Politique de confidentialité

b

Introduction

SmartOp (« nous », « notre » ou « nos »), société basée en France, fournit une solution SaaS destinée aux établissements de santé pour optimiser la gestion des ressources humaines et organisationnelles. Nous attachons une grande importance à la protection des données personnelles, en particulier des données de santé qui nécessitent une vigilance accrue. Cette politique décrit les données que nous collectons, pourquoi, comment et avec qui nous les partageons.

‍

Définitions

- Données personnelles : toute information permettant d'identifier une personne (nom,email, adresse IP, etc.).
- Données de santé : toute information relative à l’état de santé physique ou mentale d’unepersonne, soumise à une protection renforcée (article 9 du RGPD).
- Responsable de traitement : l’établissement de santé qui détermine les finalités et moyens du traitement des données.
- Sous-traitant : SmartOp qui agit pour le compte de l’établissement.
- RGPD : Règlement général sur la protection des données (UE).

‍

Statut de SmartOp

Dans le cadre de l’utilisation de SmartOp, nous agissons en tant que **sous-traitant** des établissements de santé, qui sont responsables de traitement. Nous traitons les données personnelles conformément à leurs instructions et aux exigences du RGPD (article 28).

‍

Données collectées et traitées

Nous traitons, pour le compte des établissements de santé :
- Données d’identification des professionnels : nom, prénom, fonction, emailprofessionnel.

- Données d’organisation : plannings, affectations, horaires de travail, compétencesdéclarées ou acquises.
- Données de santé indirectes : informations associées à l’activité hospitalière susceptibles de révéler des données de santé (exemple : participation à des interventions).

Cf AIPD SmartOp

‍

Hébergement et sécurité des données

Toutes les données sont hébergées en France chez un **Hébergeur de Données de Santé(HDS)** certifié.

Nous appliquons des mesures techniques et organisationnelles renforcées :

- Chiffrement des données en transit et au repos.

- Accès strictement contrôlé et journalisé.
- Authentification forte et supervision continue.

‍

Durée de conservation des données

Conformément à l'article 5.1 (e) du RGPD et à notre AIPD, nous conservons les données personnelles uniquement pendant la durée strictement nécessaire aux finalités pour lesquelles elles sont traitées, et conformément aux instructions de l'établissement de santé responsable de traitement.

Les durées de conservation appliquées sont les suivantes :

Données des professionnels de santé (identification, organisation, plannings, compétences) : conservées en base active pendant toute la durée du contrat d'exploitation de la solution SmartOp avec l'établissement de santé. À la fin du contrat, l'ensemble des informations liées à l'établissement est supprimé de nos bases de données.
Données patients indirectes et données de santé (date et heures d'intervention, type d'acte, allergies, identifiant pseudonymisé) : conservées en base active tant que le contrat d'exploitation de SmartOp avec l'établissement est en place. Le nom, le prénom et la date de naissance des patients ne sont jamais collectés ni stockés.
Traces fonctionnelles (historique des actions utilisateurs dans la plateforme collaborative, par exemple la création des équipes en salle) : conservées en base active pendant la durée du contrat, à des fins de suivi et d'efficacité opérationnelle.
Fichiers et données de déploiement (utilisés lors de la phase d'installation et de configuration initiale) : conservés pendant 6 mois maximum après la mise en production effective de la plateforme, puis supprimés des supports informatiques locaux et cloud.
Journaux techniques (logs) : pas de conservation continue. Les logs ne sont activés que ponctuellement à des fins de diagnostic technique, et sont supprimés immédiatement après résolution des problèmes.
Sauvegardes (backups) : des sauvegardes automatiques sont réalisées toutes les 24 heures sur l'infrastructure de notre Hébergeur de Données de Santé (HDS) certifié, et conservées sur une durée glissante limitée à des fins de restauration en cas d'incident.

À l'expiration de ces durées, ou à la fin du contrat liant SmartOp à l'établissement de santé, les données sont supprimées de manière sécurisée de nos bases de données et de nos environnements de stockage. L'établissement de santé, en tant que responsable de traitement, peut à tout moment demander la suppression ou la restitution des données le concernant, conformément aux engagements contractuels prévus à l'article 28 du RGPD.

Transferts hors UE

Aucune donnée n’est transférée hors de l’Union européenne sans cadre juridique approprié (clauses contractuelles types ou décision d’adéquation).

‍

Vos droits

Les professionnels et patients dont les données sont traitées disposent des droits suivants(via leur établissement de santé) :
- Accès, rectification, suppression.
- Limitation et opposition au traitement.

- Portabilité des données.
Pour toute demande, veuillez-vous adresser directement à votre établissement de santé.

‍

Violations de données

En cas de violation de données personnelles, nous notifions immédiatement l’établissement concerné afin qu’il prenne les mesures nécessaires, y compris la notification à la CNIL et aux personnes concernées, le cas échéant.

‍

Modifications de cette politique

Cette politique peut être mise à jour. Nous informerons nos clients (établissements desanté) de toute modification significative.

‍