Skip to content

Politique de confidentialité (GDPR) et aspects juridiques

Dernière version : 23 septembre 2024

Cette politique de confidentialité explique comment Wellapy traite les données personnelles, y compris les catégories spéciales de données liées à la santé, conformément au Règlement général sur la protection des données (RGPD) de l'UE, à la Loi Informatique et Libertés, et aux lois nationales applicables. Elle s'applique aux visiteurs du site internet de Wellapy et aux utilisateurs de notre service digital therapeutics (DTx) qui accèdent à l'appli via notre site internet.

1) Qui sommes-nous ?

  • Contrôleur de données : Lifeness AS, exploitant du service Wellapy digital therapeutic
  • Adresse : Vestregata 33, 9008 Tromsø, Norvège
  • Numéro d'entreprise : 921 141 130
  • Contact (vie privée) : privacy@wellapy.eu
  • DPD : Si nous nommons un délégué à la protection des données, nous mettrons à jour cette section et fournirons ses coordonnées ici.

Si vous accédez à Wellapy en France, Lifeness AS reste le responsable du traitement. Les partenaires locaux peuvent agir en tant que responsables conjoints du traitement ou sous-traitants par accord. Vous pouvez également contacter votre autorité de contrôle locale (voir section 13).

2) Quelles données traitons-nous ?

Nous traitons les catégories de données personnelles suivantes, en fonction de la manière dont vous interagissez avec nous :

  • Données du site web (visiteurs)
    • Données relatives à l'appareil et à l'utilisation : Adresse IP, type d'appareil, navigateur, système d'exploitation, URL de référence, pages consultées, temps passé, clics.
    • Données relatives aux cookies et aux technologies similaires : voir l'avis relatif aux cookies
    • Données du formulaire de contact : nom, courriel, contenu du message
    • Données de la lettre d'information : courriel, préférences en matière d'abonnement, données relatives au consentement
  • Données de compte et d'application (utilisateurs DTx)
    • Données d'identification : nom, courriel, identifiant de compte, langue, pays
    • Données relatives au contexte de traitement : inscription au programme de soins, identifiant de la clinique ou du prescripteur
    • Données de santé : poids, IMC, activité, journaux nutritionnels, adhésion aux médicaments, questionnaires, symptômes, résultats et autres informations que vous enregistrez ou que votre équipe de soins enregistre.
    • Données techniques : identifiants de l'appareil, journal des pannes, version de l'application, horodatage de la session.
  • Contacts professionnels (professionnels de santé et partenaires)
    • Données d'identité et de contact, organisation, rôle, communications

La fourniture de données de santé est facultative mais nécessaire pour bénéficier du service DTx. Si vous choisissez de ne pas les fournir, certaines fonctionnalités ne fonctionneront pas.

3) Raisons pour lesquelles nous traitons vos données et bases juridiques

  • Fournir et exploiter le service DTx, personnaliser le contenu, suivre les progrès, permettre la collaboration de l'équipe de soins.
    • Bases juridiques : exécution d'un contrat (article 6, paragraphe 1, point b)) ; pour les données relatives à la santé, consentement explicite (article 9, paragraphe 2, point a)) ou fourniture de soins de santé ou de services sociaux par des professionnels sous contrat (article 9, paragraphe 2, point h)), selon ce qui est applicable dans votre programme.
  • Créer et gérer votre compte, authentifier les utilisateurs, fournir une assistance à la clientèle et des communications de sécurité.
    • Bases juridiques : contrat ; intérêts légitimes en matière de sécurité du compte et d'intégrité du service (article 6, paragraphe 1, point f)).
  • Sécurité, qualité et amélioration, y compris surveillance de la sécurité, débogage, analyse et production de preuves cliniques/du monde réel sous forme agrégée ou pseudonymisée.
    • Bases juridiques : intérêts légitimes (article 6, paragraphe 1, point f)) ; pour les données relatives à la santé, intérêt public important ou recherche scientifique avec des garanties appropriées (article 9, paragraphe 2, points i) et j)), le cas échéant, ou consentement.
  • Conformité réglementaire et vigilance à l'égard des dispositifs (matériovigilance), signalement des incidents et réponse aux obligations légales
    • Bases juridiques : obligation légale (article 6, paragraphe 1, point c)) ; pour les données relatives à la santé, intérêt public dans le domaine de la santé publique (article 9, paragraphe 2, point i)).
  • Communications marketing (visiteurs du site web qui ont choisi de participer)
    • Bases juridiques : consentement (article 6, paragraphe 1, point a)) ; vous pouvez le retirer à tout moment.

Variantes du programme : Selon la façon dont vous accédez à Wellapy (par exemple via un programme de clinique ou directement), la base juridique précise utilisée pour des fonctionnalités spécifiques peut différer entre le consentement, le contrat, les intérêts légitimes, la fourniture de soins de santé ou de soins sociaux, l'intérêt public ou les bases de recherche. Lorsque nous nous appuyons sur le consentement, vous pouvez le retirer à tout moment dans l'application ou en nous contactant. Le retrait n'affecte pas le traitement antérieur.

4) Cookies et technologies similaires

Nous utilisons des cookies essentiels pour faire fonctionner le site web et, avec votre consentement, des cookies analytiques pour comprendre et améliorer les performances. Pour des informations détaillées, y compris les noms des cookies et des SDK, les fournisseurs, les objectifs et les durées de vie, voir notre avis sur les cookies et les préférences des bannières.

  • Cookies essentiels : nécessaires à la fonctionnalité de base
  • Cookies analytiques : mesure de l'audience, performance des pages
  • Cookies de marketing (le cas échéant) : uniquement avec votre consentement.

Vous pouvez à tout moment modifier vos préférences via la bannière relative aux cookies. Le refus doit être aussi facile que l'acceptation. Voir : Avis sur les cookies - Wellapy (France).

5) Résumé de la protection de la vie privée dans l'application (applications mobiles)

  • Les notifications "juste à temps" expliquent pourquoi des autorisations sont demandées et comment les modifier ultérieurement.
  • Les paramètres intégrés à l'application permettent de retirer facilement le consentement, de gérer les préférences en matière d'analyse et de demander la suppression du compte.
  • L'inventaire et les rôles du SDK sont répertoriés dans l'avis relatif aux cookies et dans la liste des sous-traitants.

6) Sources de données

  • Données que vous fournissez directement dans les formulaires ou l'application
  • Données fournies par votre clinique, votre prescripteur ou votre équipe de soins lorsqu'ils vous intègrent au programme
  • Données générées par l'appareil et le service lors de votre utilisation du site web ou de l'application.

7) Divulgations et sous-traitants

Nous partageons les données personnelles uniquement si nécessaire et sous réserve des accords de traitement des données :

  • Fournisseurs d'hébergement et d'infrastructure
  • Outils d'analyse et de surveillance des erreurs
  • Outils de communication pour la messagerie in-app et le courrier électronique.
  • Partenaires cliniques et équipes de soins impliqués dans votre programme de traitement.
  • Régulateurs et autorités publiques lorsque la loi l'exige
  • Conseillers professionnels et auditeurs dans le cadre de la confidentialité.

Des accords de traitement des données (GDPR Art. 28) sont en place avec nos sous-traitants et exigent une sécurité appropriée, la confidentialité, l'assistance en matière de droits des personnes concernées, le signalement des incidents et le retour ou la suppression des données à la fin du service. Les transferts internationaux font l'objet de garanties approuvées conformément au chapitre V du GDPR (par exemple, les CSC ou les décisions d'adéquation) et à notre procédure d'intégration des fournisseurs.

Une liste actualisée des sous-traitants est disponible ici : Sous-traitants - Wellapy et dans les paramètres de l'application.

8) Transferts internationaux de données

Vos données peuvent être traitées en dehors de votre pays, y compris en dehors de l'EEE/du Royaume-Uni. Lorsque nous transférons des données à l'international, nous mettons en œuvre des garanties telles que les décisions d'adéquation ou les Clauses contractuelles types de la Commission européenne, ainsi que des mesures techniques et organisationnelles supplémentaires si nécessaire. Vous pouvez demander une copie des garanties applicables.

9) Mesures de sécurité

Nous appliquons des mesures techniques et organisationnelles appropriées en fonction du risque lié au traitement des données relatives à la santé, notamment le cryptage en transit et au repos, les contrôles d'accès, l'enregistrement des audits, le développement de logiciels sécurisés, la gestion de la vulnérabilité et la continuité des activités. L'accès aux données relatives à la santé est basé sur les rôles et limité au personnel autorisé.

10) Violation de données et notifications

En cas de violation de données à caractère personnel, nous évaluerons l'impact et réagirons conformément à notre politique et procédure internes de réponse aux incidents et de non-conformité. Lorsque la loi l'exige, nous notifions l'autorité de contrôle compétente dans les 72 heures et informons sans délai les personnes concernées lorsque la violation est susceptible d'entraîner un risque élevé pour leurs droits et libertés. Il s'agit notamment de documenter l'incident, sa cause profonde, les mesures prises et les enseignements tirés. Voir nos procédures internes pour plus de détails[1][2].

11) Hébergement de données de santé HDS (France)

Pour les utilisateurs en France, les données de santé sont hébergées chez un fournisseur certifié HDS dans l'EEE (par exemple, AWS à Francfort) conformément à l'article L.1111-8 du code de la santé publique français. L'hébergement inclut les services d'administration et d'exploitation fournis par des prestataires certifiés. Voir notre déclaration de conformité pour les détails et le champ d'application : Déclaration de conformité HDS (lien disponible sur demande). Nous nous conformons au cadre HDS mis à jour et maintiendrons la certification conformément à la dernière version et aux délais de transition applicables[3].

12) Conservation des données

Nous ne conservons les données à caractère personnel que le temps nécessaire aux fins décrites ci-dessus et conformément à la loi, aux normes et à notre cadre de contrôle interne :

  • Analyse du site web : généralement de 13 à 26 mois, ou selon la configuration de l'outil.
  • Assistance et communications : jusqu'à 3 ans après la dernière interaction
  • Compte DTx et dossiers de traitement : pour la durée de votre programme et pour les périodes de conservation des dispositifs médicaux et des dossiers de soins de santé requises par la loi ou la gouvernance clinique.
  • Dossiers d'incidents et de sécurité : conformément aux obligations légales

Les règles de conservation sont définies et révisées dans le cadre de notre contrôle interne GDPR et des mappages de modèles, et sont reflétées dans nos enregistrements de traitement. Des calendriers de conservation spécifiques au programme peuvent s'appliquer et seront communiqués dans l'application ou les documents du programme. Nous supprimerons ou anonymiserons les données une fois les périodes de conservation terminées.[4][5][6][7]

13) Vos droits (y compris spécifiques à la France)

Sous réserve des conditions et exceptions prévues par le GDPR, vous avez le droit de :

  • d'accéder à vos données et d'en recevoir une copie
  • de rectifier des données inexactes ou incomplètes
  • d'effacer des données dans certaines circonstances
  • de restreindre le traitement dans certaines circonstances
  • de vous opposer à un traitement fondé sur des intérêts légitimes
  • Portabilité des données pour les données que vous avez fournies dans le cadre d'un consentement ou d'un contrat
  • Retirer le consentement à tout moment pour les traitements fondés sur le consentement
  • ne pas faire l'objet de décisions fondées exclusivement sur un traitement automatisé lorsqu'elles produisent des effets juridiques ou des effets similaires significatifs, à moins que la loi ne l'autorise avec des garanties.

En France, vous pouvez également laisser des directives post-mortem concernant le sort de vos données personnelles et les modalités d'exercice de vos droits après la mort. Pour exercer vos droits, contactez privacy@wellapy.eu. Nous répondrons sans retard injustifié et dans un délai d'un mois, prolongeable de deux mois si nécessaire en raison de la complexité ou du nombre de demandes.

14) Enfants

Wellapy est destiné à être utilisé dans le cadre d'un programme cliniquement supervisé pour les adultes, sauf autorisation explicite d'un professionnel de santé et dans la mesure où la loi locale le permet. Nous ne collectons pas sciemment des données d'enfants sans autorisation et consentement appropriés.

15) Contrôleurs et partenaires conjoints

Dans certains programmes, votre clinique ou votre prestataire de soins de santé peut être un contrôleur conjoint pour certaines activités de traitement, par exemple l'intégration et le suivi clinique. Dans ce cas, les principales responsabilités sont attribuées par accord en vertu de l'article 26 du RGPD, et vous pouvez exercer vos droits auprès de l'une ou l'autre partie. L'essence de l'accord est disponible sur demande, et des avis spécifiques au programme peuvent également s'appliquer dans le portail du patient.

16) Informations spécifiques à la France et autorité de contrôle

Pour les utilisateurs en France, vous pouvez contacter la Commission Nationale de l'Informatique et des Libertés (CNIL) à cnil.fr ou par courrier à 3 Place de Fontenoy, TSA 80715, 75334 Paris, Cedex 07. Si Wellapy est fourni par l'intermédiaire d'un programme ou d'une plateforme approuvés, les avis spécifiques au programme peuvent également s'appliquer au sein du portail patient.

17) Comment nous contacter

  • Courriel : privacy@wellapy.eu
  • Adresse postale : Lifeness AS, Vestregata 33, 9008 Tromsø, Norvège

Vous avez également le droit de déposer une plainte auprès de votre autorité de surveillance locale. Une liste des autorités de l'UE est disponible à l'adresse ec.europa.eu.

18) Profilage et décisions automatisées

Si nous utilisons des fonctions de profilage ou de prise de décision automatisée, elles ne produiront pas d'effets juridiques ou d'effets similaires significatifs sans garanties appropriées. Lorsque de tels dispositifs existent, nous fournissons des informations sur la logique utilisée, ainsi que sur l'importance et les conséquences envisagées pour vous, et vous pouvez obtenir un examen humain et contester une décision.

19) Modifications de la présente politique

Nous pouvons mettre à jour la présente politique afin de refléter les modifications apportées à nos pratiques ou aux exigences légales. Nous publierons la version mise à jour sur cette page et indiquerons la date d'entrée en vigueur. Pour les changements importants, nous fournirons un avis bien visible ou demanderons le consentement si nécessaire.

20) Date d'entrée en vigueur

Date d'entrée en vigueur : 2025-09-23

Annexes

  • Annexe A : Avis sur les cookies - Wellapy (France)
  • Annexe B : Sous-traitants
  • Annexe C : Analyse d'impact sur la protection des données - Lifeness réalise des analyses d'impact sur la protection des données pour le traitement des données relatives à la santé et conserve des registres de traitement ; un résumé de haut niveau est disponible sur demande.

Vous avez encore des questions ?

Pour nous contacter, envoyez-nous un courriel à l'adresse suivante: e-mail:contact@lifeness.no
Contactez nous