Politique de confidentialité — Kreizia
Dernière mise à jour : [à compléter : date de publication] — Version : 1.0
Préambule
La présente politique de confidentialité décrit la manière dont Kreizia traite les données à caractère personnel dans le cadre de son site web et de sa plateforme SaaS destinée aux centres d'imagerie médicale.
Kreizia intervient à deux titres distincts, qu'il est essentiel de bien distinguer :
1. En qualité de responsable de traitement, pour les traitements qu'elle met en œuvre pour son propre compte : gestion des demandes de démonstration et de la prospection commerciale, gestion des comptes et des accès des utilisateurs professionnels, gestion de la relation et de la configuration des cabinets clients, fonctionnement et sécurité du site et de la plateforme. Ces traitements font l'objet de la présente politique.
2. En qualité de sous-traitant au sens de l'article 28 du RGPD, pour les données métier que les centres clients importent et font traiter dans la plateforme (données issues du RIS, de l'agenda, de la facturation, et le cas échéant de questionnaires patients). Pour ces traitements, le centre client demeure responsable de traitement ; les conditions sont définies dans un contrat de sous-traitance (DPA). Le traitement de ces données est résumé à la section 9.
Cette politique est rédigée conformément aux articles 12 à 14 du Règlement (UE) 2016/679 (« RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée (« loi Informatique et Libertés »).
1. Identité et coordonnées du responsable de traitement
Éditeur / responsable de traitement :
AMADIAG, société par actions simplifiée (SAS), exerçant sous le nom commercial AMADIAG MEDICAL, au capital de 1 000 €.
Siège social : 50 avenue des Champs-Élysées, 75008 Paris, France.
SIREN / RCS : 101 486 827 R.C.S. Paris — SIRET du siège : 101 486 827 00013.
Directeur·rice de la publication : [à compléter : nom du représentant légal]
Délégué·e à la protection des données (DPO) / contact protection des données :
Nom : [à compléter : nom du DPO ou « DPO »]
Courriel : [email protected]
Adresse postale : [à compléter : adresse postale du DPO]
2. Champ d'application et double rôle
La présente politique couvre les traitements pour lesquels Kreizia agit en responsable de traitement (sections 3 à 8 et 10 à 13).
Pour les traitements réalisés pour le compte des centres clients (données métier importées et, le cas échéant, données patient), Kreizia agit en sous-traitant. Les personnes concernées par ces données (patients, personnel des centres) doivent exercer leurs droits auprès du centre client concerné, qui en est le responsable de traitement (voir section 9).
3. Catégories de données traitées par Kreizia (en qualité de responsable)
| Catégorie de personnes | Données traitées |
|---|---|
| Prospects (demande de démonstration / contact) | Nom, prénom, adresse e-mail professionnelle, numéro de téléphone, fonction, structure / établissement, contenu du message |
| Utilisateurs de la plateforme (personnel des centres clients) | Adresse e-mail professionnelle, nom affiché, rôle/permissions, cabinet de rattachement, données d'authentification, métadonnées d'abonnement, journaux de connexion |
| Représentant·e·s / signataires du contrat client | Identité et coordonnées professionnelles, fonction |
| Visiteurs du site web | Données de navigation et données collectées via traceurs (voir section 12), adresse IP, données techniques de connexion |
Kreizia ne collecte, pour son propre compte, aucune donnée relevant des catégories particulières de l'article 9 du RGPD (notamment données de santé). Les données de santé éventuellement traitées le sont exclusivement en qualité de sous-traitant des centres clients (section 9).
4. Finalités et bases légales
| Traitement | Finalité | Base légale (art. 6 RGPD) |
|---|---|---|
| Demandes de démonstration | Répondre à la demande, organiser la démonstration | Mesures précontractuelles prises à la demande de la personne (art. 6.1.b) |
| Prospection commerciale B2B | Suivre la relation commerciale, présenter les offres | Intérêt légitime de Kreizia (art. 6.1.f) — prospection auprès de professionnels |
| Gestion des comptes et des accès | Créer et administrer les comptes, gérer l'authentification et les habilitations | Exécution du contrat conclu avec le cabinet client (art. 6.1.b) |
| Sécurité du système d'information | Prévenir les intrusions, journaliser, détecter les incidents | Intérêt légitime (art. 6.1.f) — sécurité du SI |
| Gestion administrative et comptable | Facturation, comptabilité, preuve | Obligation légale (art. 6.1.c) et exécution du contrat (art. 6.1.b) |
| Site web et traceurs non essentiels | Mesure d'audience, amélioration du site | Consentement (art. 6.1.a et art. 82 loi Informatique et Libertés) |
| Traceurs strictement nécessaires | Fonctionnement du site et de la plateforme | Intérêt légitime / exemption de consentement |
Pour les traitements fondés sur l'intérêt légitime, une mise en balance avec les droits des personnes a été effectuée ; les personnes disposent d'un droit d'opposition (section 11).
5. Destinataires des données
Les données sont destinées, dans la limite de leurs attributions :
- aux services internes habilités de Kreizia (relation client, support, sécurité, administration) ;
- aux sous-traitants de Kreizia listés à la section 6, agissant sur instruction et dans le cadre d'un contrat conforme à l'article 28 du RGPD ;
- le cas échéant, aux autorités administratives ou judiciaires lorsque la loi l'exige.
Kreizia ne vend ni ne loue de données à caractère personnel et ne les communique à aucun tiers à des fins de prospection pour le compte de tiers.
6. Sous-traitants et prestataires
Kreizia recourt aux sous-traitants suivants, chacun lié par un contrat conforme à l'article 28 du RGPD :
| Sous-traitant | Finalité | Localisation | Transfert hors UE |
|---|---|---|---|
| Hetzner Online GmbH | Hébergement de l'infrastructure et des bases de données | Allemagne (UE) | Non |
| Clerk, Inc. | Authentification et gestion des comptes utilisateurs | États-Unis | Oui — voir section 7 |
| Resend (Plus Five Five, Inc.) | Envoi des e-mails transactionnels (démo, contact) | États-Unis | Oui — voir section 7 |
| Cloudflare, Inc. | Service DNS (mode DNS-only) | États-Unis | Oui — voir section 7 |
| GitHub, Inc. (groupe Microsoft) | Registre d'images applicatives (GHCR) | États-Unis | Oui — voir section 7 |
| Functional Software, Inc. (Sentry) | Supervision des erreurs applicatives (activation conditionnelle) | Région UE configurable, à défaut États-Unis | Oui — voir section 7 |
7. Transferts de données hors Union européenne
Certains sous-traitants étant établis aux États-Unis, des transferts de données hors de l'Union européenne peuvent intervenir. Ces transferts sont encadrés par des garanties appropriées au sens du chapitre V du RGPD :
| Sous-traitant | Mécanisme de transfert |
|---|---|
| Clerk, Inc. | Certification au Data Privacy Framework UE–États-Unis ; Clauses contractuelles types (CCT) en mécanisme subsidiaire ; représentant UE désigné au titre de l'article 27 RGPD |
| Resend | Certification au Data Privacy Framework UE–États-Unis ; CCT en mécanisme subsidiaire |
| Cloudflare, Inc. | Certification au Data Privacy Framework UE–États-Unis ; CCT en mécanisme subsidiaire |
| GitHub, Inc. | Certification au Data Privacy Framework UE–États-Unis (entité du groupe Microsoft) ; CCT en mécanisme subsidiaire |
| Sentry | Certification au Data Privacy Framework UE–États-Unis ; CCT en mécanisme subsidiaire ; option de stockage en région UE retenue par Kreizia |
Le Data Privacy Framework UE–États-Unis fait l'objet d'une décision d'adéquation de la Commission européenne du 10 juillet 2023. Les Clauses contractuelles types adoptées par la Commission européenne (décision (UE) 2021/914) constituent une garantie subsidiaire si la certification venait à ne plus s'appliquer.
Toute personne concernée peut obtenir une copie des garanties applicables en s'adressant au contact indiqué à la section 1.
8. Durées de conservation
| Données | Durée de conservation |
|---|---|
| Prospects (demande de démo, prospection) | 3 ans à compter du dernier contact resté sans suite |
| Comptes et accès utilisateurs | Pendant la durée du contrat avec le cabinet client ; suppression ou anonymisation dans un délai de [à compléter : 30 à 90 jours] après la fin du contrat |
| Données de structure du cabinet (configuration) | Durée du contrat, puis archivage intermédiaire pour les besoins de preuve |
| Données administratives et comptables | Conservation conforme aux obligations légales (jusqu'à 10 ans pour les pièces comptables) |
| Journaux de connexion et de sécurité | 6 à 12 mois |
| Preuve du consentement aux traceurs | 3 ans |
| Données issues des traceurs non essentiels | Durée de vie des traceurs limitée à 13 mois ; données associées conservées au maximum 25 mois |
9. Données traitées pour le compte des centres clients (Kreizia sous-traitant)
Dans le cadre des modules de la plateforme, les centres clients importent et font traiter des données métier (issues du RIS, de l'agenda, de la facturation et, pour certains modules, de questionnaires patients).
Pour ces traitements :
- Le centre client est responsable de traitement. Kreizia agit en sous-traitant sur instruction documentée du centre, dans le cadre d'un contrat conforme à l'article 28 du RGPD (DPA).
- Ces données sont hébergées au sein de l'Union européenne (Allemagne).
- Kreizia est conçu pour minimiser les données patient : selon les cas d'usage, les données sont agrégées, pseudonymisées ou anonymisées, et aucune donnée patient directement nominative n'est conservée au-delà de ce qui est strictement nécessaire à la finalité convenue avec le centre. Les modalités précises figurent dans le DPA.
- Lorsqu'un module conduit à traiter des données de santé à caractère personnel, l'hébergement est assuré dans le respect des obligations applicables, notamment, en France, le recours à un hébergeur certifié HDS (article L.1111-8 du code de la santé publique). Les bases légales mobilisées par le centre client relèvent alors de l'article 9.2 du RGPD (notamment article 9.2.h — finalités de médecine et de gestion des systèmes de santé, ou article 9.2.a — consentement explicite).
Exercice des droits : les patients et le personnel des centres concernés par ces données exercent leurs droits directement auprès du centre client (responsable de traitement). Kreizia assiste le centre dans la satisfaction de ces demandes conformément à l'article 28.3.e du RGPD.
10. Sécurité des données
Conformément à l'article 32 du RGPD, Kreizia met en œuvre des mesures techniques et organisationnelles appropriées, notamment : chiffrement des communications (TLS), chiffrement des données au repos, gestion des habilitations et du moindre privilège, journalisation, hébergement au sein de l'Union européenne pour les données de la plateforme, sauvegardes, et procédures de gestion des incidents et des violations de données.
11. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez, pour les données dont Kreizia est responsable, des droits suivants :
- droit d'accès à vos données ;
- droit de rectification ;
- droit à l'effacement (« droit à l'oubli ») ;
- droit à la limitation du traitement ;
- droit d'opposition, notamment au traitement fondé sur l'intérêt légitime et à la prospection commerciale ;
- droit à la portabilité des données que vous avez fournies ;
- droit de retirer votre consentement à tout moment, lorsque le traitement est fondé sur celui-ci ;
- droit de définir des directives relatives au sort de vos données après votre décès.
Pour exercer ces droits, contactez [email protected], en justifiant de votre identité. Kreizia répond dans un délai d'un mois, pouvant être prolongé de deux mois en cas de demande complexe.
Pour les données traitées par Kreizia en qualité de sous-traitant (section 9), adressez votre demande au centre client concerné.
Réclamation : vous pouvez introduire une réclamation auprès de la CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — ou en ligne sur www.cnil.fr.
12. Cookies et traceurs
Le site de Kreizia utilise des traceurs. Les traceurs non strictement nécessaires ne sont déposés qu'après recueil de votre consentement, que vous pouvez retirer à tout moment.
[à compléter : politique cookies détaillée + bannière de consentement (livrable dédié)]
13. Modifications de la présente politique
Kreizia peut être amenée à modifier la présente politique. La version applicable est celle publiée sur le site, dont la date de mise à jour figure en tête de document. En cas de modification substantielle, les utilisateurs en sont informés par un moyen approprié.
14. Contact
Pour toute question relative à la présente politique ou au traitement de vos données :
[email protected]
Adresse postale : [à compléter : adresse postale dédiée]