Globalstim / Exostim – Charte de confidentialité

INTRODUCTION

La présente politique de confidentialité s’applique à l’application Exostim et à l’ensemble des dispositifs connectés permettant d’y accéder, ainsi qu’au site internet https://exostim.com/.
L’ensemble est désigné ci-après sous l’expression « le dispositif ».
GLOBAL STIM SAS, société éditrice du dispositif (voir Mentions légales), met en œuvre tous ses efforts afin de respecter et de protéger la vie privée et la confidentialité des données de ses utilisateurs.
La présente politique de confidentialité a pour but de présenter aux utilisateurs du dispositif :

  • La manière dont sont collectées et traitées leurs données à caractère personnel. On désigne comme « données à caractère personnel » (DCP) toutes données liées à l’identification, directe ou indirecte, d’un utilisateur. Il s’agit notamment du prénom et du nom, de l’âge et du sexe, de l’adresse mail, du numéro de téléphone mobile, de la localisation de l’utilisateur ou de son adresse IP ; et de toutes les informations pouvant
    être associées à ces dernières ;
  • Les droits dont bénéficient les utilisateurs au regard de ces données, et la façon dont ils peuvent les exercer ;
  • Les responsabilités au regard des traitements de données à caractère personnel détenues par Global Stim SAS ;
  • Les destinataires de ces données ;
  • La politique du site en matière de cookies et autres traceurs.

Cette politique de confidentialité complète les mentions légales que les utilisateurs peuvent consulter à l’adresse https://exostim.com/mentions-legales.

COLLECTE ET TRAITEMENT DE DONNÉES À CARACTÈRE PERSONNEL

Conformément aux dispositions de l’article 5 du Règlement européen 2016/679 pour la protection des données (RGPD), la collecte et le traitement des données des utilisateurs du dispositif respectent les principes suivants :

  • Licéité, loyauté et transparence : les données ne peuvent être collectées et traitées qu’avec le consentement de l’utilisateur propriétaire des données, ou de son responsable ou tuteur légal s’il s’agit d’une personne sous tutelle. A chaque fois qu’un nouveau type de données à caractère personnel viendra à être collecté, il sera indiqué à l’utilisateur que ses données sont collectées, et pour quelles raisons ses données sont
    collectées.
  • Finalités limitées : la collecte et le traitement des données sont exécutés pour répondre à un ou plusieurs objectifs déterminés dans la présente charte de confidentialité.
  • Minimisation de la collecte et du traitement des données : seules les données nécessaires à la bonne exécution des objectifs poursuivis par le dispositif sont collectées.
  • Conservation des données réduites dans le temps : les données sont conservées pour une durée limitée, dont l’utilisateur est informé.
  • Intégrité et confidentialité des données collectées et traitées : le responsable du traitement des données s’engage à garantir l’intégrité et la confidentialité des données collectées, notamment par l’utilisation d’un service d’hébergement certifié de données de santé (HDS).

La licéité du traitement de données à caractère personnel réalisé dans le cadre de la mise en œuvre du dispositif, conformément aux exigences de l’article 6 du Règlement européen 2016/679, s’appuie sur le consentement libre et éclairé de l’utilisateur (ou de son tuteur) aux traitements, qui lui sont décrits dans le présent document.

NATURE DES DONNÉES

1. Données traitées, finalité, durée de conservation

Les données à caractère personnel collectées par le dispositif sont les suivantes.

Données du compte client et/ou du compte utilisateur, ci-après désigné « particulier » (compte individuel) ou « bénéficiaire » (compte patient en établissement de santé / EHPAD) :

  • Identité de l’utilisateur (nom, prénom, âge, sexe, photo) ;
  • Coordonnées de l’utilisateur (email, n° de téléphone mobile, département de résidence) ;
  • Antécédents médicaux (pathologie déclarée, uniquement en cas de
    participation à la recherche CNRS associée à Exostim) ;
  • Contacts (invitations acceptées et invitations envoyées, uniquement pour les utilisateurs particuliers partageant volontairement leurs données dans le cadre de « battles »).

Ces données sont collectées à la création du compte par l’utilisateur lui-même ou par le professionnel de santé pour le compte de ce dernier en établissement. Elles peuvent être modifiées à tout moment par l’utilisateur.

Données du compte client « professionnel » (professionnel de santé en établissement) :

  • Identité de l’utilisateur (nom, prénom, âge, sexe) ;
  • Coordonnées de l’utilisateur (email, n° de téléphone mobile, adresse postale) ;

Ces données sont collectées à la création du compte client, et peuvent être modifiées à tout moment par le professionnel de santé, en accédant à la rubrique « Mon compte ».

Données des séances Exostim :

  • Type de séance, prescripteur, données d’agenda (date/heure)
  • Nature et thème du programme, objectifs et recommandations liés au profil de l’utilisateur, jeux inclus dans le programme, niveau de difficulté et durée, type d’applications dans la vie courante (« fonction cognitive », etc.)
  • Contenu de l’exercice réalisé, cotation du résultat (niveau quantitatif atteint).

Ces données sont collectées dès lors que l’utilisateur particulier ou le professionnel de santé met le dispositif en service, c’est-à-dire ouvre une session dans sa tablette, et lance une séance de stimulation. Elles sont collectées jusqu’à l’arrêt de la séance par l’utilisateur ou par le professionnel de santé.

La collecte et le traitement des données décrites ci-dessus répondent aux finalités suivantes :

Données du compte client et/ou du compte utilisateur « particulier » ou « bénéficiaire » :

  • permettre le bon fonctionnement du dispositif et vérifier la validité du compte de l’utilisateur (« particulier ») ou le bon paramétrage du compte du patient (« bénéficiaire ») ;
  • permettre la gestion de son compte et de ses droits à l’abonné « particulier » ;
  • pour les particuliers : permettre le partage de données (résultats aux jeux) dans le cadre de « battles » organisées avec leurs amis ;
  • pour les particuliers : donner accès à des informations générales sur les
    évolutions des produits de Global Stim SAS et sur les pratiques de rééducation du genou, à travers des newsletters, des e-mailings et des informations proposées en push sur le dashboard de l’application.

Données du compte client « professionnel » :

  • permettre le fonctionnement du dispositif côté professionnel de santé ;
  • permettre la création, la modification et la suppression par le professionnel de santé (notamment « tête de réseau » en EHPAD ou milieu hospitalier) de comptes pour d’autres professionnels de santé et pour des bénéficiaires ;
  • suivre les statistiques d’utilisation du dispositif par l’équipe professionnelle pluridisciplinaire ;
  • suivre la progression des bénéficiaires dont les comptes sont liés au
    professionnel de santé désigné.

Données des séances :

  • calculer et restituer la progression dans les programmes d’entraînement
    cognitif, afin de permette à l’utilisateur du dispositif et/ou aux professionnels de santé qui le suivent d’optimiser les séances et d’adapter la programmation de nouveaux jeux / exercices ;
  • lorsque l’utilisateur a choisi de participer à la recherche associée à Exostim, permettre au laboratoire CNRS d’étudier les statistiques anonymes qui lui sont communiquées, à des fins d’amélioration de la prise en charge des déficiences cognitives ;
  • permettre la réalisation d’agrégats statistiques anonymisés destinés à
    l’amélioration des algorithmes de l’application.

Le responsable du traitement conservera les données collectées dans ses systèmes informatiques pendant toute la durée d’activité du compte utilisateur.
Dès lors que le compte ne sera plus actif (fin d’abonnement pour les utilisateurs « particuliers », sortie du dispositif de soin pour les utilisateurs « établissement », fin d’abonnement établissement pour les utilisateurs « professionnels de santé ») :

  • les données d’identité des utilisateurs « bénéficiaires » ainsi que les données des séances de tous les utilisateurs seront supprimés des serveurs d’exploitation et archivées sur un support séparé, dont l’accès est limité à des finalités statistiques ou historiques, et conservées pendant une durée de cinq ans ;
  • les données des comptes « clients » et des comptes utilisateurs « particulier » et « professionnels de santé / établissements » seront conservées pour une durée de trois ans à compter de la fin d’abonnement, à des fins d’offres commerciales.

L’ensemble des données est conservé dans des conditions de sécurité optimales au regard de leur sensibilité (voir 3. Hébergement des données).
Une partie de ces DCP sont des données de santé au sens du considérant 35 du
RGPD. A ce titre, elles font l’objet d’une attention particulière et sont traitées conformément
aux exigences de l’article 9 du RGPD.

2. Tiers destinataires de données

Les données à caractère personnel collectées par le site peuvent être transmises à des tiers, dont la liste est la suivante :

  • nos sous-traitants de développement informatique (données accessibles à ce tiers : toutes les données, non transmises mais accessibles à travers l’API) ;
  • les professionnels de santé que vous avez autorisés, ou qui vous ont donné accès à ce dispositif (données accessibles à ce tiers : toutes) ;
  • nos partenaires chercheurs, si vous avez donné votre consentement à participer à la recherche :
    o le Laboratoire de Neurosciences Sensorielles et Cognitives (UMR 7260) de l’Université d’Aix-Marseille (données accessibles à ce tiers : toutes,
    anonymisées).

Aucune donnée n’est à ce jour externalisée en dehors de l’Union Européenne, que ce soit pour l’hébergement ou pour tout autre traitement, ou pour une sous-traitance.

3. Hébergement des données

Les données à caractère personnel traitées dans le cadre de l’utilisation du dispositif sont conservées sur des serveurs sécurisés de l’hébergeur certifié de données de santé (HDS) AZ Network, 40 rue Ampère, 61000 Alençon – contact@aznetwork.eu – 02 33 32 12 47.

RESPONSABLE DE TRAITEMENT ET DPO

1. Responsable de traitement

Le responsable du traitement des données à caractère personnel est la société GLOBAL STIM SAS, prise en la personne (responsable légal) de M. Lionel Lamothe, président. Il peut être contacté par e-mail : contact@exostim.com ou par téléphone : 06 38 28 42 38.

2. Obligations du responsable de traitement

Le responsable des traitements de données à caractère personnel détermine la finalité des traitements et les moyens mis en œuvre pour l’atteindre.
Il s’engage à protéger les données à caractère personnel collectées, à ne pas les transmettre à des tiers sans que l’utilisateur n’en ait été informé et à respecter les finalités pour lesquelles ces données ont été collectées.
Il s’engage à notifier l’utilisateur en cas de rectification ou de suppression des données, à moins que cela n’entraîne pour lui des formalités, coûts et démarches disproportionnées.
Dans le cas où l’intégrité, la confidentialité ou la sécurité des données à caractère personnel de l’utilisateur est compromise, le responsable du traitement s’engage à informer l’utilisateur par tout moyen.

3. Le délégué à la protection des données (DPO)

Afin de s’assurer de respecter au mieux les dispositions légales et réglementaires, nationales et européennes, en vigueur, et de protéger de façon optimale les données et la vie privée de ses utilisateurs, GLOBAL STIM a désigné auprès de la Commission Nationale Informatique et Libertés (CNIL) un Délégué à la Protection des Données (Data Protection Officer – DPO), en la
personne de M. Jean-Marie NAZARENKO.
Le DPO peut être contacté par e-mail : dpo@globalstim.com.

DROITS DE L’UTILISATEUR

Conformément aux dispositions des articles 15 à 22 du Règlement européen 2016/679, l’utilisateur possède les droits ci-après énumérés.

1. Droits de l’utilisateur au regard des traitements de données à caractère personnel

a. Droit d’accès, de rectification et droit à l’effacement

L’utilisateur peut prendre connaissance, mettre à jour, modifier ou demander la suppression des données le concernant – qu’il ait créé son compte lui-même (« particulier », professionnel de santé) ou qu’il ait été créé par un professionnel ou un établissement (« bénéficiaire »).
L’utilisateur a le droit de demander la suppression de son espace personnel s’il en possède un.

b. Droit à la portabilité des données

L’utilisateur peut demander la portabilité de ses données personnelles, détenues par GLOBAL STIM SAS, vers un autre site, en demandant la fourniture d’une archive sous un format aux standards du marché.

c. Droit à la limitation et à l’opposition du traitement des données

L’utilisateur a le droit de demander la limitation ou de s’opposer au traitement de ses données par le responsable de traitement, sans que ce dernier ne puisse refuser, sauf à démontrer l’existence de motifs légitimes et impérieux, pouvant prévaloir sur les intérêts et les droits et libertés de l’utilisateur.

d. Droit de ne pas faire l’objet d’une décision fondée exclusivement sur un procédé automatisé

L’utilisateur a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un procédé automatisé si la décision produit des effets juridiques le concernant, ou l’affecte de manière significative de façon similaire.

e. Droit de déterminer le sort des données après la mort

Il est rappelé à l’utilisateur (ou à son tuteur légal le cas échéant) qu’il peut organiser le devenir de ses données collectées et traitées s’il décède, conformément à la loi n°2016-1321 du 7 octobre 2016. S’il le souhaite, il doit faire parvenir à la société GLOBAL STIM SAS une notification de sa directive anticipée.

f. Droit de saisir l’autorité de contrôle compétente

Dans le cas où le responsable du traitement des données décide de ne pas répondre à la demande de l’utilisateur, et que l’utilisateur souhaite contester cette décision, ou s’il pense qu’il est porté atteinte à l’un des droits énumérés ci-dessus, il est en droit de saisir la CNIL (Commission Nationale de l’Informatique et des Libertés, https://www.cnil.fr/fr/plaintes) ou
tout juge compétent.

2. Conditions d’exercice de ses droits par l’utilisateur

Chacun de ces droits peut être exercé par e-mail auprès du DPO de GLOBAL STIM SAS / Exostim (dpo@globalstim.com), ou par courrier postal à l’adresse suivante :
 GLOBAL STIM SAS / Confidentialité. 100 impasse des Houillères. 13590 MEYREUIL.
Afin que ces droits ne puissent s’exercer au détriment d’un tiers et afin d’interdire toute usurpation d’identité, l’utilisateur est tenu de communiquer à GLOBAL STIM SAS ses prénom et nom ainsi que son adresse e-mail, son numéro de compte ou d’espace personnel ou d’abonné, ET une copie d’un document d’identité.
Le responsable du traitement des données est tenu de répondre à l’utilisateur dans un délai de 30 (trente) jours maximum.

UTILISATION DES TRACEURS

Le site internet et l’application constituant le dispositif peuvent avoir recours à l’usage de traceurs externes (fingerprinting) ou internes (pixels invisibles, cookies) au terminal de l’utilisateur.
Un traceur est un micro-fichier que nous installons sur le disque dur de l’utilisateur, ou sur nos propres serveurs en lien avec l’adresse IP de l’utilisateur. Il contient notamment des informations relatives aux habitudes de navigation de l’utilisateur.
Ces fichiers nous permettent de traiter des statistiques et des informations sur le trafic, de faciliter la navigation et de mémoriser certaines préférences d’utilisation du dispositif.
Pour ce faire, le consentement de l’utilisateur est nécessairement demandé. Un panneau de consentement est affiché lors de la première visite de l’utilisateur, et lui permet de choisir s’il consent à l’installation de cookies et à l’utilisation de traceurs.
Ce consentement de l’utilisateur est considéré comme valide pour une durée de 13 (treize) mois maximum. A l’issue de cette période, le site demandera à nouveau l’autorisation de l’utilisateur pour enregistrer des cookies sur son disque dur.

a. Opposition de l’utilisateur à l’utilisation de cookies par le dispositif

Il est porté à la connaissance de l’utilisateur qu’il peut s’opposer à l’enregistrement de ces cookies en configurant son logiciel de navigation.
Pour information, l’utilisateur peut trouver aux adresses suivantes les démarches à suivre afin de configurer son logiciel de navigation pour s’opposer à l’enregistrement des cookies, que ce soit sur ordinateur, sous Android ou sous iOS :

Dans le cas où l’utilisateur décide de désactiver les cookies, il pourra poursuivre sa navigation sur le site. Toutefois, tout dysfonctionnement du site provoqué par cette manipulation ne pourrait être considéré comme étant du fait de l’éditeur du site.

b. Description des cookies utilisés par le site

L’éditeur du site attire l’attention de l’utilisateur sur le fait que les cookies suivants, notamment, sont utilisés lors de sa navigation :

  • cookies d’identification de la session de navigation en cours (Exostim) ;
  • cookies d’identification du serveur distant utilisé par l’hébergeur pour gérer la session (Exostim) ;
  • cookies tiers de recueil de statistiques (Google) ;
  • cookies tiers de service de publicité contextuelle et comportementale (Double Click).

Par ailleurs, le dispositif intègre des boutons de réseaux sociaux, permettant à l’utilisateur de partager son activité. Des cookies de ces réseaux sociaux sont par conséquent susceptibles d’être stockés sur le terminal de l’utilisateur lorsqu’il utilise ces fonctionnalités.
L’attention de l’utilisateur est portée sur le fait que ces réseaux sociaux disposent de politiques de confidentialité propres et de conditions générales d’utilisation différentes du site. L’éditeur du site invite les utilisateurs à consulter les politiques de confidentialité et les conditions générales d’utilisation de ces sites.

INFORMATIONS DES PERSONNES – LABORATOIRE DE NEUROSCIENCES SENSORIELLES ET COGNITIVES (LNSC) (CNRS/AIX-MARSEILLE UNIVERSITÉ)

Dans le cadre d’un partenariat entre GlobalStim et le Laboratoire de Neurosciences Sensorielles et Cognitives (LNSC) (CNRS/Aix-Marseille Université) les performances obtenues aux exercices d’évaluation ou d’entraînement pourront être recueillies à des fins de recherches sur la compréhension du fonctionnement cognitif.

L’objectif de cette recherche est de prévenir le déclin cognitif. A cette fin, il s’agira:

  • d’améliorer les mesures d’évaluation cognitive
  • de proposer une stimulation cognitive adaptée aux besoins de chaque individu
  • d’identifier des profils cognitifs spécifiques aux différentes tranches d’âge et/ou populations pour aider au développement d’exercices d’entraînement plus ciblés.

 

La stimulation cognitive sera ainsi améliorée et deviendra spécifique des caractéristiques de la population et/ou tranche d’âge à laquelle appartiendra le sujet (ex : adulte sain, adulte âgé sain, pré-Alzheimer, Alzheimer, trauma crânien…).

 

Cette recherche a fait l’objet d’une déclaration à la Commission Nationale Informatique et Libertés (CNIL). L’accès à l’information s’effectue dans le respect le plus strict de la confidentialité et satisfait l’ensemble des conditions définies par la méthodologie de référence MR-001.

J’accepte que les données enregistrées à l’occasion de cette recherche puissent faire l’objet d’un traitement informatisé sous la responsabilité du LNSC. Ces données seront traitées et analysées à l’aide de diverses méthodes statistiques. Le choix de la méthode étant déterminé en fonction de la question posée.

Conformément aux dispositions de loi relatives à l’informatique, aux fichiers et aux libertés, vous disposez d’un droit d’accès et de rectification. Vous disposez également d’un droit d’opposition à la transmission des données couvertes par le secret professionnel susceptibles d’être utilisés dans le cadre de cette recherche et d’être traitées. Vous pouvez également accéder par le LNSC à l’ensemble de vos données en application des dispositions de l’article L1111-7 du Code de la Santé Publique. Ces droits s’exercent auprès du responsable scientifique de l’étude, soit par e-mail : beatrice.alescio-lautier@univ-amu.fr ; soit par courrier postal : B. Alescio-Lautier – UMR 7260, Laboratoire de Neurosciences Sensorielles et Cognitives, Fédération 3C, 3 place Victor Hugo, 13331 Marseille.

CONDITIONS DE MODIFICATION DE LA POLITIQUE DE CONFIDENTIALITÉ

La présente politique de confidentialité peut être consultée à tout moment à l’adresse https://www.exostim.com/confidentialite, ainsi que dans l’accès aux mentions légales prévues par l’application Exostim sur tablette.
L’éditeur du dispositif (site internet et application) se réserve le droit de la modifier afin de garantir sa conformité avec le droit en vigueur. Par conséquent, l’utilisateur est invité à venir consulter régulièrement cette politique de confidentialité afin de se tenir informé des derniers
changements qui lui seront apportés.
Toutefois, en cas de modification majeure, cette dernière sera portée à la connaissance des utilisateurs par différents moyens : notifications « push » sur le dashboard de l’application et sur le site internet (https://www.exostim.com) ; SMS sur le n° de téléphone mentionné par l’utilisateur ; e-mail sur l’adresse mentionnée par l’utilisateur…
Il est porté à la connaissance de l’utilisateur que la dernière mise à jour de la présente politique de confidentialité est intervenue le 1er août 2020.