Confidentialité et sécurité

La confidentialité et la sécurité de vos données sont une priorité chez Medaviz. Voici les politiques, les procédures et les technologies que nous utilisons pour respecter, voire dépasser les exigences réglementaires.

Lorsque vous utilisez les services de Medaviz, vous êtes amenés à transmettre certaines données personnelles. A des fins de transparence totale et de pédagogie, Medaviz a défini la présente page Confidentialité et sécurité, afin que toute personne concernée, puisse, à tout moment prendre connaissance des engagements pris et des procédures appliquées par Medaviz sur vos données à caractère personnel.

Medaviz s’engage à traiter l’ensemble des données collectées de manière conforme aux textes applicables à la protection des données au sens du Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 (le « Règlement Général sur la Protection des Données » ou « RGPD ») et de la loi modifiée n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, ces deux textes étant ci-après désignés la « Réglementation ».

Guillaume LESDOS, Président et Co-fondateur de Medaviz

Traitements des données à caractère personnel

Medaviz agit en qualité de Responsable de Traitement

Finalités Données à caractère personnel traitées Base légal de traitement Durée de conservation
Identification
Création du compte personnel de l’utilisateur pour accéder aux services Medaviz. – Civilité,
– Nom,
– Prénom,
– Email,
– Numéro de mobile,
– Date de naissance,
– NIR,
– CP Ville.
Nécessaire à l’exécution du contrat auquel la personne concernée est partie (acceptation des Conditions Générales d’Utilisation ou des Conditions Générales de Services). 2 ans à compter de la dernière mise en relation en cas d’inactivité du compte personnel de l’utilisateur ou 30 jours à partir de la demande de suppression de la part de l’utilisateur (3 mois maximum si le traitement le nécessite).
Exercice des droits des personnes.
Communication
Emails transactionnels
– Informations aux utilisateurs relatives à la gestion de leur compte personnel utilisateur.
– Informations et conseils relatifs à l’utilisation des services Medaviz
– Nom,
– Prénom,
– Email.
Intérêt légitime. Jusqu’à la demande de suppression de son compte personnel par l’utilisateur ou à partir du désabonnement de l’utilisateur aux newsletters de Medaviz.
Newsletters marketing
Conseils de santé, accompagnement.
Qualité des services
Informations relatives à la durée de la mise en relation téléphonique ou en visioconférence. Questionnaire de satisfaction. Nécessaire à l’exécution d’un contrat auquel la personne concernée est partie (acceptation des Conditions Générales d’Utilisation ou des Conditions Générales de Services). 2 ans à compter de la mise en relation.
Informations relatives à la qualité audio et vidéo, dans un but d’amélioration des services. Enregistrement des mises en relation téléphoniques. 4 mois pour les enregistrements des mises en relation téléphoniques.
Réclamations – Nom,
– Prénom,
– Email,
– Contenu de la demande.
Obligations légales. 2 ans à compter de la demande.

Medaviz agit en qualité de Sous-traitant

Finalités Données à caractère personnel traitées
Fourniture des services. – Civilité,
– Nom,
– Prénom,
– Date de naissance,
– Historique des mises en relation,
– NIR.
Paiement des téléconsultations. – Coordonnées bancaires,
– Date et heure de la transaction,
– Montant facturé,
– Moyen de paiement utilisé.
Gestion du parcours de soin des patients,
Suivi des patients,
Orientation des patients vers d’autres professionnels de santé,
Prise en charge des patients.
– Civilité,
– Nom,
– Prénom,
– Date de naissance,
– Date d’utilisation des services,
– Motif du rendez-vous,
– Données médicales,
– Médecin traitant et adressant.
Transmission par les professionnels de santé de documents avec leurs patients. – Nom,
– Prénom,
– Historique des téléconsultations,
– Documents médicaux.
Exercice des droits des patients sur les données à caractère personnel.

Gestion par les professionnels de santé des demandes de droit des patients concernant les données à caractère personnel pour lesquelles les professionnels de santé agissent en tant que responsable de traitement.

– Nom,
– Prénom,
– Email,
– Contenu de la demande.
Gestion des litiges entre professionnels de santé et patients. – Nom,
– Prénom,
– Historique de mise en relation ainsi que toute donnée pertinente.
Fourniture d’une assistance à l’utilisateur. – Nom,
– Prénom,
– Email,
– Contenu de la demande.

Dans de rares cas, Medaviz peut accéder temporairement à des données à caractère personnel de santé afin de résoudre le problème technique remonté, avec autorisation et sous supervision du patient ou du professionnel de santé.

Sous-traitants

Hébergement de données
Amazon Web Services (AWS) L’infrastructure physique de Medaviz est hébergée et gérée au sein des centres de données sécurisées d’Amazon. Medaviz s’appuie sur l’ensemble des fonctionnalités intégrées de sécurité, de confidentialité et de redondance de la plate-forme. AWS surveille continuellement ses centres de données et est soumis à des évaluations afin de s’assurer du respect de normes de l’industrie. Les opérations de centre de données d’Amazon ont été accréditées selon : ISO 27001, SOC 1 et SOC 2/SSAE 16/ISAE 3402 (autrefois SAS 70 Type II), PCI niveau 1, FISMA modérée et Sarbanes-Oxley (SOX).

Présentée par l’Agence du Numérique en Santé (ANS) la certification Hébergeur de Données de Santé (HDS) a pour objectif de renforcer la sécurité et la protection des données personnelles de santé. AWS est certifié HDS garantit la confidentialité, l’intégrité et la disponibilité des données personnelles de santé à ses clients et partenaires.

Localisation des centres de données : France

Analytique
Google Analytics Aide Medaviz à contrôler et à gérer les performances de ses services.
Tableau Aide Medaviz à contrôler et à gérer les performances de ses services.
Applicatifs
Stripe Prestataire de service de paiement.
Permet de gérer  les paiements en ligne des Téléconsultations.
Twilio Services téléphone, VoIP, vidéo et messagerie pour intégration aux logiciels web et mobiles.
Communication
Firebase Aide Medaviz à envoyer des notifications pour ses applications.
Sendgrid Aide Medaviz à envoyer des e-mails transactionnels.
Sendinblue Aide Medaviz à envoyer des e-mails de marketing.
Support
Zendesk Permet de gérer la relation client.

Programme de sécurité et de conformité

Personnes
Vérifications en arrière-plan Tous les employés de Medaviz passent par une vérification approfondie de leur profil avant leur embauche.
Formation Alors que nous ne gardons qu’une quantité minimale de données client et que nous limitons l’accès interne selon la nécessité, tous les employés sont formés à la sécurité et la gestion des données pour faire en sorte qu’ils soient attachés à notre engagement strict de la confidentialité et la sécurité de vos données.
Confidentialité Tous les employés signent un accord de confidentialité avant de commencer à travailler pour Medaviz.
Fiabilité et redondance
Continuité business et récupération après sinistre Nous avons en place un Plan de Continuité d’Activité (PCA) et un Plan de Reprise d’Activité (PRA) après sinistre qui répliquent notre base de données et sauvegardent les données chez plusieurs fournisseurs de cloud pour assurer leur haute disponibilité.
Cycle de développement applicatif
Sécurité active La plateforme Medaviz est pourvue d’un système de monitoring de code et de performance, en plus des logs d’activité habituels. Des alertes avertissent les équipes en cas d’activité anormale ou de dépassement de seuils indiquant une activité non humaine.
Nouvelles versions Les nouvelles versions de la plate-forme Medaviz sont soigneusement examinées et testées pour garantir une disponibilité élevée et une expérience client exceptionnelle. Les modifications apportées à notre base de code sont tenues d’inclure des tests unitaires, des tests d’intégration et des tests de bout en bout. Les modifications sont exécutées sur notre serveur d’intégration continue, qui nous permet de détecter automatiquement tous les problèmes de développement.
Tests d’assurance qualité Une fois qu’un ensemble de modifications est terminé, il est manuellement revu par un ou plusieurs membres de l’équipe d’ingénierie. L’ensemble de modifications est alors évalué et testé manuellement par notre équipe d’assurance qualité pour tester en profondeur les zones d’impact attendu, de régression et pour continuer à évaluer l’expérience de l’utilisateur.
Contrôle de vulnérabilité
Gestion de terminaux mobiles (GTM) Nous sécurisons les machines et ordinateurs portables de nos employés grâce à la gestion de terminaux mobiles pour nous assurer que chaque appareil est conforme à nos normes de sécurité de l’information, y compris le cryptage.
Prévention des logiciels malveillants Les équipements de nos employés sont protégés par des logiciels anti-malware, et nous exécutons des tests de routine de hameçonnage (phishing) pour éduquer et former nos employés.
Recherche de vulnérabilité Des tests de sécurité interne sont conduits tous les mois, avec comme support la base de données des vulnérabilités php, afin de détecter et corriger de potentielles failles de sécurité (injection sql, attaque csrf, packages vulnérables, etc). En parallèle, des revues de code hebdomadaires sont conduites par les équipes de développement (pair programming), et ont pour but d’améliorer la qualité du code en termes de performance et sécurité.
Authentification
Protection des identifiants de connexion Pour les connexions de calendrier Google Agenda et Office365, Medaviz ne recueille jamais de mots de passe. L’utilisation d’une connexion sécurisée OAuth pour synchroniser ces calendriers ne donne accès à Medaviz qu’à votre compte calendrier via un jeton sécurisé de votre fournisseur de messagerie. Cela vous permet également de définir les mesures de sécurité supplémentaires avec ce prestataire, y compris l’authentification à 2 facteurs (2FA) . Pour les utilisateurs iCloud, nous recommandons de configurer 2FA et des mots de passe spécifiques à l’application.
Déprovisionnement Comme Medaviz propose une OAuth transparente via Google Agenda et Office365, la connexion au calendrier est éliminée automatiquement lorsque votre compte est résilié.

Certifications et conformité

Respect du RGPD
Nous avons intégré les normes du RGPD dans nos pratiques en matière de données pour faire en sorte que nos clients, qu’ils soient citoyens de l’UE ou des entreprises travaillant avec des clients européens, se sentent en sécurité en utilisant Medaviz.

Certification ISO-27001
En cours de mise en conformité pour l’obtention de la certification en 2021.

Ressources

Vous êtes un professionnel de santé
Politique de confidentialité

Vous êtes un patient
Politique de confidentialité
Conditions Générales d’Utilisation

Centre d’aide
Aide professionnel de santé
Aide patient
contact@medaviz.com

Nous sommes toujours en cours d’amélioration et toujours disponibles

Si vous pensez avoir trouvé une faille de sécurité, avoir des suggestions qui aideront à protéger la vie privée ou si vous avez des questions pour notre équipe, merci de nous contacter sur contact@medaviz.com.