Politique de confidentialité

La société Ubicentrex est une société à responsabilité limitée au capital de 300 000€, dont le siège social est situé 23 Boulevard de l’Orangerie, 67000 STRASBOURG et immatriculée au Registre du Commerce et des Sociétés de Strasbourg sous le numéro 513 535 609.
En tant que responsable de traitement, nous avons au coeur de nos préoccupations la protection des données à caractère personnel des utilisateurs. Nous veillons à respecter le cadre règlementaire en la matière et nos obligations découlant :
De la Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel (ci-après “RGPD”).
Le RGPD est un texte de référence en matière de protection des données à caractère personnel en ce qu’il renforce et unifie la protection des données personnelles dans l’Union Européenne depuis le 25 mai 2018. Les principaux objectifs du RGPD sont de renforcer la protection des personnes concernées par un traitement de données à caractère personnel et d’accroître la responsabilité des acteurs du traitement.
Dans le cadre de notre activité, nous sommes amenés à collecter et traiter des données à caractère personnel. Nous confier des données personnelles est l’expression de la confiance des utilisateurs envers notre entreprise et c’est pourquoi nous faisons de la confidentialité et de la sécurité des données à caractère personnel notre priorité.

La présente Politique de confidentialité (ci-après “Politique”) a pour objet de définir et d’encadrer la collecte et l’utilisation des données à caractère personnel des Utilisateurs des services d’Ubicentrex et Ubiclic, les mesures de confidentialité mises en oeuvre ainsi que les droits des Utilisateurs en la matière.
Nous nous réservons le droit de modifier et compléter la Politique à tout moment, notamment dans un objectif de prise en compte des évolutions législatives, jurisprudentielles et techniques.
Lorsque des modifications de la Politique portent sur les finalités de traitement, l’exercice des droits ou sur le transfert de vos données à caractère personnel, nous nous engageons à en informer l’Utilisateur dans un délai minimum de trente (30) jours avant la prise d’effet par tout moyen écrit.
Si l’Utilisateur est en désaccord avec les modifications réalisées et les termes de la Politique, il pourra demander la suppression de ses données. A défaut d’une telle demande, il sera supposé avoir accepté les nouveaux termes de la Politique.
Les termes débutant par une majuscule sont définis dans le lexique en fin de Politique.

Nous sommes susceptibles de collecter des données à caractère personnel directement auprès des Utilisateurs dans le cadre de nos services :

Ubiclic : création et modification d’un compte, demande d’assistance technique via le formulaire Ubiclic, gestion des rendez-vous, gestion des proches, partage de document, téléconsultation, prélèvement bancaire dans ce cadre d’une téléconsultation ;

Ubicentrex : hébergement des données via nos clients directs et indirects ; gestion des appels téléphoniques ; module de facturation.
Pour plus d’informations, les traitements de données à caractère personnel que nous mettons en œuvre sont détaillés dans la partie VI de la présente Politique.
Nous sommes également susceptibles de collecter de manière automatique certaines données à caractère personnel lors de la navigation de l’Utilisateur sur notre site interne, notamment via l’utilisateur des cookies et autres traceurs. Pour plus d’informations, notre politique des cookies et autres traceurs sont disponible sur notre site interne.

Tous nos traitements de données à caractère personnel sont fondés sur l’une des bases légales prévues par le RGPD (principe de licéité des traitements). Nous sommes ainsi susceptibles de fonder nos traitements sur les bases légales suivantes :

Consentement

Pour les traitements fondés sur cette base légale, nous nous engageons à recueillir le consentement de l’Utilisateur, c’est-à-dire la manifestation de volonté, libre, spécifique, éclairé et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement. Dans cette hypothèse, nous nous engageons à ne pas traiter les données à caractère personnel de l’Utilisateur pour un autre traitement que celui pour lequel le consentement a été donné. Nous nous engageons également à être en capacité de démontrer la validité du consentement donné par un Utilisateur pour le traitement de ses données à caractère personnel. L’utilisateur peut, à tout moment, retirer son consentement en contactant notre DPO, en suivant la procédure définie dans la partie XI de la Politique. Si l’Utilisateur ne souhaite pas donner son consentement à la collecte de certaines données à caractère personnel, il se peut qu’il ne puisse pas accéder à certains de nos services ou que nous soyons dans l’impossibilité de répondre à sa demande

Contrat

Dans le cadre de nos services, certains de nos traitements de données à caractère personnel peuvent être fondés sur la base légale de l’exécution d’un contrat. Dans cette hypothèse, le traitement de données à caractère personnel sera considéré comme nécessaire à la conclusion et à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci.

Obligation légale

Dans le cadre de nos services, nous sommes soumis à divers textes et obligations juridiques. Certaines de ces obligations peuvent nous imposer de traiter des données à caractère personnel. Ces traitements seront alors fondés sur la base légale de l’obligation légale. L’obligation légale doit alors être impérative, suffisamment claire et précise pour fonder valablement le traitement, et les textes créant cette obligation doivent au moins définir la finalité de ce traitement.
Dans la mise en oeuvre d’un traitement fondé sur cette base légale, nous nous engageons à nous assurer qu’il n’existe pas de moyen moins intrusif d’atteindre l’objectif que de mettre en oeuvre le traitement en question.

Intérêt légitime

Dans le cadre de nos services, certains de nos traitements de données à caractère personnel peuvent être fondés sur la base légale de l’intérêt légitime. Nous nous engageons à ce que les traitements mis en oeuvre sur le fondement de cette base légale ne portent pas atteinte de manière importante aux droits et intérêts des personnes concernées, qu’ils soient légitimes et qu’ils remplissent les conditions d’utilisation de cette base légale, à savoir :
– L’intérêt est manifestement licite au regard du droit.
– Il est déterminé de façon suffisamment claire et précise.
– Il est réel et présent pour l’organisme concerné, et non fictif.

Nous ne sommes pas amenés à mettre en oeuvre des traitements sur les bases légales de traitement suivantes :
– Mission d’intérêt public ;
– Sauvegarde des intérêts vitaux.

Dans la mise en oeuvre de nos traitements de données à caractère personnel, nous nous engageons à déterminer une finalité légitime et explicite pour chaque traitement.
La détermination de ces finalités nous permet de définir la pertinence de la collecte de données à caractère personnel que nous effectuons et ainsi de respecter plusieurs des grands principes issus du RGPD :
– Le principe de finalité, qui impose au responsable de traitement de collecter des données à caractère personnel dans but unique, précis, légal et légitime et qui limite la manière de de réutiliser ces données
– Le principe de minimisation et de proportionnalité, qui impose au responsable de traitement de collecter uniquement des données à caractère personnel pertinentes et strictement nécessaires au regard de la finalité du traitement.

L’ensemble des données à caractère personnel que nous collectons et traitons sont conservées pour une durée limitée, conformément au principe de durée de conservation limitée du RGPD. Nous fixons ainsi une durée de conservation précise, selon les catégories de données concernées et de la finalité du traitement mis en oeuvre.
Lorsque la durée de conservation arrive à échéance, les données à caractère personnel de l’Utilisateur sont supprimées de manière définitive ou anonymisées.
Néanmoins, en raison de certaines obligations légales pouvant s’imposer à notre activité, nous sommes susceptibles de conserver certaines données à caractère personnelle pour une durée plus longue que celles indiquées ci-dessous.
Concernant les traitements de données à caractère personnel où nous revêtons la qualité de sous-traitant, nous ne déterminons pas les durées de conservation. Celles-ci sont déterminées par le responsable de traitement et nous nous engageons à les respecter, conformément aux instructions qui nous seront communiquées par le responsable de traitement.

Pour chaque traitement de données à caractère personnel, nous avons identifié les catégories de destinataires potentiels, qui recevront alors communication de ces données en raison de leurs fonctions.

Services internes

Les données à caractère personnel pourront ainsi être traitées principalement par nos services internes (administratif, commercial, informatique, etc.), dans le strict respect de leurs missions et attributions respectives et uniquement dans le cadre des finalités définies pour chaque traitement.

Sous-traitants

Nous n’avons actuellement pas recours à de la sous-traitance.
Toutefois, Ubicentrex se réserve le droit et la possibilité d’y recourir à l’avenir. Dans ce cas, la Politique sera mise à jour et la sous-traitance de données à caractère personnel sera encadrée dans les contrats signés avec les sous-traitants. Nous nous engagerons ainsi à communiquer à ces derniers toutes les instructions nécessaires relatives au traitement, ainsi qu’à vérifier qu’ils présentent des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité des données à caractère personnel. L’accès aux données des Utilisateurs par ces destinataires sera limité aux données qui leur sont strictement nécessaires pour l’exercice de leurs missions.

Partenaires commerciaux

Nous n’avons pas de partenaires commerciaux.

Hébergement

L’ensemble des données à caractère personnel sont hébergées au sein de l’Union Européenne, en France :
– Equinix PA2, Aubervilliers, FRANCE ;
– Equinix PA5, Saint-Denis, FRANCE ;
– Euclyde DC7, Strasbourg, FRANCE ;
Ces datacenters sont tous certifiés Hébergement de Données de Santé (HDS). Nous nous engageons à ne pas transférer de données à caractère personnel en dehors de l’Union Européenne.

Réquisition judiciaire

Nous pouvons être amenés à communiquer certaines données à caractère personnel dans le cadre de réquisitions judiciaires, sur ordre des autorités judiciaires ou administratives compétentes. En se conformant à cette obligation règlementaire, Ubicentrex ne peut être tenu responsable et le recours de l’Utilisateur devra être fait à l’encontre de l’autorité concernée.

Selon la nature des traitements de données à caractère personnel exécutés dans le cadre de notre activité, nous sommes susceptibles d’agir soit en qualité de responsable de traitement, soit en qualité de sous-traitant. Dans ces deux hypothèses, nous nous engageons à assurer, conformément au cadre juridique, la confidentialité et la protection des données à caractère personnel objets des traitements.

Traitements mis en œuvre en qualité de responsable de traitement

Finalité du traitement

Origine des données

Données collectées

Base légale

Durée de conservation

Démarcher les prospects, contacter les prospects qui nous ont contacté via notre formulaire internet.

Prise de contact via le formulaire Ubicentrex.

Obligatoire: Nom, adresse mail, téléphone
Optionnel: société, motif de la prise de contact

Consentement

3 ans après le dernier contact avec le prospect

Pouvoir contacter les utilisateurs Ubiclic afin de les assister.

Demande d’assistance technique via le formulaire Ubiclic

Obligatoire: Nom, adresse mail, téléphone

Consentement

Suppression des données dès la résolution du problème ou 6 mois à compter de la résolution.

Hébergement et accessibilité des données Ubiclic pour le compte de l’utilisateur.

Création, modification d’un compte Ubiclic par un utilisateur.

Obligatoire: Nom, prénom, civilité adresse mail, téléphone, date de naissance.
Optionnel ou rendu obligatoire par le professionnel: adresse postale, nom, médecin traitant, numéro de sécurité sociale, société et données à caractère personnelle et sensibles (autres champs personnalisés, historique des rendez-vous, liste des professionnels associés).

Consentement

Les données sont conservées jusqu’à la suppression du compte Ubiclic.

Prise d’un rendez-vous par un utilisateur auprès d’un professionnel. Mise en relation d’un utilisateur et d’un professionnel via la prise de rendez-vous.

Prise de rendez-vous par l’utilisateur sur Ubiclic.

Obligatoire: Nom, prénom, civilité, adresse mail, téléphone, date de naissance.
Optionnel ou rendu obligatoire par le professionnel: médecin traitant, numéro de sécurité social, société, données à caractère personnelle et sensibles (motif du rendez-vous et autres champs personnalisés).

Consentement

10 ans

Prise de rendez-vous pour un proche par le compte principal.

Gestion des proches via Ubiclic par le détenteur du compte

Obligatoire: Nom, prénom, date de naissance du proche.
Optionnel ou rendu obligatoire par le professionnel: informations du rendez-vous

Consentement

10 ans

Échange de documents entre un utilisateur et un professionnel.

Partage de documents via Ubiclic

Document word ou PDF, ordonnance, questionnaire, dossier médical, dossier judiciaire etc

Consentement

7 ans

Traitements mis en œuvre en qualité de sous-traitants

Lorsque nous agissons en tant que sous-traitant, nous nous engageons à ne traiter que les données à caractère personnel strictement nécessaires à l’exercice de notre mission et à respecter les instructions données par le responsable de traitement. Avant d’exécuter ces instructions, nous veillons à ce que ces instructions soient conformes au cadre juridique en vigueur. Dans le cas où ces instructions seraient contraires à la règlementation, nous informons notre responsable de traitement de notre incapacité à mettre en application ces instructions.

Finalité du traitement

Origine des données

Données collectées

Hébergement des données des clients indirects, accessibilité des données clients indirects pour nos clients directs et indirects.

Informations collectées et renseignées par nos clients dans le logiciel

Nom, prénom, adresse postale, téléphone, photo, fonction

Hébergement des données des contacts, gestion des données contacts par nos clients directs.

Informations collectées et renseignées par nos clients dans le logiciel.

Nom, prénom, numéro de téléphone, adresse postale, date de naissance

Hébergement de donnés sensibles pour le compte de nos clients directs.

Informations collectées et renseignées par nos clients dans le logiciel

Antécédents médicaux, état de santé, résultats médicaux, ordonnances, dossier judiciaire

Hébergement de donnés sensibles pour le compte des clients indirects.

Informations collectées et renseignées par nos clients indirects dans le logiciel.

Antécédents médicaux, état de santé, résultats médicaux, ordonnances, dossier judiciaire

Prélèvement des contacts Ubiclic pour les téléconsultations payantes.

Réalisation d’une téléconsultation entre un utilisateur Ubiclic et un de nos clients direct ou indirect.

Empreinte bancaire

Effectuer les virements auprès des clients directs ou indirects qui utilisent la téléconsultation.

Réalisation d’une téléconsultation entre un utilisateur Ubiclic et un de nos clients direct ou indirect.

Relevé d’identité bancaire

Mise à disposition d’un module de facturation pour nos clients directs.

Module de facturation de notre logiciel utilisé par nos clients.

Nom, prénom, téléphone, adresse mail, fonction, adresse postale, relevé d’identité bancaire

Hébergement des appels téléphoniques pour le compte de nos clients.

Appels téléphoniques traités par le télésecrétariat.

Numéro de téléphone de l’appelant, données de l’appel (date, heure, durée de l’appel)
Enregistrement vocal si la fonction est activée par notre client dans le logiciel.

Par ailleurs, nous apportons toute l’aide nécessaire au responsable de traitement dans le respect de ses propres obligations règlementaires, et en particulier pour répondre aux demandes d’exercice des droits des personnes. Nous nous engageons à sensibiliser nos clients à une utilisation conforme à la loi de nos services. Néanmoins, dans le cas contraire, la responsabilité directe d’Ubicentrex ne pourra être engagée.

Nous mettons en oeuvre des mesures techniques et organisationnelles afin de garantir un niveau de sécurité et de confidentialité des données à caractère personnel adapté aux potentiels risques résultant des traitements. Nous mettons également en oeuvre des moyens permettant d’empêcher, dans la mesure du possible, toute perte, altération, destruction accidentelle, accès non-autorisé et vol de données à caractère personnel. Les mesures de sécurité que nous mettons en oeuvre au quotidien sont les suivantes :

– Gouvernance : nomination d’un DPO, formation des collaborateurs à la confidentialité et sécurité de l’information ;
– Sécurité des accès : contrôle des accès des Utilisateurs, mesures de traçabilité ;
– Sécurité des infrastructures informatiques : mesure de protection des logiciels, sauvegardes des données, hébergement des données en France ;
– Sécurité des locaux physiques : fermeture à clés, code d’accès aux locaux, alarme anti-intrusion.

C’est par l’application de ces mesures au quotidien que nous veillons à ce que la sécurité des données à caractère personnel soit prise en compte dans le développement de nos services professionnels, dans le respect du principe de « privacy by design ».
Nous nous appliquons également à nous assurer ce que nos sous-traitants et partenaires présentent un niveau suffisant de sécurité et de confidentialité.
Par ailleurs, l’ensemble des données à caractère personnel collecté ne sera cédé, loué ou échangé à un quelconque tiers.

Nous sommes amenés à traiter des données à caractère personnel dites “sensibles” dans le cadre de notre activité. Les données sensibles sont les informations qui ont trait notamment à l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, la vie ou l’orientation sexuelle, les données génétiques ou biométriques ou encore l’état de santé de la personnes concernée.
Lorsque nous sommes amenés à traiter des données sensibles, nous mettons en œuvre des mesures techniques et organisationnelles supplémentaires et renforcées afin de garantir la confidentialité de ces données sensibles.
Pour plus d’informations sur les données sensibles que nous sommes susceptibles de traiter, nous vous invitons à vous référer au détail des traitements mis en œuvre, partie VI.

Nous sommes susceptibles de recueillir des données à caractère personnel relatives à une personne considérée comme mineure (moins de 18 ans). Il convient de distinguer :
– Le mineur de plus de 15 ans : conformément à la règlementation française, un mineur de plus de 15 ans est considéré comme pouvant consentir librement au   traitement de ses données à caractère personnel. Dans ce cas, seul le consentement du mineur devra être recueilli ;
– Le mineur de moins de 15 ans : dans ce cas, le seul consentement du mineur n’est pas suffisant et il sera nécessaire de recueillir également le consentement du titulaire de l’autorité parentale.
Lors de la création d’un compte par un Utilisateur, celui-ci indique son âge de manière déclarative. Aucune vérification de l’âge et de la date de naissance de l’Utilisateur n’est mise en oeuvre par Ubicentrex. Ubicentrex ne peut en aucun cas être tenu responsable en cas d’erreur de déclaration de son âge par l’Utilisateur, notamment dans l’hypothèse où l’Utilisateur est un mineur.

De quels droits dispose l’Utilisateur ?

Conformément au cadre règlementaire en vigueur concernant les données à caractère personnel, l’Utilisateur dispose de plusieurs droits concernant ses données à caractère personnel. Ces droits permettent à l’Utilisateur de mieux maîtriser ses données et de pouvoir agir sur les traitements le concernant.

Le droit à l’information

L’Utilisateur doit être informé, de manière claire et précise, de la collecte de ses données à caractère personnel. L’Utilisateur doit également être informé de ses droits par le responsable de traitement, ce dernier mettant à disposition les coordonnées du DPO. L’information de l’Utilisateur doit être préalable à la collecte de toute donnée.

Le droit à l’opposition

Toute collecte de données doit avoir été préalablement consentie par l’Utilisateur, de manière libre, spécifique, éclairé et univoque.
L’Utilisateur a la faculté de retirer son consentement lorsque la base légale du traitement en question est le consentement.

Le recueil du consentement et droit au retrait du consentement

Toute collecte de données doit avoir été préalablement consentie par l’Utilisateur, de manière libre, spécifique, éclairé et univoque.
L’Utilisateur a la faculté de retirer son consentement lorsque la base légale du traitement en question est le consentement.

Les droits d’accès et de rectification

L’Utilisateur doit pouvoir accéder à ses données à caractère personnel et les modifier si celles-ci se révèlent inexactes ou incomplètes.
L’Utilisateur peut alors contacter le DPO du responsable de traitement par écrit en envoyant un courrier recommandé avec accusé de réception accompagné d’un copie de sa pièce d’identité. Elle peut également se présenter sur place en présentant sa pièce d’identité. Le DPO bénéficie d’un délai maximum de 1 mois pour répondre.

Le droit à la portabilité

L’Utilisateur peut recevoir les données à caractère personnel le concernant dans un format structuré, couramment utilisé et lisible par ordinateur. Elle peut également faire transférer ses données auprès d’un autre responsable de traitement si cela est techniquement possible.

Le droit à l’effacement et à la limitation du traitement

L’Utilisateur peut demander au responsable de traitement que les données à caractère personnel le concernant soient supprimées L’Utilisateur peut demander au responsable de traitement de limiter le traitement des données à caractère personnel le concernant. Pour plus d’informations sur ses droits, l’Utilisateur peut consulter le site de la CNIL.

Quelles sont les modalités d’exercice de ces droits ?

L’Utilisateur peut demander au responsable de traitement de limiter le traitement des données à caractère personnel le concernant.
Pour plus d’informations sur ses droits, l’Utilisateur peut consulter le site de la CNIL.

a. Lorsque nous agissons en tant que responsable de traitement

L’Utilisateur peut nous faire parvenir ses demandes d’exercice de ses droits concernant les traitements pour lesquels nous revêtons la qualité de responsable de traitement :
Par courrier postal : Ubicentrex, à l’attention du DPO, 23 boulevard de l’orangerie, 67000 Strasbourg ;
Par courrier électronique :dpo@ubicentrex.fr
Dans sa demande, l’Utilisateur doit nous indiquer quel(s) droit(s) il souhaite exercer et quelles données à caractère personnel sont concernées par sa demande.

En cas de doute raisonnable sur l’identité de l’Utilisateur qui effectue la demande, nous pouvons être amené à procéder à une vérification d’identité. Celle-ci pourra se faire par tout moyen et de préférence par la méthode la moins invasive pour la vie privée et les libertés individuelles de l’Utilisateur.

b. Lorsque nous agissons en tant que sous-traitant

Concernant les traitements de données à caractère personnel où nous revêtons la qualité de sous-traitant, l’Utilisateur est invité à contacter directement le responsable de traitement pour exercer ses droits. Nous nous engageons, à la demande du responsable de traitement, à assister ce dernier dans le traitement de la demande de l’Utilisateur. Néanmoins et dans le respect du cadre règlementaire en vigueur, nous ne pouvons répondre directement aux demandes de l’Utilisateur. Par ailleurs, les obligations légales auxquelles nous sommes soumis concernant la conservation ou l’archivage de certains documents s’imposeront aux demandes de suppression de données à caractère personnel.

Le DPO a pour mission de s’assurer que le responsable de traitement respecte et applique bien le cadre règlementaire en vigueur concernant les données à caractère personnel.
Pour toute demande, l’Utilisateur peut s’adresser à notre DPO, par mail ou par courrier :
– dpo@ubicentrex.fr
– Ubicentrex, à l’attention du DPO, 23 boulevard de l’orangerie, 67000 Strasbourg
Si l’Utilisateur estime que ses droits n’ont pas été respectés, il a le droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des – Libertés (CNIL) :3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07
– Plaintes | CNIL

Les termes issus du RGPD revêtent la définition qui leur est donné par le RGPD.
“Nous”, “nos”, “notre” font référence à la société Ubicentrex.
“Ubicentrex” fait référence à la société Ubicentrex, SARL au capital de 300 000€ dont le siège social est basé au 23 boulevard de l’Orangerie à Strasbourg, immatriculée au 513 535 609.
“Ubiclic” fait référence à notre système de prise de rendez-vous en ligne.
“Utilisateur” fait référence à l’utilisateur d’Ubicentrex ou Ubiclic.
“Professionnel” fait référence au professionnel de l’annuaire Ubiclic. Le professionnel est un client direct ou indirect d’Ubicentrex.
“Client direct” fait référence au client qui est directement lié contractuellement à Ubicentrex ou Ubiclic.
“Client indirect” fait référence à la personne lié contractuellement à l’un de nos clients directs.
“Logiciel” fait référence au logiciel de télésecrétariat et de prise de rendez-vous par internet développé et commercialisé par Ubicentrex.
“DPO” signifie : Data Protection Officer et fait référence au Délégué à la Protection des Données.