Zum Hauptinhalt springen

    Politique de confidentialité

    Dernière mise à jour : décembre 2024

    Protection des données en bref

    Responsable du traitement :DOCTO24 LTD (Chypre)
    Représentant UE & DPO :heyData GmbH (Art. 27 RGPD)
    Bases juridiques :Art. 6 al. a, b ; Art. 9 al. a, h RGPD
    Droits des personnes concernées :Accès, suppression, opposition, etc.

    1. Responsable du traitement et contact

    DOCTO24 LTD
    Enregistrée en République de Chypre
    Company Number: ΗΕ 481142
    Μακαρίου ΙΙΙ, 228
    AGIOS PAVLOS, BLOCK A, Floor 7, Flat/Office 712
    3030, Limassol, Chypre

    E-Mail: privacy@docto24.de

    DOCTO24 LTD est une société enregistrée en République de Chypre et est pleinement soumise au Règlement général sur la protection des données (RGPD) de l'Union européenne. En tant qu'entreprise européenne, nous appliquons les mêmes normes élevées de protection des données que les entreprises en Allemagne ou dans d'autres États membres de l'UE.

    2. Délégué à la protection des données et représentant UE

    Conformément à l'art. 27 du RGPD, nous avons désigné un représentant dans l'UE qui fait également office de délégué à la protection des données :

    heyData GmbH
    Schützenstraße 5, 10117 Berlin, Allemagne
    Website: www.heydata.eu
    E-Mail: datenschutz@heydata.eu

    Autorité de contrôle compétente à Chypre :
    Commissioner for Personal Data Protection
    1 Iasonos Street, 1082 Nicosia, Cyprus
    www.dataprotection.gov.cy

    Vous pouvez également vous adresser à l'autorité de protection des données de votre pays de résidence, par exemple la CNIL en France.

    3. Champ d'application

    La présente politique de confidentialité s'applique à la collecte, au traitement et à l'utilisation des données personnelles dans le cadre de l'utilisation de la plateforme Docto24 (site web et applications) ainsi que de tous les services de télémédecine associés.

    Docto24 fournit actuellement ses services en Allemagne et prévoit de s'étendre à d'autres pays de l'UE (par ex. la France). Dans chaque pays, seuls des médecins disposant d'une autorisation d'exercer valide dans le pays du patient sont employés.

    4. Séparation des rôles : qui est responsable de quoi ?

    Lors de l'utilisation de notre plateforme, différentes responsabilités en matière de protection des données s'appliquent :

    DOCTO24 LTD en tant que responsable du traitement

    • Exploitation de la plateforme et infrastructure technique
    • Inscription des utilisateurs et gestion des comptes
    • Collecte de votre demande (questionnaire d'anamnèse)
    • Mise en relation avec un médecin approprié
    • Traitement des paiements pour les frais de plateforme
    • Service client et assistance

    Le médecin traitant en tant que responsable du traitement

    • Traitement médical et diagnostic
    • Tenue du dossier patient (obligation de documentation)
    • Émission d'ordonnances et de certificats médicaux
    • Secret médical conformément à la législation applicable

    Le contrat de soins est conclu exclusivement entre vous et le médecin traitant.

    Pharmacies partenaires en tant que responsables du traitement

    • Vérification et délivrance des ordonnances
    • Expédition des médicaments
    • Conseil pharmaceutique

    Le traitement des données par les pharmacies partenaires est soumis à leurs propres politiques de confidentialité.

    5. Définitions

    6. Bases juridiques du traitement

    Art. 6 al. 1 point a) RGPD – Consentement (Pour les cookies optionnels, la communication marketing)

    Art. 6 al. 1 point b) RGPD – Exécution du contrat (Pour la fourniture des services de la plateforme)

    Art. 6 al. 1 point c) RGPD – Obligation légale (Pour les obligations de conservation, documentation des substances contrôlées)

    Art. 6 al. 1 point f) RGPD – Intérêt légitime (Pour la prévention de la fraude, la sécurité de la plateforme)

    Art. 9 al. 2 point a) RGPD – Consentement explicite (Pour les données de santé lors de l'anamnèse)

    Art. 9 al. 2 point h) RGPD – Soins de santé (Pour le traitement médical et les soins)

    7. Catégories de données et finalités

    CatégorieDonnéesFinalitéBase juridique
    Données de base et de compteNom, e-mail, date de naissance, adresse, numéro de téléphoneInscription, connexion, gestion du compteArt. 6 al. 1 point b) RGPD
    Données de santéRéponses au questionnaire d'anamnèse, diagnostics, prescriptions, résultatsAnamnèse médicale, diagnostic, traitementArt. 9 al. 2 points a), h) RGPD
    Données d'identificationDocument d'identité (photo), éventuellement selfie pour vérificationVérification de l'âge et de l'identité (obligation légale)Art. 6 al. 1 point c) RGPD
    Données de paiementMoyen de paiement, données de transaction, adresse de facturationTraitement des paiements, facturationArt. 6 al. 1 point b) RGPD
    Données d'utilisationAdresse IP (anonymisée), pages consultées, informations sur l'appareilOptimisation de la plateforme, correction des erreursArt. 6 al. 1 point f) RGPD
    Données de communicationE-mails, messages de chat, demandes d'assistanceAssistance, notifications, messagerie médecin-patientArt. 6 al. 1 point b) RGPD

    8. Protection spéciale des données de santé

    Les données de santé bénéficient d'une protection particulière en vertu de l'art. 9 du RGPD. Nous mettons en œuvre les mesures suivantes pour protéger vos données sensibles :

    • Chiffrement de bout en bout de toutes les données de santé lors de la transmission
    • Stockage chiffré dans l'UE (AES-256)
    • Journalisation des accès (journal d'audit) pour tous les accès aux données
    • Restriction stricte des accès selon le principe du moindre privilège
    • Audits de sécurité réguliers par des auditeurs externes
    • Bases de données séparées pour les données médicales et administratives

    9. Traitement des données pour les prescriptions de cannabis

    En raison des exigences réglementaires particulières, des règles supplémentaires s'appliquent à la prescription de cannabis médical :

    • Documentation conformément au Décret n° 2022-194 relatif à l'expérimentation du cannabis à usage médical
    • Documentation des quantités et respect des limites légales (100 g/30 jours)
    • Aucune transmission de données patient aux autorités sans décision judiciaire
    • Stockage séparé des données de traitement liées au cannabis
    • Documentation des ordonnances conforme à la réglementation sur les substances contrôlées

    10. Consultation vidéo

    Pour les consultations vidéo, nous utilisons une instance Jitsi auto-hébergée. La communication est chiffrée (SRTP/DTLS).

    • Serveur vidéo auto-hébergé dans l'UE (aucun service américain)
    • Transmission audio et vidéo chiffrée
    • Aucun enregistrement permanent de la consultation vidéo
    • Suppression des données temporaires après la fin de la session
    • Les métadonnées techniques ne sont pas associées aux données de santé

    11. Prestataires et sous-traitants

    Pour certains services, nous faisons appel aux prestataires suivants, avec lesquels des contrats de sous-traitance conformes à l'art. 28 du RGPD ont été conclus :

    ServicePrestataireFinalité
    Hébergement et infrastructureHostinger (serveurs UE)Mise à disposition de la plateforme
    Envoi d'e-mailsScaleway (France)E-mails transactionnels
    Traitement des paiementsKomfortkasse, TransVoucherTraitement sécurisé des paiements
    Interface pharmaciesCannaflow, CannaleoTransmission des ordonnances aux pharmacies partenaires
    Qualifizierte elektronische Signatur (QES)Yousign SAS (Frankreich)Rechtssichere Signatur von Rezepten & AU nach eIDAS (Video-Ident + Signaturzertifikat)
    Protection des donnéesheyData GmbH (Berlin)Délégué à la protection des données, représentant UE

    Tous les prestataires sont établis dans l'UE ou traitent les données exclusivement sur des serveurs situés dans l'UE.

    Qualifizierte Elektronische Signatur (QES)

    Für die rechtssichere elektronische Unterzeichnung von Rezepten und Arbeitsunfähigkeitsbescheinigungen durch unsere Ärzte setzen wir Yousign SAS (Paris, Frankreich) als Qualifizierten Vertrauensdiensteanbieter (QTSP) nach der eIDAS-Verordnung (EU) 910/2014 ein.

    Verarbeitete Daten (nur bei Ärzten): Name, E-Mail, Telefon, amtlicher Ausweis (Video-Ident), biometrische Verifikation, Signaturzertifikat

    Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie § 2 Abs. 3 VDG

    Serverstandort: Frankreich (EU)

    Auftragsverarbeitungsvertrag (AVV): Mit Yousign besteht ein AVV gemäß Art. 28 DSGVO.

    Speicherdauer: Signierte Dokumente werden 10 Jahre aufbewahrt (gesetzliche Aufbewahrungsfrist für Rezepte nach § 18 ApBetrO).

    Patientendaten: Im signierten Rezept-PDF werden Patientendaten (Name, Adresse, Medikation) an Yousign übermittelt — dies ist erforderlich für die rechtsgültige Unterzeichnung. Es werden keine Ausweis- oder biometrischen Daten von Patienten an Yousign übertragen.

    Weitere Informationen: Yousign Datenschutzerklärung

    12. Transfert de données vers des pays tiers

    Docto24 ne transfère en principe aucune donnée personnelle vers des pays tiers situés en dehors de l'UE/EEE.

    Si un transfert de données vers un pays tiers devait s'avérer nécessaire à l'avenir, celui-ci ne sera effectué que sur la base d'une décision d'adéquation de la Commission européenne (art. 45 RGPD) ou de garanties appropriées (art. 46 RGPD, par ex. clauses contractuelles types de l'UE).

    Situation actuelle : Nous nous engageons à ne transférer aucune donnée de santé vers des pays tiers.

    13. Durée de conservation

    Nous ne conservons vos données que le temps nécessaire à la finalité respective ou tant que des obligations légales de conservation s'appliquent :

    • Données de compte : jusqu'à la suppression du compte
    • Données de santé : 20 ans (obligation de documentation médicale, Art. R.1112-7 Code de la santé publique)
    • Données de paiement : 10 ans (obligation fiscale de conservation)
    • Documents d'identité : max. 30 jours après vérification
    • Données d'utilisation : 13 mois (anonymisées)
    • Demandes d'assistance : 2 ans après résolution

    14. Vos droits en tant que personne concernée

    En vertu du RGPD, vous disposez des droits suivants :

    Droit d'accès (art. 15 RGPD)Vous pouvez demander des informations sur les données personnelles que nous traitons.
    Droit de rectification (art. 16 RGPD)Vous pouvez demander la rectification de données inexactes.
    Droit à l'effacement (art. 17 RGPD)Vous pouvez demander la suppression de vos données, pour autant qu'aucune obligation légale de conservation ne s'y oppose.
    Limitation du traitement (art. 18 RGPD)Vous pouvez demander la limitation du traitement de vos données.
    Droit à la portabilité (art. 20 RGPD)Vous pouvez recevoir vos données dans un format couramment utilisé.
    Droit d'opposition (art. 21 RGPD)Vous pouvez vous opposer au traitement fondé sur l'intérêt légitime.
    Retrait du consentementVous pouvez retirer à tout moment votre consentement avec effet pour l'avenir.
    Droit de réclamation (art. 77 RGPD)Vous pouvez déposer une réclamation auprès d'une autorité de contrôle de la protection des données (par ex. la CNIL en France).

    Pour exercer vos droits, veuillez envoyer un e-mail à :

    E-Mail: datenschutz@heydata.eu
    Nous répondrons à votre demande sans délai, au plus tard dans un délai d'un mois.

    15. Cookies et suivi

    Les informations relatives aux cookies que nous utilisons sont disponibles dans notre Politique relative aux cookies.

    Nous n'utilisons aucun outil de suivi tiers tel que Google Analytics ou Facebook Pixel.

    Toutes les données analytiques sont traitées exclusivement en interne et de manière anonymisée sur des serveurs situés dans l'UE.

    Points essentiels :

    • Seuls les cookies essentiels sans consentement
    • Cookies analytiques uniquement avec consentement explicite
    • Pas de Google Analytics, pas de Facebook Pixel
    • Toutes les données sur des serveurs UE
    • Paramètres de cookies modifiables à tout moment

    16. Communication par e-mail

    Nous envoyons exclusivement des e-mails transactionnels (par ex. confirmations de commande, notifications de rendez-vous) via notre service d'e-mail basé dans l'UE.

    • Aucune publicité non sollicitée sans consentement
    • Lien de désabonnement (Unsubscribe) dans chaque e-mail
    • Envoi d'e-mails chiffré (TLS)
    • Aucun suivi des e-mails (pas de taux d'ouverture, pas de suivi des liens)

    17. Mesures de sécurité (mesures techniques et organisationnelles)

    Nous mettons en œuvre des mesures techniques et organisationnelles étendues conformément à l'art. 32 du RGPD pour protéger vos données :

    Chiffrement

    TLS 1.3 pour toutes les connexions, AES-256 pour les données au repos

    Contrôle d'accès

    Contrôle d'accès basé sur les rôles (RBAC), authentification multifacteur

    Journalisation

    Journaux d'audit complets pour tous les accès aux données

    Sauvegarde des données

    Sauvegardes quotidiennes chiffrées avec rotation sur 7 jours

    Sécurité réseau

    Pare-feu, détection d'intrusion, protection DDoS

    18. Réseaux sociaux

    Aucun plugin de réseaux sociaux (Facebook Like, Twitter Share, etc.) n'est actuellement intégré à notre site web. Aucune donnée n'est transmise aux réseaux sociaux.

    Les liens vers nos profils sur les réseaux sociaux sont présentés sous forme de liens simples sans suivi.

    19. Prise de décision automatisée

    Aucune prise de décision automatisée (y compris le profilage) au sens de l'art. 22 du RGPD n'est effectuée, qui produirait des effets juridiques à votre égard ou vous affecterait de manière significative.

    Le vérificateur de symptômes assisté par IA sert uniquement d'aide et ne remplace pas une décision médicale.

    20. Information du patient

    Dans le cadre du traitement par télémédecine, une information sur la protection des données relative aux particularités des soins de santé numériques est fournie. Celle-ci comprend notamment des informations sur le traitement numérique des données de santé et les mesures de protection spéciales que nous mettons en œuvre.

    Pour plus d'informations, consultez notre Information du patient sur la téléconsultation.

    21. Authentification et justificatif d'identité

    Pour garantir l'identité et l'âge, nous utilisons une procédure en deux étapes :

    • Vérification de l'âge : déclaration et confirmation par l'utilisateur
    • Justificatif d'identité : téléchargement d'un document d'identité valide (carte d'identité ou passeport)

    Les documents d'identité sont utilisés exclusivement à des fins de vérification et sont supprimés dans les 30 jours suivant la vérification réussie. Ils ne sont pas transmis à des tiers.

    22. Modifications de la présente déclaration

    Nous nous réservons le droit de modifier la présente politique de confidentialité pour l'adapter aux évolutions juridiques ou aux modifications du service. La version actuelle est toujours disponible sur cette page.

    Les modifications substantielles seront annoncées par e-mail au moins 30 jours avant leur entrée en vigueur.

    Date de la dernière mise à jour : décembre 2024

    23. Contact pour les demandes relatives à la protection des données

    Pour toute question relative à la protection des données, vous pouvez nous contacter à :

    Demandes générales relatives à la protection des données :
    privacy@docto24.de
    Délégué à la protection des données (heyData GmbH) :
    datenschutz@heydata.eu

    Nous répondons à votre demande dans un délai de 30 jours (art. 12 al. 3 RGPD).