de traitement

10 ans à compter de la fin de la commercialisation de l’Application (MDR 2017-745).

Le responsable du traitement et toute autorité légalement autorisée à accéder aux données

Google a souscrit à des clauses contractuelles types de la Commission Européenne.

Gestion des partenariats avec des applications de suivi du diabète tierces

Sous-finalités :

L’amélioration du suivi du diabète de l’Utilisateur en lui permettant de relier son compte EkiYou à son compte sur une application de suivi du diabète tierce (y compris des stylos injecteurs d’insuline), à condition que celle-ci bénéficie d’un partenariat en ce sens avec le Responsable de Traitement ;
L’enregistrement par l’application de suivi du diabète partenaire des données de santé de l’Utilisateur traitées par le Responsable de Traitement dans le cadre de l’Application EkiYou
L’enregistrement par l’Application EKiYou des données d’injection issues du stylo injecteur d’insuline connecté au compte EkiYou

Données à caractère personnel de l’Utilisateur collectées :

Données d’identification et de contact de l’Utilisateur (nom, prénom, identifiant, mot de passe, e-mail, numéro d’identification de l’Utilisateur au sein des systèmes du Responsable de Traitement) ;
Données relatives à l’authentification de l’Utilisateur (login, mot de passe, adresse IP) ;
Caractéristiques personnelles (le sexe, la taille et le poids de l’Utilisateur, activité physique pratiquée, habitudes alimentaires) ;
Données de santé (type de diabète, système d’injection, stylo d’injection bolus et insuline rapide, stylo d’injection basale et insuline lente, pompe et insuline rapide, ratio glucidique et facteurs de correction, dose quotidienne totale basale, dose quotidienne totale bolus, heure d’injection d’insuline lente, données d’injections, données de glycémie) ;
Numéro de sécurité sociale;

Responsable du traitement

Base légale

Durée de conservation

Destinataires des données

Transfert hors UE

Diappymed

Art. 6§1.a – Consentement de la personne concernée

10 ans à compter de la fin de la commercialisation de l’Application (MDR 2017-745).

Le responsable du traitement et toute autorité légalement autorisée à accéder aux données, ainsi que les applications de suivi du diabète partenaires visées par le consentement de l’Utilisateur

Google a souscrit à des clauses contractuelles types de la Commission Européenne.

Le caractère obligatoire ou facultatif des données à renseigner est signalé à l’Utilisateur lors de la collecte par un astérisque (*).

L’exigence de fourniture des données obligatoires a un caractère réglementaire ou contractuel ou elle conditionne l’accès aux fonctionnalités de l’Application du Responsable de Traitement.

L’accès aux fonctionnalités de l’Application du Responsable de Traitement ne pourra être accordé à défaut de fourniture de ces informations.

En fournissant volontairement les données à caractère facultatif, l’Utilisateur accepte expressément qu’elles soient traitées dans les conditions et pour l’ensemble des finalités ci-dessus.

Réseaux sociaux

Le Responsable de Traitement est présent sur divers réseaux sociaux, notamment Facebook, Instagram, LinkedIn, Youtube. A ce titre, le Responsable de Traitement est susceptible de traiter les données publiques des profils des utilisateurs de réseaux sociaux qui partagent, s’abonnent, suivent ou entrent en contact avec le Responsable de Traitement sur ces plateformes.

Le Responsable de Traitement ne saurait être responsable des données publiques de l’Utilisateur, accessibles sur ces réseaux et plateformes. Il est ainsi conseillé à l’Utilisateur de prendre connaissance des politiques de confidentialité applicables sur chacune de ces plateformes afin de configurer ses paramètres de confidentialité.

Destinataires des données

Le Responsable de Traitement peut être amené à partager certaines de vos données à ses prestataires (cf. section 3.).

Cette transmission de données par le Responsable de Traitement est réalisée dans la stricte limite nécessaire à l’accomplissement des tâches qui sont conférées à ces prestataires.

Ces destinataires pourront être amenés à contacter directement l’Utilisateur à partir des coordonnées qu’il aura communiquées.

Le Responsable de Traitement exige de ces destinataires qu’ils utilisent les données personnelles de l’Utilisateur uniquement pour gérer les prestations dont ils ont la charge et conformément aux lois et règlements applicables en matière de protection des données personnelles.

Le cas échéant, les données personnelles de l’Utilisateur pourront être communiquées aux tiers autorisés par la loi (notamment dans le cadre d’une demande expresse et motivée des autorités judiciaires).

De même, si le Responsable de Traitement est impliqué dans une opération de fusion, acquisition, cession d’actifs ou procédure de redressement judiciaire, il pourra être amené à céder ou partager tout ou partie de ses actifs, y compris les données à caractère personnel de l’Utilisateur. Dans ce cas, celui-ci sera informé et pourra donner son consentement éclairé, avant tout transfert de ses données à caractère personnel à une tierce partie.

Stockage et transfert de données hors de l’Union Européenne

Les données personnelles de l’Utilisateur traitées via l’Application sont stockées dans les DataCenters de notre sous-traitant Google, localisés à Francfort (Allemagne).

Le service d’authentification, quant à lui, ne traite que les données nécessaires pour se connecter à l’application (email, mot de passe…) et est hébergé aux Etats-Unis. A ce titre, notre sous-traitant Google a mis tous les moyens en œuvre pour se conformer au RGPD et a souscrit aux clauses contractuelles types de la Commission Européenne.

Sécurisation des données personnelles

Le Responsable de Traitement met en œuvre des mesures organisationnelles, techniques, logicielles et physiques en matière de sécurité du numérique pour protéger les données personnelles de l’Utilisateur contre les altérations, destructions et accès non autorisés. Toutefois, il est à signaler qu’internet n’est pas un environnement complètement sécurisé et que le Responsable de Traitement ne peut garantir la sécurité de la transmission ou du stockage des données de l’Utilisateur sur internet.

Utilisation des données à des fins statistiques

Dans le cadre de son engagement envers l’amélioration continue de son service, le Responsable de Traitement est susceptible d’utiliser des données anonymisées à des fins statistiques.

Ces données permettent au Responsable de traitement d’effectuer des analyses et de trouver des corrélations entre différentes variables, ce qui l’aide à mieux comprendre les besoins des Utilisateurs et à améliorer la qualité de ses services.

Vos droits

Conformément aux dispositions du Règlement n° 2016/679 du 27 avril 2016 et de la loi n°78-17 du 6 janvier 1978 modifiée, l’Utilisateur est pleinement informé des droits dont il dispose.

L’Utilisateur dispose :

– d’un droit d’accès à ses données : l’Utilisateur a le droit d’obtenir la confirmation que ses données sont traitées ou non ainsi que la communication d’une copie de ses données et des informations relatives aux caractéristiques du traitement réalisé par le Responsable de Traitement sur ces données ;

d’un droit à la rectification des informations inexactes et des données incomplètes ;
d’un droit à l’effacement des données qui ne sont plus nécessaires au traitement, d’un droit de retirer son consentement au traitement, d’un droit d’opposition au traitement de ses données lorsqu’il n’existe pas de motifs légitimes et impérieux justifiant le traitement, d’un droit d’opposition à la prospection commerciale ;
d’un droit à la limitation du traitement en cas d’inexactitude des données pendant le temps de leur vérification, ou lorsqu’elles ne sont plus nécessaires qu’à l’exercice d’un droit en justice ;
d’un droit à la portabilité de ses données, afin de demander la transmission à un autre responsable des données fournies avec son consentement ou à l’occasion de la conclusion du contrat ;
d’un droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques significatifs le concernant ;
d’un droit de définir des directives relatives au sort de ses données après son décès.

L’Utilisateur peut exercer ses droits à tout moment :

– Par courrier postal à l’adresse :

DIAPPYMED

Cap Alpha,

3 avenue de l’Europe,

34830, Clapiers

– Par courriel à l’adresse : dpo@diappymed.com // ekiyou@diappymed.com

L’Utilisateur devra préciser dans sa demande ses noms, prénoms, adresse e-mail ou adresse postale à laquelle il souhaite que la réponse du Responsable de Traitement qu’il aura contacté lui parvienne.

Pour des raisons de sécurité et pour éviter toute demande frauduleuse, DiappyMed se réserver le droit de demander une preuve d’identité s’il y a un doute raisonnable sur l’identité du demandeur. Après le traitement de la demande, cette preuve sera détruite.

Conformément à la loi, cette demande recevra une réponse dans un délai d’un mois suivant sa réception.

Enfin, l’Utilisateur dispose du droit d’introduire une réclamation auprès de la CNIL ou de toute autre autorité de contrôle compétente dans son Etat de résidence.

L’Utilisateur peut réaliser cette réclamation auprès de la CNIL française :

– Par courrier postal à l’adresse suivante :

3 Place de Fontenoy

TSA 80715

75334 PARIS CEDEX 07

– Par téléphone au 01 53 73 22 22 (du lundi au jeudi de 9h à 18h30 / le vendredi de 9h à 18h) ;

– Par fax au 01 53 73 22 00 ;

– Via le site internet de la CNIL à l’adresse suivante : https://www.cnil.fr/fr/plaintes