Politique de confidentialité

1.  Qui sommes-nous ?

ThIA est une société par actions simplifiée, au capital de 20 000 euros, immatriculée au RCS sous le numéro 914 329 677, dont le siège social est situé au 73 Allée Kleber, 34000 Montpellier, et dont le numéro de TVA intracommunautaire est FR54914329677.
ThIA propose l’organisation d’un parcours de soin coordonné entre psychologue et psychiatre nommé ci-dessous AviPsy

2.  Pourquoi cette politique ?

Nous souhaitons vous informer des traitements de données à caractère personnel et des moyens mis en œuvre pour protéger vos données à caractère personnel traitées par ThIA lors :

●      de la navigation sur le site internet de thiasantementale ;
●      de la fourniture des services proposées par la plateforme Parcours de soin coordonné AVIPSY.

Cette Politique fait partie intégrante des Conditions Générales d’Utilisation de ThIA.
Cette Politique peut être révisée lorsque de nouvelles fonctionnalités ou activités sont ajoutées sur le site internet, lorsque les modalités de traitement des données personnelles sont modifiées, ou bien lorsque les lois et règlements évoluent en affectant l’activité et/ou les services proposés par ThIA.
En cas de révision de la présente Politique, ThIA s’engage à publier les modifications sur son site internet et à mettre à jour la date de publication de ladite Politique.
Toute Politique révisée s’appliquera à la fois aux données personnelles faisant déjà l’objet d’un traitement au moment des modifications, et à toute autre donnée personnelle collectée et traitée après l’entrée en vigueur de la Politique révisée.
ThIA définit un numéro de version sur cette Politique comprenant le mois et l’année de sa dernière révision. ThIA encourage les Utilisateurs à consulter régulièrement cette Politique pour vérifier si des changements ont été apportés.

3.  Définitions

“Loi informatique et libertés” : la Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles.
« Règlement” ou “RGPD” : le Règlement (UE) 2016/679 du Parlement Européen et du Conseil, du 27 Avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données) et abrogeant la Directive 95/46/CE.
“Responsable de traitement” désigne la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre.
“Sous-traitant” désigne la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
“Utilisateur” ou “Personne concernée” désigne tout visiteur du site internet dont les données personnelles sont traitées.
“Donnée à caractère personnel” désigne toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
“Violation de données personnelles” désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.
“Traitement” désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

4.  Rôles et Responsabilités de ThIA

Dans le cadre de ses activités, ThIA traite des données personnelles relatives à la personne concernée dans le respect des dispositions du RGPD et de la Loi informatique et libertés, notamment en matière de licéité, de transparence et de loyauté.
Origine et collecte des données concernées
Les données concernant les personnes concernées sont collectées directement et indirectement auprès de ces dernières par le biais de leur utilisation :
●      du formulaire de contact du site internet (dédié aux professionnels de santé);
●      de la création d’un compte et de l’utilisation de la Plateforme de parcours de soins coordonnés (incluant une collecte indirecte des données administratives via la prise de rendez-vous Doctolib et le télésecrétariat Avipsy).
ThIA s’engage à informer toute personne concernée utilisatrice du site internet et de la Plateforme parcours de soins coordonnés des modalités de traitement de ses données personnelles et de ses droits en la matière.
Les données personnelles collectées sont utilisées dans le cadre des services fournis par ThIA. Elles sont utilisées afin de répondre aux différents besoins et demandes des utilisateurs du site internet de thiasantementale et de la Plateforme parcours de soin coordonné.
ThIA s’engage à ne collecter et traiter que les données personnelles strictement nécessaires aux fins des traitements et des finalités déterminées, dans le respect du principe de minimisation des données.

5.  ThIA en tant que Responsable de Traitement

a.    Finalités des traitements
ThIA agit en tant que Responsable de Traitement dans le cadre de la création sur la Plateforme du compte de l’Utilisateur, de son usage de la Plateforme parcours de soins coordonnés et de la navigation sur le site internet, plus précisément pour les finalités suivantes :
Site internet institutionnelLes finalités sont les suivantes :
–        Navigation sur le site internet
–        Initiation de la prise de rendez-vous patient
–        Gestion des demandes de contact des professionnels de santé
Plateforme parcours de soin coordonnéLes finalités sont les suivantes :
–        Création de compte patient et professionnel de santé
–        Gestion du parcours de soin patient
–        Gestion de la prise de rendez-vous
–        Gestion du dossier partagé patient de spécialité
–        Gestion du consentement au partage des données de santé
–        Téléconsultation avec les praticiens
–        Complétion de questionnaire pré et post-consultation
–        Transmission de la synthèse au médecin généraliste
–        Tenue des RCP entre praticiens
Pour ces finalités suscitées, ThIA agit en qualité de responsable de traitement conjoint avec les praticiens pour la mise en œuvre du parcours coordonné en santé mentale. Sur demande par email à l’adresse secretariat@avipsy.fr. Les grandes lignes de cet accord pourront vous être mises à disposition.
–        Réaliser des enquêtes de satisfaction facultatives
–        Réaliser des statistiques d’utilisation de la plateforme
–        Initier des recherches scientifiques

Les données collectées dans le cadre du parcours de soin pourront être utilisées dans le cadre de recherches à moins que vous vous y opposiez. Un moyen d’opposition vous sera fourni par ThIA. Vous serez également individuellement informé de façon ultérieure de chaque projet de recherche impliquant la réutilisation de vos données personnelles, afin que vous puissiez vous y opposer.
A titre subsidiaire, les données des personnes concernées sont également traitées pour les besoins de communication relatifs aux évolutions des produits et des offres relevant de l’intérêt légitime de ThIA.  Le consentement des personnes concernées est demandé pour cette finalité spécifique.
À tout moment, l’Utilisateur peut exercer son droit d’opposition à recevoir ces communications en adressant un email à : dpo@avipsy.fr, ou par courrier à 73 allée Kleber, 34000, Montpellier.
En qualité de responsable de traitement, ThIA pourra également exploiter certaines des données personnelles collectées à l’occasion du parcours coordonné pour les mettre en lien avec celles se rapportant à d’autres utilisateurs afin de produire des statistiques visant à mesurer l’utilisation du service, son efficacité et la satisfaction des patients et pour améliorer le parcours coordonné. Les données concernées incluent par exemple l’origine du patient (ex: bouche à oreille, Doctolib), l’âge, le sexe, les motifs de consultation et l’évolution des scores sur la base des réponses aux questionnaires, le niveau de satisfaction sur la base de questionnaires de satisfaction spécifiques. Dans la mesure où ces données incluent des données de santé, ThIA ne traitera vos données personnelles pour cette finalité qu’avec votre consentement.
A noter que, le psychologue et le psychiatre sont, en tant que professionnels de santé, responsables du traitement des données personnelles du patient, y compris les données de santé, dans le cadre des consultations et soins. Vous pouvez leur demander davantage d’informations concernant le traitement de ces données.

b.    Fondement juridique des traitements
Les traitements des données personnelles ont pour fondement juridique :
–        Le consentement de l’utilisateur au traitement des données à caractère personnel dans le cadre de l’organisation et de la mise en œuvre du parcours de soin coordonné et, le cas échéant, dans le cadre de l’envoi de communication;
–        La recherche scientifique dans le cadre de l’intérêt public, pour laquelle vous serez informé le cas échéant ;
–        Les Conditions Générales d’Utilisation et la Politique de Confidentialité acceptées par les Utilisateurs lors de leur inscription sur la Plateforme de parcours de soin coordonné et lors de la navigation sur le site internet ;
–        L’intérêt légitime de ThIA à assurer une meilleure utilisation de ses services et à améliorer le fonctionnement de sa Solution et de ses services ;
–        L’intérêt légitime de ThIA de réaliser des enquêtes de satisfaction facultatives sur ses services dans le but de les améliorer.

c.     Catégories de personnes concernées
–        Utilisateurs du site internet
–        Utilisateurs patients et praticiens de la Plateforme Parcours de soin coordonné
d.    Données personnelles traitéesSite internet institutionnelDonnées de navigation, adresse IP, cookies.
Plateforme parcours de soin coordonnés
Utilisateur patient :
–        données administratives notamment état civil, adresse, âge/date de naissance, sexe, …
–        données de santé notamment synthèse des praticiens, réponses aux questionnaires, …
–        données liées au compte utilisateur notamment identifiant, mot de passe, …
Utilisateur praticien :
–        données liées au compte utilisateur notamment identifiant, mot de passe, profession, …

6.  Modalités et durée de conservation des données personnelles

a.    Hébergement des données collectées
Site internet
Les données personnelles collectées sur notre site internet sont hébergées par OVH, SAS, société immatriculée au RCS de Lille sous le numéro 537 407 926 sise 2, rue Kellermann, 59100 Roubaix.

Plateforme
Parcours de soin coordonnés
Toutes les données personnelles collectées sur la Plateforme parcours de soin, sont hébergées par OVH, SAS, société immatriculée au RCS de Lille sous le numéro 537 407 926 sise 2, rue Kellermann, 59100 Roubaix. Les données sont hébergées en France.

b.    Durée de conservation des données personnelles traitées
ThIA ne conserve les données à caractère personnel des Utilisateurs que pendant la durée nécessaire aux finalités pour lesquelles elles ont été collectées et dans le respect de la réglementation en vigueur.

7.  Partage et communication des données personnelles

Dans la limite de leurs attributions respectives et pour les finalités rappelées ci-dessus, les principales personnes susceptibles d’avoir accès aux données personnelles collectées sur le site internet de thiasantementale et sur la Plateforme de parcours de soin coordonnées sont principalement ses propres collaborateurs et prestataires.
Les données personnelles des personnes concernées ne sont pas transmises à des acteurs commerciaux ou publicitaires.
ThIA peut choisir de partager ou de transférer les informations personnelles de ses Utilisateurs comme décrit ci-dessous :
–        ThIA peut divulguer les données personnelles de la personne concernée (a) pour se conformer à une obligation légale, une procédure judiciaire, une décision de justice ou un processus judiciaire signifié à ThIA, (b) dans le cadre d’une enquête judiciaire, (c) protéger ou défendre les droits ou la propriété de ThIA ou des Utilisateurs de la Solution, et/ou (d) d’enquêter ou d’aider à prévenir toute violation potentielle de la loi, de la présente Politique ou de nos Conditions générales d’utilisation ;
–        ThIA peut partager tout ou partie des données personnelles de la personne concernée dans le cadre de toute opération de fusion, de financement, d’acquisition ou de dissolution ou de toute procédure impliquant la vente, le transfert, la cession ou la divulgation de tout ou partie de nos activités ou actifs. En cas d’insolvabilité, de faillite ou de mise sous séquestre, les renseignements personnels peuvent également être transférés à titre d’actif commercial. Si une autre entité acquiert ThIA ou ses actifs, cette entité possédera les informations personnelles collectées par ThIA et assumera les droits et obligations concernant vos informations personnelles comme décrit dans cette Politique ;
–        ThIA peut partager tout ou partie des données personnelles de la personne concernée avec des entités appartenant ou associées à notre structure dans le respect de la loi et de la réglementation. Ces données personnelles ne peuvent être traitées que dans le but de réaliser les finalités décrites dans la présente Politique

–        ThIA peut partager les données personnelles de la personne concernée avec des fournisseurs de services tiers, sous-traitants pour fournir les services proposés, effectuer des tests d’assurance qualité, fournir un soutien technique, et/ou pour fournir d’autres services (emailing, analyse d’audience) à ThIA. ThIA s’engage à exiger de ses sous-traitants un niveau de sécurité suffisant quant au traitement de données personnelles que ces derniers réalisent pour son compte. Si ces prestataires tiers utilisent des serveurs en dehors de l’Union Européenne, ThIA conclut avec elles des contrats spécifiques et des clauses contractuelles contraignantes établies par la Commission Européenne pour encadrer et sécuriser le transfert de telles données personnelles à ces prestataires. Dans ce cas, tous les tiers s’engagent à approuver et appliquer strictement cette Politique. Cette obligation est prévue dans les contrats qui lient ces tiers à ThIA conformément aux règles de protection des données personnelles.

8.  Transferts de données hors UE

–        Données administratives du patient accessibles au télésecrétariat pour confirmer la prise de rendez-vous. Un accord de traitement des données a été mis en place avec ce sous-traitant, notamment avec l’outil juridique de la commission européenne, les clauses contractuelles type.

–        Prise de rendez-vous sur le service de Doctolib, hébergement sur AWS certifié hébergeur de données de santé, il est possible que des transferts aux Etats-Unis surviennent, ils sont couverts par le Data Privacy Framework, outil juridique en vigueur depuis le 10 juillet 2023.

9.  Cookies

Un « cookie » est un petit fichier d’information envoyé sur le navigateur de l’Utilisateur et enregistré au sein du terminal de l’Utilisateur (ex : ordinateur, smartphone), (ci-après « Cookies »). Ce fichier comprend notamment des informations telles que le nom de domaine de l’Utilisateur, le fournisseur d’accès Internet de l’Utilisateur, le système d’exploitation de l’Utilisateur, ainsi que la date et l’heure d’accès. Les Cookies ne risquent en aucun cas d’endommager le terminal de l’Utilisateur.
Vous pouvez consulter le bandeau de gestion des cookies afin d’obtenir le détail des cookies utilisés, et vous êtes libres de modifier votre choix quant à leur utilisation à tout moment.

10. Mesures de sécurité technique et organisationnelle

ThIA s’engage à protéger les données personnelles des utilisateurs avec la mise en place de mesures de sécurité techniques et organisationnelles visant à lutter contre la divulgation non autorisée, l’altération, l’utilisation ou la destruction des données personnelles traitées.
ThIA met en œuvre toutes les mesures à sa disposition pour créer un environnement permettant de préserver la qualité, la sécurité, la confidentialité et l’intégrité des données personnelles traitées.
ThIA utilise également des technologies raisonnables pour sécuriser le traitement des données personnelles traitées dans le cadre des finalités décrites dans la présente politique, notamment :
–        Gestion des accès ;
–        Cryptage SSL Let’s Encrypt (Secure Socket Layer);
–        Protection physique des locaux, procédés d’authentification avec accès nominatif et sécurisé, politique d’identifiants et de mots de passe confidentiels, traçabilité et journalisation des connexions, chiffrement des données personnelles ;
–        Évaluation régulière et amélioration de ses systèmes de technologie de l’information, de ses installations et des pratiques de collecte, de stockage et de traitement des données personnelles.
–        Hébergement de données auprès de prestataires certifiés HDS conformément à l’article L.1111-8 du code de la santé publique.
Cependant, ThIA ne peut pas assurer ou garantir contre tous les risques en ce qui concerne la sécurité de ces données personnelles. ThIA ne garantit pas que ces données ne peuvent être consultées, divulguées, modifiées ou détruites en cas de violation de l’une de nos garanties en cas de manquement ou négligence de la part les utilisateurs du site internet, en cas de défaillance de notre prestataire hébergeur de données, ou de l’un de nos sous-traitants.

11. Les droits des Utilisateurs

ThIA s’engage à garantir le respect des droits des Utilisateurs en matière de protection des données personnelles.
Conformément à la loi relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978 modifiée, ainsi qu’au règlement européen relatif à la protection des données personnelles du 27 avril 2016, sauf en cas de limitation, vos droits en matière de données sont les suivants :
–        Droit d’accès : le droit d’être informé et de demander l’accès aux données personnelles que ThIA traite ;
–        Droit de rectification : le droit de demander de modifier ou de mettre à jour les données personnelles lorsqu’elles sont inexactes ou incomplètes ;
–        Droit à l’effacement (droit à l’oubli) : le droit de demander de supprimer définitivement les données personnelles traitées pour les finalités décrites dans la présente politique ;
–        Droit à la limitation du traitement : le droit de demander d’arrêter temporairement ou définitivement le traitement de tout ou partie des données personnelles ;
–        Droit d’opposition : le droit de refuser à tout moment le traitement des données personnelles ;
–        Droit à la portabilité des données : le droit de demander une copie des données personnelles en format électronique et le droit de transmettre ces données personnelles pour une utilisation par un service tiers ;
–        Droit de ne pas être soumis à la prise de décision automatisée : le droit de ne pas être soumis à une décision basée uniquement sur la prise de décision automatisée, y compris le profilage, dans le cas où la décision aurait un effet juridique sur vous ou produirait un effet significatif similaire.
L’utilisateur peut également informer ThIA sur sa volonté de définir le sort de ses données personnelles après un décès. Dans un tel cas, ThIA s’engage à respecter les modalités de traitement de ces données personnelles dans la limite des obligations légales applicables. A défaut d’instructions précises de la part la personne concernée, ThIA s’engage à détruire les données personnelles concernées, sauf si leur conservation s’avère nécessaire à des fins probatoires ou pour répondre à une obligation légale.

12. Assistance et contact

Si vous avez des questions ou des réclamations concernant cette politique ou nos pratiques de collecte ou de traitement des données personnelles, si vous souhaitez exercer vos droits en matière de protection des données personnelles, ou si vous souhaitez nous signaler toute violation de sécurité, veuillez nous contacter par mail à dpo@avipsy.fr ou par courrier ThIA, Délégué à la protection des données, au 73 allée Kleber, 34000, Montpellier.
En cas de réclamation, vous pouvez choisir de saisir l’autorité de contrôle française en charge du respect des règles en matière de protection des données personnelles, la Commission Nationale de l’Informatique et des Libertés (CNIL) :
–        Par courrier : 3 Place du Fontenoy TSA 80715, 75334 Paris, Cedex 07
–        Par internet : https://www.cnil.fr/fr/plaintes/