Politique de confidentialité de Imagine

  • Home
  • Politique de confidentialité de Imagine

Confidentialité et Protection des données – Imagine

Confidentialité et Protection des données

Solution Imagine par MLMConseil

Document ref. RGPD202401 | Date : 14/05/2024

I. Introduction

Le Règlement Général sur la Protection des Données (RGPD) adopté par l’Union Européenne est entré en vigueur le 25 mai 2018. Il marque une nouvelle étape dans le renforcement de la protection des données personnelles des individus, notamment par le renforcement du consentement, la consécration du droit à l’oubli, la minimisation des données personnelles pouvant être utilisées, la limitation de leur accès et le renforcement de la sécurité des données.

Les données personnelles sont toutes les informations relatives à une personne physique pouvant être utilisées, en ligne ou hors ligne, pour l’identifier directement ou indirectement. Il peut s’agir d’un nom, d’une photo, d’une adresse email, d’un numéro de téléphone, de coordonnées bancaires, d’une adresse postale, d’une donnée de localisation (adresse IP, données GPS…), d’informations médicales, etc.

Ces données personnelles sont au cœur de notre métier, et leur protection est, et a toujours été, une priorité absolue. La solution Imagine et son éditeur MLMConseil respectent intégralement l’ensemble des réglementations relatives à la protection des données de ses clients, fournisseurs, utilisateurs (volontaires). Les chapitres suivants détaillent la politique RGPD misent en place au cœur de la solution Imagine.

II. Définitions

La solution : On nommera ainsi l’ensemble des éléments techniques et fonctionnels qui permettent à Imagine, le produit vendu par MLMConseil, de fonctionner.

L’éditeur : On nommera ainsi le propriétaire de la solution Imagine, MLMConseil.

Le client : On nommera ainsi la personne morale qui aura contractualisé avec MLMConseil pour utiliser la solution Imagine.

Le volontaire : On nommera ainsi la personne physique qui participe à des études en tant que volontaire. Les volontaires sont directement gérés par le client dans le cadre d’études. Ses droits d’accès à Imagine sont directement gérés par le client.

III. La solution

La solution est composée de 2 grands blocs logiciels :

  • Une application mobile permettant de récupérer les données auprès des volontaires.
  • Une plateforme backoffice sur laquelle sont stockées les données des études auxquelles les volontaires ont participé.

IV. Création de l’étude

Pour créer une étude, le client devra utiliser l’option prévue à cet usage dans la plateforme backoffice.

Lors de cette opération le client devra identifier le volontaire par un numéro. Ce numéro permettra d’identifier le volontaire sans jamais le relier à des informations personnelles de quelque sorte.

De fait, seul le client conservera le stockage et le traitement des informations personnelles des volontaires de son étude.

V. Recueil des données

Les données recueillies pendant l’étude sont uniquement fournies par le volontaire sujet de l’étude.

Aucune information personnelle ne sera demandée aux volontaires pour se connecter à l’application. Des QR Codes leur seront fournis à cette fin. Ce faisant, aucune information personnelle ne sera donc saisie et sauvegardée.

Pendant l’étude, des données (Images, Photos, Réponses à des questionnaires), seront stockées sur le téléphone du volontaire puis transmis via un protocole chiffré à la plateforme backoffice. Après transmission, les données seront supprimées de leur stockage initial sur le téléphone.

Ainsi, aucune donnée de l’étude ne persistera sur le téléphone du volontaire.

VI. Traitement des données

Les données récupérées sur la plateforme backoffice pourront être traitée de différentes manières selon la politique du client :

1. Consultation

La plateforme backoffice permettra de gérer le déroulé complet d’une étude jusqu’à son dénouement. Les données recueillies y seront donc disponibles en consultation.

2. Suppression des données d’une étude

À tout moment, directement depuis la plateforme backoffice, le client pourra supprimer tout ou partie des données concernant ses études et ses volontaires. Les données seront alors totalement perdues.

3. Transfert des données

Le client pourra accéder aux données de ses études, informatiquement, en utilisant les API prévues à cet effet. Ces API permettront également d’effacer les données après copie des données dans l’environnement client.

4. Gestion des données client

Le client a la responsabilité de la gestion des données concernant ses études. En clair, il peut choisir de maintenir les données de ses études sur la plateforme ou de les effacer à sa convenance. Toute demande émise par un volontaire concernant ses données personnelles et leur éventuelle suppression sera donc de la responsabilité du client gérant ces données.

VII. Disponibilité d’un DPO

Pour vérifier le respect des législation RGPD dans le cadre de la solution mais aussi pour gérer les demandes clients en lien avec le RGPD, l’éditeur a nommé un DPO (Data Protection Officer).

Ce dernier guide et coordonne les efforts de mis en conformité avec la nouvelle réglementation européenne :

  • Il informe, conseille les collaborateurs et les clients.
  • Il contrôle le respect du règlement en matière de protection des données.
  • Il est le point de contact avec les autorités de contrôle si nécessaire.

Le DPO tient régulièrement informé l’ensemble des collaborateurs sur la réglementation relative à la protection des données personnelles, et plus spécifiquement sur les exigences du RGPD applicables aux différents services de l’entreprise. L’objectif de ces communications internes est de garantir au sein des personnels un niveau élevé de sensibilisation à la protection des données personnelles.

VIII. Stockage des données et hébergement de l’application

L’éditeur sous-traite à un hébergeur l’hébergement de l’application et le stockage des données. Cet hébergeur cloud se conforme également au RGPD et possède des Data Center en France.

Les données et l’application sont backupés sur deux serveurs différents situés géographiquement à deux endroits différents en France.

L’application restera accessible néanmoins à l’international, permettant d’étendre le panel de volontaire selon la volonté du client.

Annexe A – Hébergement

À date du 14/05/2024, pour une durée indéterminée, l’ensemble de la solution et des données d’Imagine sont hébergés sur une solution Cloud OVH.

En qualité de sous-traitant, OVH s’engage notamment à mettre en œuvre les actions suivantes :

  • Traiter les données à caractère personnel aux seules fins de la bonne exécution des services : OVH ne traitera jamais les informations à d’autres fins (marketing, etc.).
  • Ne pas transférer les données hors UE ou hors pays reconnus par la Commission européenne comme disposant d’un niveau de protection suffisant : sous réserve que vous ne sélectionniez pas un datacenter dans une zone géographique hors UE.
  • Informer de tout recours à des sous-traitants qui pourraient traiter les données à caractère personnel : à ce jour, aucune prestation impliquant un accès aux contenus stockés par vos soins dans le cadre des services n’est sous-traitée en dehors du groupe OVH.
  • À mettre en œuvre des standards de sécurité élevés afin de fournir un haut niveau de sécurisation à leurs services.
  • À nous notifier dans les meilleurs délais en cas de violation de données.
  • À nous assister à respecter nos obligations réglementaires en nous fournissant une documentation adéquate de nos services.

En résumé, OVH s’engage à respecter la localisation, la sécurisation des données et services. MLMConseil a par ailleurs opté pour une localisation des applications et des données dans un datacenter en France.

Lien vers la certification RGPD OVH :

https://www.ovhcloud.com/fr/personal-data-protection/security/

Note importante : Etant donné que l’éditeur se réserve le droit de changer de sous-traitant pendant la durée de vie de l’application, l’identité du sous-traitant n’est pas mentionnée dans ce document. Un avenant spécifique sera émis concernant les détails le concernant. Et en cas de changement un document rectificatif sera transmis aux clients pour information.

IX. Stockage et disponibilité de l’application mobile

Les binaires de l’application mobile seront hébergés sur les serveurs idoines des store Apple (App store) et Google Android (Play store). Ainsi l’ensemble des volontaires participant aux études pourront facilement installer l’application sur leur téléphone quel que soit leur situation géographique. Les binaires de cette application ne contiennent aucune information personnelle.

X. Traçabilité des opérations

Les opérations réalisées seront tracées dans un journal d’opération (informatique) par l’application. Ce journal, stocké sur les serveurs du sous-traitant hébergeur, permettra de suivre les opérations et d’établir des statistiques sur l’usage, ceci afin de proposer des optimisations et de nouvelles fonctionnalités à nos clients ou aux volontaires de nos clients.

Concernant les volontaires ce journal sera anonymisé dès l’origine. Concernant les clients ces données seront associées à leur compte.

Ce journal sera purgé tous les 6 mois mais les statistiques anonymes seront conservées (Client comme volontaire).