Confidentialité et sécurité

Medaviz vous informe en toute transparence

Mise à jour : Janvier 2022

Lorsque vous utilisez les services de Medaviz, vous êtes amenés à transmettre certaines données personnelles. A des fins de transparence totale et de pédagogie, Medaviz a défini la présente page Confidentialité et sécurité, afin que toute personne concernée, puisse, à tout moment prendre connaissance des engagements pris et des procédures appliquées par Medaviz sur vos données à caractère personnel. Nous communiquons toujours de manière proactive sur le moindre incident de sécurité qui pourrait survenir.

Medaviz s’engage à traiter l’ensemble des données collectées de manière conforme aux textes applicables à la protection des données au sens du Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 (le « Règlement Général sur la Protection des Données » ou « RGPD ») et de la loi modifiée n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, ces deux textes étant ci-après désignés la « Réglementation ».

“La confidentialité et la sécurité de vos données sont une priorité chez Medaviz. Voici les politiques, les procédures et les technologies que nous utilisons pour respecter, voire dépasser les exigences réglementaires.”

Guillaume LESDOS, Président et Co-fondateur de Medaviz

Nos engagements

Confidentialité

Vos données personnelles sont collectées uniquement pour vous permettre d’utiliser les services Medaviz auxquels vous vous êtes inscrit et pour permettre aux praticiens de mieux vous soigner (parcours santé). Vos données sont destinées uniquement aux professionnels de santé et à vous-même. Medaviz n’en n’est pas le propriétaire. Nous n’utilisons pas de cookies à des fins publicitaires.

Intégrité et sécurité

Vos données personnelles sont stockées en France chez un hébergeur certifié Hébergeur de Données de Santé (HDS) conformément à la loi et aux référentiels établis par l’Agence du Numérique en Santé (ANS), en concertation avec la Commission Nationale de l’Informatique et des Libertés (CNIL). La certification HDS a pour objectif de renforcer la sécurité et la protection des données personnelles de santé. Nos hébergeurs respectent les principales normes internationales et notamment la norme ISO/CEI 27001 (sécurité renforcée 24h/7j).

Accessibilité

Medaviz vous assure une disponibilité de vos données 24h/7j. Cela est rendu possible grâce à un système de sauvegarde et de récupération automatique de vos données.

Vous avez la possibilité d’exercer vos droits d’accès, de rectification ou d’effacement à tout moment, en envoyant une demande à l’adresse [email protected]. Les professionnels de santé peuvent avoir un intérêt légitime à conserver vos données ; vous avez alors la possibilité d’exercer vos droits directement auprès de ces derniers.

Vous n’utilisez plus Medaviz depuis 60 mois ? Votre compte sera désactivé et toutes les informations personnelles supprimées. Nous vous préviendrons à l’avance par e-mail.


Traitements des données à caractère personnel

Medaviz agit en qualité de Responsable de Traitement

Finalités Données personnelles traitées Base légal de traitement Durée de conservation
Identification
Création du compte personnel de l’utilisateur pour accéder aux services Medaviz. – Civilité,
– Nom,
– Prénom,
– Email,
– Numéro de mobile,
– Date de naissance,
– NIR (facultatif),
– CP Ville (facultatif),

Professionnels de santé :
– Spécialité(s) médicale(s),
– RPPS / ADELI / Finess,
– Adresse professionnelle,
– Justificatif d’identité,
– Justificatif d’adresse pro,
– Signature.

Nécessaire à l’exécution du contrat auquel la personne concernée est partie (acceptation des Conditions Générales d’Utilisation ou des Conditions Générales de Services). 5 ans à compter de la dernière mise en relation en cas d’inactivité du compte personnel de l’utilisateur ou 30 jours à partir de la demande de suppression de la part de l’utilisateur (3 mois maximum si le traitement le nécessite).
Exercice des droits des personnes.
Communication
Emails transactionnels
– Informations aux utilisateurs relatives à la gestion de leur compte personnel utilisateur.
– Informations et conseils relatifs à l’utilisation des services Medaviz
– Nom,
– Prénom,
– Email.
Intérêt légitime. Jusqu’à la demande de suppression de son compte personnel par l’utilisateur ou à partir du désabonnement de l’utilisateur aux newsletters de Medaviz.
Newsletters marketing
Conseils de santé, accompagnement.
Qualité des services
Informations relatives à la durée de la mise en relation téléphonique ou en visioconférence. Questionnaire de satisfaction. Nécessaire à l’exécution d’un contrat auquel la personne concernée est partie (acceptation des Conditions Générales d’Utilisation ou des Conditions Générales de Services). 24 mois à compter de la mise en relation.
Informations relatives à la qualité audio et vidéo, dans un but d’amélioration des services. Enregistrement des mises en relation téléphoniques. 4 mois pour les enregistrements des mises en relation téléphoniques.
Réclamations – Nom,
– Prénom,
– Email,
– Contenu de la demande.
Obligations légales. 24 mois à compter de la demande.

Medaviz agit en qualité de Sous-traitant

Finalités Données personnelles traitées
Fourniture des services. – Civilité,
– Nom,
– Prénom,
– Date de naissance,
– Historique des mises en relation,
– NIR.
Paiement des téléconsultations. – Coordonnées bancaires (IBAN/CB),
– Date et heure de la transaction,
– Montant facturé,
– Moyen de paiement utilisé.
Gestion du parcours de soin des patients,
Suivi des patients,
Orientation des patients vers d’autres professionnels de santé,
Prise en charge des patients.
– Civilité,
– Nom,
– Prénom,
– Date de naissance,
– Date d’utilisation des services,
– Motif du rendez-vous,
– Données médicales,
– Médecin traitant et adressant.
Transmission par les professionnels de santé de documents avec leurs patients. – Nom,
– Prénom,
– Historique des téléconsultations,
– Documents médicaux.
Exercice des droits des patients sur les données à caractère personnel.

Gestion par les professionnels de santé des demandes de droit des patients concernant les données à caractère personnel pour lesquelles les professionnels de santé agissent en tant que responsable de traitement.

– Nom,
– Prénom,
– Email,
– Contenu de la demande.
Gestion des litiges entre professionnels de santé et patients. – Nom,
– Prénom,
– Historique de mise en relation ainsi que toute donnée pertinente.
Fourniture d’une assistance à l’utilisateur. – Nom,
– Prénom,
– Email,
– Contenu de la demande.

Dans de rares cas, Medaviz peut accéder temporairement à des données à caractère personnel de santé afin de résoudre le problème technique remonté, avec autorisation et sous supervision du patient ou du professionnel de santé.

Sous-traitants

Hébergement de données
Amazon Web Services (AWS)

L’infrastructure physique de Medaviz est hébergée au sein des centres de données sécurisées d’Amazon. Medaviz s’appuie sur l’ensemble des fonctionnalités intégrées de sécurité, de confidentialité et de redondance de la plate-forme. AWS est certifié Hébergeur de Données de Santé (HDS) conformément à la loi et aux référentiels établis par l’Agence du Numérique en Santé (ANS), en concertation avec la Commission Nationale de l’Informatique et des Libertés (CNIL).

AWS surveille continuellement ses centres de données et est soumis à des évaluations afin de s’assurer du respect de normes de l’industrie. Les opérations de centre de données d’Amazon ont été accréditées selon : ISO 27001, SOC 1 et SOC 2/SSAE 16/ISAE 3402 (autrefois SAS 70 Type II), PCI niveau 1, FISMA modérée et Sarbanes-Oxley (SOX). Localisation centre de données : France

Analytique
Tableau Aide Medaviz à contrôler et à gérer les performances de ses services.
Localisation centre de données : Union Européenne
Sentry Aide Medaviz à surveiller et à corriger les erreurs en temps réel dans l’application.
Localisation centre de données : USA
Analytics Suite aux restrictions de la CNIL quant à l’utilisation de Google Analytics (février 2022), Medaviz retire l’outil de mesure de performance sur ses applications web et mobile. Par conséquent, aucun cookie de performance et publicitaire ne sont utilisés.
Applicatifs
Stripe Prestataire de service de paiement.
Permet de gérer  les paiements en ligne des téléconsultations.
Localisation centre de données : USA
Twilio Services téléphonie, VoIP, vidéo et messagerie pour intégration aux logiciels web et mobiles.
Health Insurance Portability and Accountability Act (HIPAA) Protected Health Information (PHI).
Localisation centre de données : USA
Communication
Firebase Aide Medaviz à envoyer des notifications pour ses applications.
Localisation centre de données : USA
Sendgrid Aide Medaviz à envoyer des e-mails transactionnels.
Localisation centre de données : USA
Sendinblue Aide Medaviz à envoyer des e-mails de marketing.
Localisation centre de données : Union Européenne
Support
Zendesk Permet de gérer la relation client.
Localisation centre de données : Union Européenne

Programme de sécurité et de conformité

Personnes
Vérification Tous les employés de Medaviz passent par une vérification approfondie de leur profil avant leur embauche.
Formation Alors que nous ne gardons qu’une quantité minimale de données client et que nous limitons l’accès interne selon la nécessité, tous les employés sont formés à la sécurité et la gestion des données pour faire en sorte qu’ils soient attachés à notre engagement strict de la confidentialité et la sécurité de vos données.
Confidentialité Tous les employés signent un accord de confidentialité avant de commencer à travailler pour Medaviz.
Fiabilité et redondance
Continuité business et récupération après sinistre Nous avons en place un Plan de Continuité d’Activité (PCA) et un Plan de Reprise d’Activité (PRA) après sinistre qui répliquent notre base de données et sauvegardent les données chez plusieurs fournisseurs de cloud pour assurer leur haute disponibilité.
Cycle de développement applicatif
Sécurité active La plateforme Medaviz est pourvue d’un système de monitoring de code et de performance, en plus des logs d’activité habituels. Des alertes avertissent les équipes en cas d’activité anormale ou de dépassement de seuils indiquant une activité non humaine.
Nouvelles versions Les nouvelles versions de la plate-forme Medaviz sont soigneusement examinées et testées pour garantir une disponibilité élevée et une expérience client exceptionnelle. Les modifications apportées à notre base de code sont tenues d’inclure des tests unitaires, des tests d’intégration et des tests de bout en bout. Les modifications sont exécutées sur notre serveur d’intégration continue, qui nous permet de détecter automatiquement tous les problèmes de développement.
Tests d’assurance qualité Une fois qu’un ensemble de modifications est terminé, il est manuellement revu par un ou plusieurs membres de l’équipe d’ingénierie. L’ensemble de modifications est alors évalué et testé manuellement par notre équipe d’assurance qualité pour tester en profondeur les zones d’impact attendu, de régression et pour continuer à évaluer l’expérience de l’utilisateur.
Contrôle de vulnérabilité
Gestion de terminaux mobiles (GTM) Nous sécurisons les machines et ordinateurs portables de nos employés grâce à la gestion de terminaux mobiles pour nous assurer que chaque appareil est conforme à nos normes de sécurité de l’information, y compris le cryptage et la double authentification.
Prévention des logiciels malveillants Les équipements de nos employés sont protégés par des logiciels anti-malware, et nous exécutons des tests de routine de hameçonnage (phishing) pour éduquer et former nos employés.
Recherche de vulnérabilité Des tests de sécurité interne sont conduits tous les mois, avec comme support la base de données des vulnérabilités php, afin de détecter et corriger de potentielles failles de sécurité (injection sql, attaque csrf, packages vulnérables, etc). En parallèle, des revues de code hebdomadaires sont conduites par les équipes de développement (pair programming), et ont pour but d’améliorer la qualité du code en termes de performance et sécurité.

Certifications et conformité

Respect du RGPD
Nous avons intégré les normes du RGPD dans nos pratiques en matière de données pour faire en sorte que nos clients, qu’ils soient citoyens de l’UE ou des entreprises travaillant avec des clients européens, se sentent en sécurité en utilisant Medaviz.

Certification ISO-27001
En cours de mise en conformité pour l’obtention de la certification en 2022.


Ressources

Vous êtes un professionnel de santé
Politique de confidentialité

Vous êtes un patient
Politique de confidentialité
Conditions Générales d’Utilisation

Centre d’aide
Aide professionnel de santé
Aide patient
[email protected]


Nous sommes toujours en cours d’amélioration et toujours disponibles

Si vous pensez avoir trouvé une faille de sécurité, avoir des suggestions qui aideront à protéger la vie privée ou si vous avez des questions pour notre équipe, merci de nous contacter sur [email protected].