ARTICLE 2 -
TRAITEMENT DES DONNEES PERSONNELLES ET FINALITÉS
ARTICLE 3 -
DESTINATAIRES DES DONNEES PERSONNELLES ET SERVICES TIERS
ARTICLE 4 -
TRANSFERTS DES DONNEES PERSONNELLES HORS UE
ARTICLE 5 – MESURES
DE SECURITE
ARTICLE 6 – EXERCICE
DES DROITS
ARTICLE 8-
MODIFICATION DE LA POLITIQUE DE CONFIDENTIALITE
ARTICLE 2 - PROCESSING OF PERSONAL DATA AND PURPOSES
ARTICLE 3 - RECIPIENTS OF PERSONAL DATA AND THIRD-PARTY
SERVICES
ARTICLE 4 - TRANSFERS OF PERSONAL DATA OUTSIDE THE EU
ARTICLE 6 - EXERCISE OF RIGHTS
ARTICLE 8- MODIFICATION OF THE CONFIDENTIALITY POLICY
(Dernière mise à jour :
novembre 2024)
SUBLIMED, Société par Actions Simplifiée, société immatriculée au Registre
du Commerce et des Sociétés de Grenoble sous le numéro 813 959 012, dont
le siège social se situe 137 rue Mayoussard, 38430 MOIRANS - France (ci-après
la « Société » ou « SUBLIMED ») s’engage à ce que les
Traitements de Données Personnelles effectuées sur l’application actiTENS
qu’elle édite (ci-après « l’Application ») soient conformes à la
règlementation applicable sur la protection des données (Règlement européen
Général 2016/679 sur la Protection des Données – « RGPD ») et la loi
Informatique et Libertés n°78-17 du 6 janvier 1978 modifiée.
La présente charte est conforme aux dispositions de la législation suisse
sur la protection des données, la loi du 5 octobre 2001 sur l’information du
public, l’accès aux documents et sur la protection des données personnelles
(LIPAD ; RS GE A 2 08) et son règlement d’application (RIPAD).
L’Application est associée à l’utilisation par l’Utilisateur du dispositif
médical actiTENS.
L’Application permet à ses Utilisateurs de :
La présente Politique de Confidentialité a pour objet d’informer tout
Utilisateur de l’Application sur la manière dont SUBLIMED collecte et traite
les Données Personnelles qui le concernent. Les Données Personnelles qui sont
recueillies par SUBLIMED sont utilisées pour faire fonctionner l’Application et
pour l’améliorer.
SUBLIMED est Responsable de Traitement des Données Personnelles collectées
via l’Application.
DONNÉES À CARACTÈRE PERSONNEL OU DONNÉES
PERSONNELLES
Désigne toute information qui permet, directement ou indirectement
d’identifier ou de rendre identifiable une personne physique.
PERSONNE CONCERNÉE
Désigne toute personne physique dont les Données Personnelles sont
collectées et traitées par SUBLIMED.
RESPONSABLE DE TRAITEMENT
Désigne la personne qui détermine les finalités et les moyens du
Traitement. La Société SUBLIMED a cette qualité dans le cadre de la présente
Politique de Confidentialité.
SOUS-TRAITANT
Désigne la personne qui traite des Données Personnelles sur instruction du
Responsable de Traitement dans le cadre d’un service ou d’une prestation. La
liste des sous-traitants concernés est fournie ci-après.
TRAITEMENT
Désigne toute opération ou ensemble d’opérations effectuées à l’aide de
procédés automatisés ou manuel sur un support électronique ou papier, telles
que la collecte, l’enregistrement, l’organisation, la structuration, la
conservation, l’adaptation ou la modification, l’extraction, la consultation,
l’utilisation, la communication par transmission, la diffusion de Données
Personnelles.
UTILISATEUR
Désigne toute personne qui utilise l’Application et qui fait appel aux
services qui y sont proposés.
ARTICLE
2 - TRAITEMENT DES DONNEES PERSONNELLES ET FINALITÉS
Cas particulier d’Android, et de la demande d’autorisation d’accès à la
localisation.
Sur Android, le système de connexion Bluetooth utilisé par actiTENS
nécessite un scan Bluetooth pour détecter le générateur actiTENS. Sur certaines
versions d’Android l’appel à cette fonction de scan nécessite de demander d’autorisation
d’accéder à la localisation. Il s’agit d’une demande d’autorisation qui est
imposée par Android, mais ni l’Application, ni SUBLIMED n’accède réellement à
la localisation de l’Utilisateur, cette information n’est pas traitée.
Traitement n°1 : Le traitement
a pour finalité le téléchargement et l’installation de l’application
Ce traitement est réalisé par les sous-traitants Apple et Google, via leur
application App Store et Google Play, lorsque l’utilisateur y a recours pour
télécharger l’application actiTENS. SUBLIMED n’accède pas aux données listées
dans le cadre de ce traitement.
Bases légales du Traitement pour les citoyens européens :
Article 6 (1) a) du RGPD : la Personne Concernée a consenti au Traitement
de ses Données à Caractère Personnel.
Catégories de Données Personnelles traitées et durée de stockage :
La liste exhaustive des données traitées par chaque sous-traitant et leurs
durées de stockage est disponible dans la politique de confidentialité du sous-traitant.
Elle peut inclure, sans être limitée à : des données de connexion à leurs
services, adresse e-mail, mot de passe, adresse IP,
date et heure de connexion et de déconnexion.
|
Noms du service |
Nom de la société et adresse du siège social |
Finalités de traitement |
Lien vers la politique de confidentialité |
|
Google Play |
Google Ireland Limited société enregistrée en
Irlande dont le lieu principal d'exercice de l'activité est sis à l'adresse
Gordon House, Barrow Street, Dublin 4, Irlande |
Distribution et téléchargement de l’Application |
Accessible en cliquant ici. |
|
App store |
Apple Distribution International Ltd. Hollyhill
Industrial Estate, Hollyhill, Cork, Republic of
Ireland |
Distribution et téléchargement de l’Application |
Accessible en cliquant ici. |
Personnes concernées :
Les Utilisateurs de l’Application
Prise de décision automatisée
Le Traitement ne prévoit pas de prise de décision automatisée.
Traitement n°2 : Le traitement
a pour finalité l’amélioration de l’application
Tout au long de l’utilisation de l’application mobile actiTENS, SUBLIMED
traite des données collectées automatiquement via le service suivant :
La collecte
est réalisée via des traceurs techniques et fonctionnels, ce sont des fichiers
stockés dans votre smartphone, dans le dossier de l’application. Ils sont créés
lorsque votre smartphone lance une application et que vous interagissez avec
elle (ouverture, fermeture, mise à jour, désinstallation, durée d’affichage des
écrans). Ces événements sont remontés aux serveurs de Firebase.
Les données sont traitées et anonymisées par Firebase puis transférées à
Analytics. Les données Analytics et Firebase sont consultables par SUBLIMED
sous forme de représentations graphiques et de tableaux de données anonymisées.
Ces informations sont utilisées pour résoudre des problèmes techniques et
améliorer l’expérience de l’Utilisateur.
Les données Firebase incluent des rapports d’erreurs ou de crashs. Ces
informations sont utilisées pour résoudre des problèmes techniques et améliorer
l’expérience de l’Utilisateur.
Bases légales du Traitement pour les citoyens européens :
Article 6 (1) a) du RGPD : la Personne Concernée a consenti au Traitement
de ses Données à Caractère Personnel.
Catégories de Données Personnelles traitées et durée de stockage :
Les données collectées par Firebase peuvent inclure, sans être limitée à :
des données d'utilisation (crashs, erreur, écran visualisé), adresse IP, modèle
du téléphone, système d’exploitation, version de l’application mobile actiTENS
ainsi que le déclenchement « d’événements » définis par défaut par
Firebase que sont l’ouverture, l’installation, la désinstallation ou la mise à
jour de l’application. SUBLIMED a ajouté deux catégories d’événements : la
fin d’une séance de stimulation, et les erreurs (erreur de communication entre
le générateur actiTENS et l’application mobile, erreur technique du générateur
actiTENS). Ces données sont anonymisées
par Firebase.
La liste exhaustive des données traitées et leurs durées de stockage par
chaque sous-traitant est disponible dans la politique de confidentialité du
sous-traitant, voir tableau ci-dessous.
|
Noms du service |
Nom de la société et adresse du siège social |
Finalités de traitement |
Lien vers la politique de confidentialité |
|
Google Firebase |
Google Ireland Limited, société enregistrée en
Irlande dont le lieu principal d'exercice de l'activité est sis à l'adresse
Gordon House, Barrow Street, Dublin 4, Irlande |
Développer l’Application, Connaître la manière dont l’Utilisateur utilise
l’Application, Améliorer l’Application |
Accessible en cliquant ici |
|
Google Analytics |
Google Ireland Limited, société enregistrée en
Irlande dont le lieu principal d'exercice de l'activité est sis à l'adresse
Gordon House, Barrow Street, Dublin 4, Irlande |
Établir des statistiques relatifs à
l’utilisation de l’Application |
Accessible en cliquant ici. |
Personnes concernées :
Les Utilisateurs de l’Application
Prise de décision automatisée
Le Traitement ne prévoit pas de prise de décision automatisée.
Traitement
3 : Le traitement a pour finalité la
prise en charge des demandes d’information ou réclamations clients
SUBLIMED traite et collecte des Données
Personnelles que l’Utilisateur fournit directement à SUBLIMED pour la
prise en charge des réclamations. Il peut s’agir, par exemple, du nom, prénom,
adresse e-mail ou postale, afin de pouvoir recontacter
l'Utilisateur et lui apporter une solution en cas de sollicitation du support
adressée par email ou par téléphone.
Base légale du Traitement pour les citoyens européens :
Article 6 (1) a) du RGPD : la Personne Concernée a consenti au Traitement
de ses Données à Caractère Personnel.
Catégorie de Données Personnelles collectées et leurs durées de
stockage :
Les données personnelles récoltées sont stockées le temps indiqué
ci-dessous :
Elles sont ensuite anonymisées, conformément à la procédure RGPD de
SUBLIMED.
Personnes concernées :
Les Utilisateurs de l’Application
Les Données Personnelles collectées pour la réalisation de cette finalité
sont recueillies de façon obligatoire.
Prise de décision automatisée
Le Traitement ne prévoit pas de prise de décision automatisée.
Traitement 4 : Le traitement a pour
finalité la prise en charge des remontées d’effet indésirables
(Matériovigilance)
SUBLIMED traite et collecte des Données Personnelles que l’Utilisateur
fournit directement à SUBLIMED pour la prise en charge des éventuels effets
indésirables. Il peut s’agir, par exemple, du nom, prénom, adresse e-mail ou postale, ainsi que des données relatives à la
santé, afin de pouvoir recontacter l'Utilisateur et d’assurer un suivi
pertinent en cas de remontée d’effets indésirables adressée par email ou par
téléphone.
Base légale du Traitement pour les citoyens européens :
Article 6 (1) c) du RGPD : le traitement est nécessaire au respect
d’une obligation légale à laquelle le responsable de traitement est soumise.
Catégorie de Données Personnelles collectées et leurs durées de
stockage :
Les données personnelles récoltées sont stockées pendant la durée légale
requise par la réglementation relative au suivi des vigilances sanitaires.
Elles sont ensuite anonymisées, conformément à la procédure RGPD de
SUBLIMED.
Traitement n°5 : Le traitement
a pour finalité l’amélioration de l’application et des services proposés par
SUBLIMED
Tout au long de l’utilisation de l’application mobile actiTENS, SUBLIMED
traite des données collectées automatiquement via son propre serveur.
Les données sont collectées anonymement. Ces informations sont utilisées
pour résoudre des problèmes techniques, développer de nouvelles fonctionnalités
et améliorer l’expérience des utilisateurs existants via la connaissance
acquise sur l’utilisation réelle du produit. Ces données peuvent également être
utilisées à des fins d’évaluation du dispositif dans la réglementation en
vigueur sur les dispositifs médicaux. Elles peuvent également être utilisées à
des fins d’étude clinique ou pour la conception de protocole d’étude clinique.
Ces données sont traitées par un nombre de personne restreint n’ayant accès
qu’à une version anonymisée des données (voir traitement n°6 pour plus de
précisions).
Bases légales du Traitement pour les citoyens européens :
Article 6 (1) a) du RGPD : la Personne Concernée a consenti au Traitement
de ses Données à Caractère Personnel. Et Article 6 (1) c) du RGPD :
le traitement est nécessaire au respect d’une obligation légale à laquelle le
responsable de traitement est soumise (pour la partie d’évaluation du
dispositif médical prévue dans la réglementation en vigueur).
Catégories de Données Personnelles traitées et durée de stockage :
Les données collectées automatiquement sont :
Les données de
stimulation, collectées automatiquement lors de l’usage du générateur
actiTENS :
Les données de santé, collectées seulement si renseignées par l’Utilisateur
:
La durée de conservation de la donnée est de 3 ans après le dernier ajout
de donné lié au « patient ID ».
Personnes concernées :
Les Utilisateurs de l’Application
Prise de décision automatisée
Le Traitement ne prévoit pas de prise de décision automatisée.
Traitement n°6 : Le traitement
a pour finalité la synchronisation des données de l’Utilisateur pour qu’il puisse
les consulter sur plusieurs dispositifs et qu’il puisse les conserver lors d’un
changement de téléphone ou désinstallation de l’application mobile.
Si l’Utilisateur choisit de créer un Compte Utilisateur, un lien est créé
entre son identifiant personnel (adresse e-mail) et
son « patient ID » (voir traitement n°5). Ce faisant il bénéficie
alors des capacités de sauvegarde et synchronisation des données listées au
traitement n°5.
Le lien entre un identifiant personnel et un « patient ID » ne
peut être visible que par le DPO (Data protection officer :
la personne en charge dans l’entreprise du respect du règlement sur la
protection des données personnelles), afin d’accéder à une demande d’exercice
des droits (voir ARTICLE 6), et par l’administrateur système afin d’opérer sur
le serveur les tâches nécessaires à son fonctionnement et sa maintenance.
Le choix de l’Utilisateur de créer un compte utilisateur n’impacte pas le
traitement n°5, car le personnel SUBLIMED réalisant le traitement n°5 n’ont pas
accès au lien entre identifiant personnel et « patient ID ».
Bases légales du Traitement pour les citoyens européens :
Article 6 (1) a) du RGPD : la Personne Concernée a consenti au Traitement
de ses Données à Caractère Personnel.
Catégories de Données Personnelles traitées et durée de stockage :
Les données collectées si l’Utilisateur décide de créer un compte et de
renseigner ses données :
La durée de conservation de la donnée est de 5 ans après le dernier ajout
de données lié au compte utilisateur, après quoi l’identifiant personnel est
supprimé.
Personnes concernées :
Les Utilisateurs de l’Application ayant créé un Compte Utilisateur
Prise de décision automatisée
Le Traitement ne prévoit pas de prise de décision automatisée.
Traitement n°7 : Le traitement
a pour finalité l’envoi de message à travers l’application, ciblé sur un groupe
anonyme de personnes, à des fins d’information de l’Utilisateur, ou à des fins
d’enquête statistique pour l’amélioration du produit ou sa promotion.
Tout au long de l’utilisation de l’application mobile actiTENS, SUBLIMED
traite des données collectées automatiquement via le service suivant :
Ces données peuvent être utilisées par SUBLIMED via le service
« Firebase In-App Messaging » pour l’envoi d’un ou plusieurs messages
à un groupe d’utilisateur ciblé selon :
La collecte
est réalisée via des traceurs techniques et fonctionnels, ce sont des fichiers
stockés dans votre smartphone, dans le dossier de l’application. Ils sont créés
lorsque votre smartphone lance une application et que vous interagissez avec
elle (ouverture, fermeture, mise à jour, désinstallation, durée d’affichage des
écrans). Ces événements sont remontés aux serveurs de Firebase.
Bases légales du Traitement pour les citoyens européens :
Article 6 (1) a) du RGPD : la Personne Concernée a consenti au Traitement
de ses Données à Caractère Personnel.
Catégories de Données Personnelles traitées et durée de stockage :
Les données collectées par Firebase peuvent inclure, sans être limitée à :
la langue de l’application, le système d’exploitation, la version de
l’application mobile actiTENS, le pays de l’utilisateur, ainsi que le
déclenchement « d’événements » définis par défaut par Firebase que
sont l’ouverture, l’installation, la désinstallation ou la mise à jour de
l’application. SUBLIMED a ajouté : la fin d’une séance de stimulation. Ces
données sont anonymisées par Firebase.
La liste exhaustive des données traitées et leurs durées de stockage par
chaque sous-traitant est disponible dans la politique de confidentialité du
sous-traitant, voir tableau ci-dessous.
|
Noms du service |
Nom de la société et adresse du siège social |
Finalités de traitement |
Lien vers la politique de confidentialité |
|
Google Firebase |
Google Ireland Limited, société enregistrée en
Irlande dont le lieu principal d'exercice de l'activité est sis à l'adresse
Gordon House, Barrow Street, Dublin 4, Irlande |
Développer l’Application, Connaître la manière dont l’Utilisateur utilise
l’Application, Améliorer l’Application |
Accessible en cliquant ici |
Personnes concernées :
Les Utilisateurs de l’Application
Prise de décision automatisée
Le Traitement ne prévoit pas de prise de décision automatisée.
Traitement n°8 : Le traitement
a pour finalité le suivi des centres prescripteurs en France
Si le patient consent à communiquer son centre prescripteur à SUBLIMED au
travers de l’application, alors SUBLIMED traitera cette donnée dans l’objectif
de réaliser des statistiques sur les sources des prescriptions d’actiTENS.
Bases légales du Traitement pour les citoyens européens :
Article 6 (1) a) du RGPD : la Personne Concernée a consenti au Traitement
de ses Données à Caractère Personnel.
Catégories de Données Personnelles traitées et durée de stockage :
Nom des centres prescripteurs
La durée de conservation de la donnée est de 5 ans après le dernier ajout
de données lié au compte utilisateur, après quoi l’identifiant personnel est
supprimé, aucun lien ne pourra être établi entre le patient et le centre
prescripteur.
Personnes concernées :
Les Utilisateurs de l’Application
Prise de décision automatisée
Le Traitement ne prévoit pas de prise de décision automatisée.
Traitement n°9 : Le traitement
a pour finalité la création de rapport d’activité agrégé sur une population
globale suivi dans un centre prescripteur en France
Si le patient consent à communiquer son centre prescripteur à SUBLIMED au
travers de l’application, alors SUBLIMED traitera cette donnée dans l’objectif
de réaliser des rapports statistiques agrégé entre l’ensemble des patients d’un
même centre. Un seuil minimal de patient sera utilisé pour assurer
l’anonymisation des données de ces rapports.
Bases légales du Traitement pour les citoyens européens :
Article 6 (1) a) du RGPD : la Personne Concernée a consenti au Traitement
de ses Données à Caractère Personnel.
Catégories de Données Personnelles traitées et durée de stockage :
Nom des centres prescripteurs
La durée de conservation de la donnée est de 5 ans après le dernier ajout
de données lié au compte utilisateur, après quoi l’identifiant personnel est
supprimé, aucun lien ne pourra être établi entre le patient et le centre
prescripteur.
Personnes concernées :
Les Utilisateurs de l’Application
Prise de décision automatisée
Le Traitement ne prévoit pas de prise de décision automatisée.
Traitement
n°10 : Le traitement a pour finalité la création d’un rapport d’activité
individuel a destination
du patient
Le patient a la possibilité de générer un rapport
sur ses données personnelles depuis l’application mobile. Cette demande
déclenchera la génération, par, et sur le serveur de SUBLIMED, d’un rapport au
format pdf, qui sera ensuite téléchargé dans l’application mobile.
Bases légales du Traitement
pour les citoyens européens :
Article 6 (1) a) du RGPD : la Personne Concernée
a consenti au Traitement de ses Données à Caractère Personnel.
Catégories de Données
Personnelles traitées et durée de stockage :
Les données traitées sont :
La durée de conservation de la donnée est de 3
ans après le dernier ajout de donné lié au « patient ID ». OU si
l’Utilisateur a un compte : la durée de conservation de la donnée est de 5
ans après le dernier ajout de données lié au compte utilisateur, après quoi
l’identifiant personnel est supprimé.
Personnes concernées :
Les Utilisateurs de l’Application
Prise de décision automatisée
Le Traitement ne prévoit pas de prise de
décision automatisée.
ARTICLE
3 - DESTINATAIRES DES DONNEES PERSONNELLES ET SERVICES TIERS
Les destinataires internes à la Société ont accès aux Données Personnelles
strictement collectées par SUBLIMED.
Il s’agit du :
SUBLIMED garantit à tout Utilisateur que les sous-traitants auxquels elle
fait appel dans le cadre de l’Application et les partenaires avec lesquels elle
collabore, présentent des garanties suffisantes quant à la mise en œuvre des
mesures techniques et organisationnelles appropriées de manière que le
traitement réponde aux exigences du RGPD et garantisse la protection des droits
des Utilisateurs.
ARTICLE
4 - TRANSFERTS DES DONNEES PERSONNELLES HORS UE
SUBLIMED n’organise pas de transferts de Données Personnelles en dehors de
l’UE.
Ses sous-traitants peuvent disposer de serveurs en dehors de l’UE. Il est
donc possible que certaines Données Personnelles soient traitées par des
serveurs situés en dehors de l’UE, dans un pays tiers.
En cas de transfert de tout ou partie des Données Personnelles objet d’un
Traitement vers un pays tiers, c’est à dire situé en dehors de l’Union
Européenne ou ne présentant pas un niveau de protection reconnu comme adéquat
au sens de la réglementation, ou vers une organisation internationale, SUBLIMED
s’engage à prévoir les garanties appropriées prévues au sein de la
réglementation et à les faire respecter par ses sous-traitants.
ARTICLE
5 – MESURES DE SECURITE
SUBLIMED
s’engage à mettre en place :
ARTICLE
6 – EXERCICE DES DROITS
Conformément aux dispositions de la loi Informatique et Liberté modifiée et
au RGPD, vous disposez d'un droit d'accès, de rectification, d’effacement, de
limitation, d’opposition et un droit à la portabilité des Données à Caractère
Personnel vous concernant. Pour exercer l’ensemble de ces droits, nous vous
invitons à adresser votre demande à l’adresse électronique suivante : rgpdcontact@subli-med.com (en nous
transmettant également une copie de votre pièce d’identité).
a. Droits d’accès
Vous disposez d’un droit d’accès aux Données Personnelles vous concernant
traitées par SUBLIMED. Il vous permet de prendre connaissance des Données
Personnelles dont nous disposons sur vous et, si vous le souhaitez, d’en
demander une copie.
b. Droits à la rectification
Aux termes de la réglementation applicable en matière de protection des
Données Personnelles, vous pouvez solliciter de notre part la rectification des
Données à Caractère Personnel vous concernant en notre possession et qui sont
inexactes. Vous pouvez également demander à ce que les
Données à Caractère Personnel incomplètes vous concernant soient complétées, y
compris en fournissant, à l’appui, une déclaration complémentaire.
Si vous estimez que d’autres Données Personnelles vous concernant doivent
être modifiées ou complétées et que vous ne parvenez pas à effectuer ce
changement par vous-même, nous vous invitons à nous contacter à l’adresse
suivante : rgpdcontact@subli-med.com .
c. Droits à l’effacement
Vous disposez du droit d'obtenir de notre part l'effacement, dans les
meilleurs délais, de Données à Caractère Personnel vous concernant sous réserve
de notre intérêt légitime ou de toute obligation légale nous en imposant la
conservation.
Pour des raisons de sécurité, nous vous invitons à effectuer cette démarche
en nous contactant à l’adresse suivante : rgpdcontact@subli-med.com
d. Droit à la limitation du Traitement
Vous pouvez solliciter de SUBLIMED la limitation du Traitement de vos
Données Personnelles, lorsque l'un des éléments suivants s'applique :
·
vous contestez l'exactitude des Données à Caractère Personnel vous
concernant. Dans ce cas, nous masquerons les Données Personnelles vous
concernant, pendant une durée nous permettant d’en vérifier l'exactitude ;
·
vous estimez que le Traitement de vos Données Personnelles est mis en
œuvre de manière illicite et vous exigez à la place la limitation de leur
utilisation ;
·
nous n’avons plus besoin des Données Personnelles vous concernant aux
fins du Traitement mais celles-ci sont encore nécessaires pour vous permettre
de faire constater, d’exercer ou de défendre un droit en justice ;
·
vous avez exercé votre droit d’opposition en vertu de l'article 21,
paragraphe 1 du RGPD.
·
Nous procéderons à la limitation
du Traitement de vos Données Personnelles, pendant la vérification portant sur
le point de savoir si les motifs légitimes que nous poursuivons prévalent sur
votre droit.
Si nous décidons de lever la limitation du Traitement de vos Données
Personnelles, nous vous en tiendrons informé.
e. Droit à l’opposition
Vous pouvez vous opposer à l’envoi de communications, notamment
commerciales, par SUBLIMED. Nous mettons à cette fin à votre disposition un
lien de désinscription dans tous les courriels que nous vous adressons.
Vous pouvez également vous opposer, pour des motifs légitimes, au
Traitement de vos Données Personnelles, sauf si celui-ci répond à une
obligation légale s’imposant à SUBLIMED.
f. Droit à la portabilité
Vous pouvez à tout moment demander la portabilité de vos Données
Personnelles à SUBLIMED. En exerçant ce droit, nous nous engageons à vous
transmettre dans un délai raisonnable et dans un format lisible par machine les
Données Personnelles que vous nous aurez fournies qu’elles aient été déclarées
par vous-même ou générées par votre activité sur l’Application.
g. Droit de retrait du consentement
Vous avez le droit retirer votre consentement à tout moment ainsi que de
refuser le Traitement de vos Données Personnelles pour des raisons
personnelles. Vous ne pourrez plus utiliser l’Application dans ce cas.
h. Droit d’introduire une réclamation auprès d’une autorité de contrôle
L’autorité de contrôle compétente pour connaître de toute demande nous
concernant, y compris, le cas échéant, de la plainte d’un Utilisateur, dépend
de votre pays, vous pouvez consulter la liste des autorités nationales
européennes ici : https://edpb.europa.eu/about-edpb/about-edpb/members_en
Pour les citoyens Suisse veuillez-vous référez au Préposé fédéral à la
protection des données et à la transparence (PFPDT) https://www.edoeb.admin.ch/edoeb/fr/home.html
Pour les citoyens américains, veuillez-vous référez à la réglementation de
votre état.
Il n’y a pas de cookies spécifiques à l’utilisation de l’application.
Néanmoins, la consultation de site externe depuis un navigateur (ex : appli
Google Chrome, Safari, Firefox, …) ouvert via l’application mobile, est
susceptible d’enregistrer des cookies sur votre téléphone, mais notre
application mobile n’y accède pas. Il vous est demandé au moment de la
consultation de ces sites de paramétrer vos choix relatifs aux cookies. Pour
plus d’information consulter les politiques de confidentialité des sites visités.
ARTICLE
8- MODIFICATION DE LA POLITIQUE DE CONFIDENTIALITE
La présente Politique a été mise à jour à la date indiquée en page 1.
SUBLIMED se réserve le droit de modifier la présente Politique de
Confidentialité. Ces modifications entreront en vigueur à compter de la
publication de la nouvelle politique. Votre utilisation de l’Application à la
suite de l’entrée en vigueur de ces modifications vaudra reconnaissance et
acceptation de la nouvelle politique de confidentialité des données.
SUBLIMED, a simplified joint stock company, registered in the Grenoble
Trade and Companies Register under number 813 959 012, with its registered
office at 137 rue Mayoussard, 38430 MOIRANS - France (hereinafter referred to
as the "Company" or "SUBLIMED") undertakes to ensure that
the Processing of Personal Data carried out on the actiTENS application that it
publishes (hereinafter referred to as the "Application") complies
with the applicable regulations on data protection (European General Data
Protection Regulation 2016/679 - "GDPR") and the amended French Data
Protection Act n°78-17 of 6 January 1978.
This charter complies with the provisions of Swiss data protection
legislation, the Law of 5 October 2001 on public information, access to
documents and the protection of personal data (LIPAD; RS GE A 2 08) and its
implementing regulations (RIPAD).
The Application is associated with the User's use of the actiTENS
medical device.
The Application enables its Users to :
·
Connect the
actiTENS medical device associated with the use of the Application
;
·
Follow
personalised programmes to relieve the User's pain (history of sessions carried
out, history of pain levels, etc.).
The present Policy of Confidentiality has for object to inform every
User of the Application on the way in which SUBLIMED collects and treats the
Personal Data which concern him. The Personal Data which are collected by
SUBLIMED are used to make the Application work and to improve it.
SUBLIMED is responsible for the processing of Personal Data collected
via the Application.
PERSONAL DATA OR PERSONAL DATA
Any information that directly or indirectly identifies or renders
identifiable a natural person.
PERSON CONCERNED
Refers to any natural person whose Personal Data are collected and
processed by SUBLIMED.
DATA CONTROLLER
Refers to the person who determines the purposes and means of the
Processing. The Company SUBLIMED has this capacity within the framework of the present
Policy of Confidentiality.
SUBCONTRACTOR
Refers to the person who processes Personal Data on the instructions of
the Data Controller as part of a service. The list of processors concerned is
provided below.
TREATMENT
Refers to any operation or set of operations carried out using automated
or manual processes on an electronic or paper medium, such as the collection,
recording, organisation, structuring, storage, adaptation or modification,
extraction, consultation, use, communication by transmission or dissemination
of Personal Data.
USER
Refers to any person who uses the Application and makes use of the
services offered therein.
On Android, the
Bluetooth connection system used by actiTENS requires a Bluetooth scan to
detect the actiTENS generator. On some versions of Android, calling up this
scan function requires you to request authorisation to access your location.
This is a request for authorisation which is imposed by Android, but neither
the Application nor SUBLIMED actually accesses the
User's location and this information is not processed.
This processing is carried out by subcontractors Apple and Google, via
their App Store and Google Play applications, when the user uses them to
download the actiTENS application. SUBLIMED does not have access to the data
listed in the context of this processing.
Legal basis for processing European citizens :
Article 6 (1) a) of the GDPR: the Data Subject has consented to the
Processing of his/her Personal Data.
Categories of Personal Data processed and storage period
:
The exhaustive list of data processed by each sub-contractor and their
storage periods is available in the sub-contractor's confidentiality policy. It
may include, but is not limited to: data relating to
connection to their services, e-mail address, password, IP address, date and
time of connection and disconnection.
|
Department names |
Company
name and registered office address |
Purposes of processing |
Link to privacy policy |
|
Google Play |
Google
Ireland Limited a company registered in Ireland whose principal place of
business is Gordon House, Barrow Street, Dublin 4, Ireland. |
Distributing
and downloading the Application |
Click here. |
|
App store |
Apple Distribution International
Ltd. Hollyhill Industrial Estate, Hollyhill, Cork, Republic of Ireland |
Distributing
and downloading the Application |
Click here. |
Persons concerned :
Users of the Application
Automated decision-making
The Processing does not involve automated decision-making.
Throughout the use of the actiTENS mobile application, SUBLIMED
processes data collected automatically via the following service:
·
Firebase
Data is collected via technical and functional
tracers, which are files stored in your smartphone in the application folder.
They are created when your smartphone launches an application and you interact
with it (opening, closing, updating, uninstalling, duration of screen display).
These events are sent to the Firebase servers.
The data is processed and anonymised by Firebase and then transferred to
Analytics. Both Analytics and Firebase data are available to SUBLIMED in the
form of graphical representations and tables of anonymised data. This
information is used to resolve technical problems and improve the User
experience.
Firebase data includes error and crash reports. This information is used
to resolve technical problems and improve the User experience.
Legal basis for processing European citizens :
Article 6 (1) a) of the GDPR: the Data Subject has consented to the Processing
of his/her Personal Data.
Categories of Personal Data processed and storage period
:
The data collected by Firebase may include, but
is not limited to: usage data (crashes, errors, screen viewed), IP address,
phone model, operating system, version of the actiTENS mobile application, as
well as the triggering of "events" defined by Firebase as opening,
installing, uninstalling or updating the application. SUBLIMED has added two
categories of events: the end of a stimulation session, and errors
(communication error between the actiTENS generator and the mobile application,
technical error with the actiTENS generator).
These data are anonymised by Firebase.
An exhaustive list of the data processed and the length of time it is
stored by each processor is available in the processor's privacy policy, see
table below.
|
Department names |
Company
name and registered office address |
Purposes of processing |
Link to privacy policy |
|
Google Firebase |
Google
Ireland Limited, a company registered in Ireland whose principal place of
business is Gordon House, Barrow Street, Dublin 4, Ireland. |
Developing
the Application, To
find out how the User uses the Application, Improving the Application |
Click here to access |
|
Google Analytics |
Google
Ireland Limited, a company registered in Ireland whose principal place of
business is Gordon House, Barrow Street, Dublin 4, Ireland. |
To
compile statistics relating to the use of the Application |
Click here. |
Persons concerned :
Users of the Application
Automated decision-making
The Processing does not involve automated decision-making.
SUBLIMED processes and collects
Personal Data that the User provides
directly to SUBLIMED for the handling of complaints. It can be a question, for
example, of the name, first name, address e-mail or postal, in
order to be able to recontact the User and to bring a solution to him in
the event of request for the support addressed by email or telephone.
Legal basis of the Processing for European citizens :
Article 6 (1) a) of the GDPR: the Data Subject has consented to the
Processing of his/her Personal Data.
Categories of Personal Data collected and their storage periods :
·
Identification
data: surname and first name of the Data Subject; telephone number, e-mail address;
·
Serial number of
the medical device used by the User ;
·
If the User
sends a maintenance report :
o
Parameters of
recent stimulation sessions (date, types of programmes used, number of
channels, duration, intensity)
o
Phone number,
operating system version, mobile application version
o Any other data provided by the
User in the free "Notes" field
o A unique code created at the
time of installation (patient ID) which is not linked to the physical person of
the User (a new installation will trigger a change of patientID), except if the User as created or logged into a
User account.
o Name, serial number, version and
name of the actiTENS generator and its embedded software
o Mobile application version,
operating system version and phone model and locale of the mobile phone
(language & region)
o Firebase Installation ID (a
random identifier that changes with each installation)
Stimulation data collected automatically when the
actiTENS generator is used:
o Start, duration, pause times
and end of programme
o Programme, channels, channel
impedance and intensities used
o Disconnections
Health data, collected only if entered by the User:
o Area(s) of pain and pathology(ies)
o Pain characteristics (how long
the patient has been in pain, when and how often)
o Patient's therapeutic
objectives
o Sex, gender, age, height and
weight
o Level of pain before and after
stimulation
The personal data collected is stored for the time indicated below:
·
Data from
handling requests for information: 1 year
·
Data from handling
customer complaints: 2 years
It is then anonymised in accordance with SUBLIMED's GDPR procedure.
Persons concerned :
Users of the Application
The Personal Data collected for this purpose is mandatory.
Automated decision-making
The Processing does not involve automated decision-making.
SUBLIMED processes and collects Personal Data that the User provides
directly to SUBLIMED for the management of possible adverse effects. This may
include, for example, the surname, first name, e-mail or postal address, as
well as data relating to health, in order to be able
to recontact the User and to ensure relevant follow-up in the event of reports
of undesirable effects sent by e-mail or by telephone.
Legal basis of the Processing for European citizens :
Article 6 (1) c) of the GDPR: processing is necessary for compliance
with a legal obligation to which the controller is subject.
Categories of Personal Data collected and their storage periods :
·
Identification
data: surname and first name of the Data Subject; telephone number, e-mail address;
·
Data relating to
the User's health
·
Serial number of
the medical device used by the User ;
·
If the User
sends a maintenance report :
o
Stimulation
session parameters (date, types of programmes used, number of channels,
duration, intensity).
The personal data collected is stored for the legal period required by
regulations relating to the monitoring of health vigilance.
It is then anonymised in accordance with SUBLIMED's GDPR procedure.
Throughout the use of the actiTENS mobile application, SUBLIMED
processes data collected automatically via its own server.
The data is collected anonymously. This information is used to solve
technical problems, develop new functionalities and improve the experience of
existing users through knowledge gained about the actual use of the product.
This data may also be used for the purposes of evaluating the device in
accordance with current regulations on medical devices. It may also be used for
clinical study purposes or for the design of clinical study protocols.
These data are processed by a limited number of people who only have
access to an anonymised version of the data (see processing operation no. 6 for
further details).
Legal basis for processing European citizens :
Article 6 (1) a) of the GDPR: the Data Subject has consented to the
Processing of his/her Personal Data. And Article 6 (1) c) of the GDPR:
the Processing is necessary for compliance with a legal obligation to which the
Data Controller is subject (for the medical device assessment part provided for
in the regulations in force).
Categories of Personal Data processed and storage period
:
The data collected automatically are :
·
A unique code
created at installation (patient ID) which is not linked to the physical person
of the user (a new installation will trigger a change
of patientID) except if the User as created or logged into a
User account.
·
Name, serial
number, version and name of the actiTENS generator and its on-board software
·
Mobile
application version, operating system version and phone model and locale of the mobile
phone (language & region)
·
Firebase
Installation ID (a random identifier that changes with each installation)
The stimulation data collected
automatically when the actiTENS :
·
Start, duration,
breaks and end of programme
·
Programme,
channels, channel impedance and intensities used,
·
Disconnections
Health data, collected only if entered by the User:
·
Area(s) of pain
and pathology(ies)
·
Characteristics
of the pain (how long the patient has been in pain, when and how often)
·
The patient's therapeutic objectives
·
Sex, gender,
age, height and weight
·
Pain levels
before and after stimulation
·
number of steps
·
The data will be kept for 3 years after the last addition of data linked
to the "patient ID".
Persons concerned :
Users of the Application
Automated decision-making
The Processing does not involve automated decision-making.
If the User chooses to create a User Account, a link is created between
his personal identifier (e-mai address) and his
"patient ID" (see processing no. 5). In doing so, the User benefits
from the data backup and synchronisation capabilities listed in processing no.
5.
The link between a personal identifier and a "patient ID" can
only be seen by the DPO (Data protection officer: the person in the company
responsible for compliance with the regulation on the protection of personal
data), in order to access a request to exercise rights (see ARTICLE 6), and by
the system administrator in order to carry out the tasks on the server
necessary for its operation and maintenance.
The User's choice to create a user account does not affect processing
no. 5, as the SUBLIMED staff carrying out processing no. 5 do not have access
to the link between personal identifier and "patient ID".
Legal basis for processing European citizens :
Article 6 (1) a) of the GDPR: the Data Subject has consented to the
Processing of his/her Personal Data.
Categories of Personal Data processed and storage period
:
The data collected if the User decides to create an account and enter
his/her details:
·
A first name or pseudonym
·
An e-mail address
The data is kept for 5 years after the last time data is added to the
user account, after which the personal identifier is deleted.
Persons concerned :
Users of the Application who have created a User Account
Automated decision-making
The Processing does not involve automated decision-making.
Throughout the use of the actiTENS mobile application, SUBLIMED
processes data collected automatically via the following service:
·
Firebase
This data may be used by SUBLIMED via the "Firebase In-App
Messaging" service to send one or more messages to a targeted group of
users according to :
·
The version of the application
·
The language of the application
·
The user's
country/region
·
The
date on which the application was first opened
·
The
date of last engagement with the application
·
Whether
they have triggered one or more of the events described in treatment no. 2
The data is collected via technical and functional
tracers, which are files stored on your smartphone in the application folder.
They are created when your smartphone launches an application and you interact
with it (opening, closing, updating, uninstalling, duration of screen display).
These events are sent to the Firebase servers.
The "cards" in the Programmes
menu, the videos or articles, as well as the questionnaires in the Help menu
are retrieved by the mobile application from the SUBLIMED server, according to
targeting based on patient data stored on the SUBLIMED server. For this
paragraph, the data used is that of treatment 5.
Legal basis for the Processing of European citizens :
Article 6 (1) a) of the GDPR: the Data Subject has consented to the
Processing of his/her Personal Data.
Categories of Personal Data processed and storage period
:
The data collected by Firebase may include, but
is not limited to: the language of the application, the operating system, the
version of the actiTENS mobile application, the user's country, as well as the
triggering of "events" defined by default by Firebase, which are the
opening, installation, uninstallation or updating of the application. SUBLIMED
has added: the end of a stimulation session. This data is anonymised by
Firebase.
An exhaustive list of the data processed and the length of time it is
stored by each processor is available in the processor's privacy policy, see
table below.
|
Department names |
Company
name and registered office address |
Purposes of processing |
Link to privacy policy |
|
Google Firebase |
Google
Ireland Limited, a company registered in Ireland whose principal place of
business is Gordon House, Barrow Street, Dublin 4, Ireland. |
Developing
the Application, To
know how the User uses the Application, Improving the Application |
Click here to access |
Persons concerned :
Users of the Application
Automated decision-making
The Processing does not involve automated decision-making.
If the patient agrees to communicate
his/her prescribing centre to SUBLIMED via the application, SUBLIMED will
process this data with the aim of producing statistics on the sources of
actiTENS prescriptions.
Legal basis of the Processing for European
citizens :
Article 6 (1) a) of the GDPR: the Data
Subject has consented to the Processing of his/her Personal Data.
Categories of Personal Data processed and
duration of storage:
Name of prescribing centres
The data is stored for 5 years after the
last addition of data linked to the user account, after which the personal
identifier is deleted, no link can be established between the patient and the
prescribing centre.
Persons concerned:
Users of the Application
Automated decision-making
The Processing does not involve automated
decision-making.
If the patient agrees to communicate
his/her prescribing centre to SUBLIMED via the application, SUBLIMED will then
process this data with the aim of producing aggregated statistical reports on
all patients from the same centre. A minimum threshold of patients will be used
to ensure the anonymisation of the data in these reports.
Legal basis of the Processing for European
citizens :
Article 6 (1) a) of the RGPD: the Data
Subject has consented to the Processing of his/her Personal Data.
Categories of Personal Data processed and
duration of storage:
Name of prescribing centres
The data is stored for 5 years after the
last addition of data linked to the user account, after which the personal
identifier is deleted, no link can be established between the patient and the
prescribing centre.
Persons concerned:
Users of the Application
Automated decision-making
The Processing does not involve automated
decision-making.
The patient has the possibility of generating a report on his personal
data from the mobile application. This request will trigger the generation, by
and on the SUBLIMED server, of a report in pdf format, which will then be
downloaded into the mobile application.
Legal basis of the Processing for European citizens :
Article 6 (1) a) of the RGPD: the Data Subject has consented to the
Processing of his/her Personal Data.
Categories of Personal Data collected and their storage periods :
o A unique code created at the
time of installation (patient ID) which is not linked to the physical person of
the User (a new installation will trigger a change of patientID), except if the User as created or logged into a
User account.
o
Stimulation data
collected automatically when the actiTENS generator is used:
§
Start, duration, pause times and end of programme
§
Programme used
o
Health data, collected only if entered by
the User:
§
Area(s) of pain and pathology(ies)
§
Pain characteristics (how long the patient has been in pain, when and how
often)
§
Patient's therapeutic objectives
§
Sex, gender, age, height and weight
§
Level of pain before and after stimulation
The data is kept for 3 years after the
last time data linked to the ‘patient ID’ is added. OR if the User has an
account: the data is kept for 5 years after the last time data is added to the
user account, after which time the personal identifier is deleted.
Persons concerned:
Users of the Application
Automated decision-making
The Processing does not involve automated decision-making.
The Company's internal recipients have
access to the Personal Data strictly collected by SUBLIMED.
This is the :
·
SUBLIMED staff
responsible for supervising the security of SUBLIMED's information systems and
more generally for managing the Application (treatment 2 and 5);
·
SUBLIMED staff
server administrator (treatment 5 and 6)
·
SUBLIMED staff
responsible for exercising rights (processing 6, see ARTICLE 6)
·
SUBLIMED staff
responsible for handling support requests received by e-mail via the contact
functionality (e-mail, telephone, maintenance report) of the Application or the
contact address available from Google Play or the App Store (treatment 3 and 4);
SUBLIMED guarantees to all Users that the sub-contractors it calls upon
within the framework of the Application and the partners with whom it
collaborates, present sufficient guarantees as to the implementation of
appropriate technical and organisational measures so that the processing meets
the requirements of the GDPR and guarantees the protection of the rights of
Users.
SUBLIMED does not organise transfers of Personal Data outside the EU.
Its subcontractors may have servers outside the EU. It is therefore
possible that certain Personal Data may be processed by servers located outside
the EU, in a third country.
In the event of transfer of all or part of the Personal Data subject to
Processing to a third country, i.e. located outside the European Union or which
does not present a level of protection recognised as adequate within the
meaning of the regulations, or to an international organisation, SUBLIMED
undertakes to provide the appropriate guarantees provided for within the
regulations and to ensure that these are respected by its sub-contractors.
SUBLIMED
undertakes to implement :
·
Physical
security measures to prevent access to Personal Data by unauthorised persons;
·
Identity and access
controls via an authentication system and a password policy;
·
An authorisation management system;
·
Processes and
systems that enable all actions carried out on the information system to be
traced and, in accordance with regulations, to be reported in the event of an
incident affecting Personal Data.
In accordance with the provisions of the amended French Data Protection
Act and the GDPR, you have the right to access, rectify, delete, limit, oppose
and port your Personal Data. To exercise all these rights, please send your
request to the following e-mail address: rgpdcontact@subli-med.com (please also send us a copy of your identity
document).
You can delete your user account and personal data from the mobile
application settings. For Android users, you can also delete Google Health
Connect data from the application settings.
You have a right of access to your Personal Data processed by SUBLIMED.
This allows you to find out what Personal Data we hold about you and, if you
wish, to request a copy.
Under the terms of the applicable regulations on the protection of
Personal Data, you may request that we rectify inaccurate Personal Data
concerning you in our possession. You may also request that incomplete Personal
Data concerning you be completed, including by providing a supporting
statement.
If you consider that other Personal Data concerning you should be
modified or completed and you are unable to make this change yourself, please
contact us at the following address: rgpdcontact@subli-med.com.
You have the right to obtain from us the deletion, as soon as possible,
of Personal Data concerning you, subject to our legitimate interest or any
legal obligation requiring us to retain it.
For security reasons, please contact us at the following address: rgpdcontact@subli-med.com.
You may request SUBLIMED to restrict the Processing of your Personal
Data, where any of the following apply:
·
you dispute the
accuracy of the Personal Data concerning you. In this case, we will hide your
Personal Data for a period of time that will allow us to verify its accuracy;
·
you consider
that the Processing of your Personal Data is carried out unlawfully and you
demand instead that their use be restricted;
·
we no longer
require your Personal Data for the purposes of the Processing
but it is still necessary to enable you to establish, exercise or defend a
legal claim;
·
you have
exercised your right to object under Article 21(1) of the GDPR.
·
We
will limit the Processing of your Personal Data while we verify whether the
legitimate reasons we are pursuing prevail over your right.
If we decide to lift the restriction on the Processing of your Personal
Data, we will inform you accordingly.
You may oppose the sending of communications, in particular commercial
communications, by SUBLIMED. To this end, we provide you with an unsubscribe
link in all the e-mails we send you.
You may also object, on legitimate grounds, to the Processing of your
Personal Data, unless this is in response to a legal obligation imposed on
SUBLIMED.
You may at any time request the portability of your Personal Data from
SUBLIMED. By exercising this right, we undertake to transmit to you within a
reasonable time and in a machine-readable format the Personal Data that you
will have provided to us whether they have been declared by yourself or
generated by your activity on the Application.
You have the right to withdraw your consent at any time and to refuse
the Processing of your Personal Data for personal reasons. In this case, you
will no longer be able to use the Application.
The supervisory authority competent to deal with any request concerning
us, including, where applicable, a complaint from a User, depends on your
country. You can consult the list of European national authorities here:
https://edpb.europa.eu/about-edpb/about-edpb/members_en
For Swiss citizens, please refer to the Federal Data Protection and
Information Commissioner (FDPIC)h ttps://www.edoeb.admin.ch/edoeb/fr/home.html
For US citizens, please refer to your state's regulations.
There are no cookies specific to the use of the application. However,
when you visit an external website using a browser (e.g. Google Chrome, Safari,
Firefox, etc.) that is opened via the mobile application, cookies may be stored
on your phone, but our mobile application does not access them. When you visit
these sites, you will be asked to configure your choices regarding cookies. For
more information, please consult the privacy policies of the sites you visit.
This Policy was updated on the date indicated on page 1. SUBLIMED
reserves the right to modify this Privacy Policy. These modifications will come
into effect as of the publication of the new policy. Your use of the
Application following the entry into force of these modifications will
constitute acknowledgement and acceptance of the new data confidentiality
policy.