Sécurité de l’information, cybersécurité et protection de la vie privée

Medaviz est certifié ISO-27001, HDS et veille au respect des normes RGPD.

Lorsque vous utilisez les services de Medaviz, vous êtes amenés à transmettre certaines données personnelles. À des fins de transparence totale et de pédagogie, Medaviz a défini la présente page Confidentialité et sécurité, afin que toute personne concernée, puisse, à tout moment prendre connaissance des engagements pris et des procédures appliquées par Medaviz sur vos données à caractère personnel. Nous communiquons toujours de manière proactive sur le moindre incident de sécurité qui pourrait survenir.

Medaviz s’engage à traiter l’ensemble des données collectées de manière conforme aux textes applicables à la protection des données au sens du Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 (le « Règlement Général sur la Protection des Données » ou « RGPD ») et de la loi modifiée n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, ces deux textes étant ci-après désignés la « Réglementation ».

Medaviz dispose d’une équipe dédiée à la protection des données à caractère personnel, incluant notamment un Délégué à la Protection des Données déclaré auprès de la CNIL, une équipe de sécurité (ISO-27001), une juriste et des ingénieurs sensibles à la protection des données.

“La confidentialité et la sécurité de vos données sont une priorité chez Medaviz. Voici les politiques, les procédures et les technologies que nous utilisons pour respecter, voire dépasser les exigences réglementaires.”

Guillaume LESDOS, Président et Co-fondateur de Medaviz

Nos engagements

Confidentialité

Vos données personnelles sont collectées uniquement pour vous permettre d’utiliser les services Medaviz auxquels vous vous êtes inscrit et pour permettre aux praticiens de mieux vous soigner (parcours santé). Vos données sont destinées uniquement aux professionnels de santé et à vous-même. Medaviz n’en n’est pas le propriétaire. Nous n’utilisons pas de cookies à des fins publicitaires.

Intégrité et sécurité

Vos données personnelles sont stockées en France chez un hébergeur certifié Hébergeur de Données de Santé (HDS) conformément à la loi et aux référentiels établis par l’Agence du Numérique en Santé (ANS), en concertation avec la Commission Nationale de l’Informatique et des Libertés (CNIL). La certification HDS a pour objectif de renforcer la sécurité et la protection des données personnelles de santé. Nos hébergeurs respectent les principales normes internationales et notamment la norme ISO/CEI 27001 (sécurité renforcée 24h/7j).

Accessibilité

Medaviz vous assure une disponibilité de vos données 24h/7j. Cela est rendu possible grâce à un système de sauvegarde et de récupération automatique de vos données.

Vous avez la possibilité d’exercer vos droits d’accès, de rectification ou d’effacement à tout moment, en envoyant une demande à l’adresse [email protected]. Les professionnels de santé peuvent avoir un intérêt légitime à conserver vos données ; vous avez alors la possibilité d’exercer vos droits directement auprès de ces derniers.

Vous n’utilisez plus Medaviz depuis 60 mois ? Votre compte sera désactivé et toutes les informations personnelles supprimées. Nous vous préviendrons à l’avance par e-mail.


👉 Les informations ci-dessous concernent uniquement les applications web et app my.medaviz.com.
La politique de confidentialité du site Internet medaviz.com est accessibles en bas du site.


Traitements des données à caractère personnel

Medaviz agit en qualité de Responsable de Traitement

Finalités Données personnelles traitées Base légal de traitement Durée de conservation
Identification
Création du compte personnel de l’utilisateur pour accéder aux services Medaviz. – Civilité,
– Nom,
– Prénom,
– Email,
– Numéro de mobile,
– Date de naissance,
– NIR (facultatif),
– CP Ville (facultatif),

Professionnels de santé :
– Spécialité(s) médicale(s),
– RPPS / ADELI / Finess,
– Adresse professionnelle,
– Justificatif d’identité,
– Justificatif d’adresse pro,
– Signature.

Nécessaire à l’exécution du contrat auquel la personne concernée est partie (acceptation des Conditions Générales d’Utilisation ou des Conditions Générales de Services). 5 ans à compter de la dernière mise en relation en cas d’inactivité du compte personnel de l’utilisateur ou 30 jours à partir de la demande de suppression de la part de l’utilisateur (3 mois maximum si le traitement le nécessite).
Exercice des droits des personnes.
Communication
Emails transactionnels
– Informations aux utilisateurs relatives à la gestion de leur compte personnel utilisateur.
– Informations et conseils relatifs à l’utilisation des services Medaviz
– Nom,
– Prénom,
– Email.
Intérêt légitime. Jusqu’à la demande de suppression de son compte personnel par l’utilisateur ou à partir du désabonnement de l’utilisateur aux newsletters de Medaviz.
Newsletters marketing
Conseils de santé, accompagnement.
Qualité des services
Informations relatives à la durée de la mise en relation téléphonique ou en visioconférence. Questionnaire de satisfaction. Nécessaire à l’exécution d’un contrat auquel la personne concernée est partie (acceptation des Conditions Générales d’Utilisation ou des Conditions Générales de Services). 24 mois à compter de la mise en relation.
Informations relatives à la qualité audio et vidéo, dans un but d’amélioration des services. Enregistrement des mises en relation téléphoniques. 4 mois pour les enregistrements des mises en relation téléphoniques.
Réclamations – Nom,
– Prénom,
– Email,
– Contenu de la demande.
Obligations légales. 24 mois à compter de la demande.

Medaviz agit en qualité de Sous-traitant

Finalités Données personnelles traitées
Fourniture des services. – Civilité,
– Nom,
– Prénom,
– Date de naissance,
– Historique des mises en relation,
– NIR.
Paiement des téléconsultations. – Coordonnées bancaires (IBAN/CB),
– Date et heure de la transaction,
– Montant facturé,
– Moyen de paiement utilisé.
Gestion du parcours de soin des patients,
Suivi des patients,
Orientation des patients vers d’autres professionnels de santé,
Prise en charge des patients.
– Civilité,
– Nom,
– Prénom,
– Date de naissance,
– Date d’utilisation des services,
– Motif du rendez-vous,
– Données médicales,
– Médecin traitant et adressant.
Transmission par les professionnels de santé de documents avec leurs patients. – Nom,
– Prénom,
– Historique des téléconsultations,
– Documents médicaux.
Exercice des droits des patients sur les données à caractère personnel.

Gestion par les professionnels de santé des demandes de droit des patients concernant les données à caractère personnel pour lesquelles les professionnels de santé agissent en tant que responsable de traitement.

– Nom,
– Prénom,
– Email,
– Contenu de la demande.
Gestion des litiges entre professionnels de santé et patients. – Nom,
– Prénom,
– Historique de mise en relation ainsi que toute donnée pertinente.
Fourniture d’une assistance à l’utilisateur. – Nom,
– Prénom,
– Email,
– Contenu de la demande.

Dans de rares cas, Medaviz peut accéder temporairement à des données à caractère personnel de santé afin de résoudre le problème technique remonté, avec autorisation et sous supervision du patient ou du professionnel de santé.

Sous-traitants

Hébergement de données
Amazon Web Services (AWS)

L’infrastructure physique de Medaviz est hébergée au sein des centres de données sécurisées d’Amazon. Medaviz s’appuie sur l’ensemble des fonctionnalités intégrées de sécurité, de confidentialité et de redondance de la plate-forme. AWS est certifié Hébergeur de Données de Santé (HDS) conformément à la loi et aux référentiels établis par l’Agence du Numérique en Santé (ANS), en concertation avec la Commission Nationale de l’Informatique et des Libertés (CNIL).

AWS surveille continuellement ses centres de données et est soumis à des évaluations afin de s’assurer du respect de normes de l’industrie. Les opérations de centre de données d’Amazon ont été accréditées selon : ISO 27001, SOC 1 et SOC 2/SSAE 16/ISAE 3402 (autrefois SAS 70 Type II), PCI niveau 1, FISMA modérée et Sarbanes-Oxley (SOX). Localisation centre de données : France

Analytique
Tableau Aide Medaviz à contrôler et à gérer les performances de ses services.
Localisation centre de données : Union Européenne
Sentry Aide Medaviz à surveiller et à corriger les erreurs en temps réel dans l’application.
Localisation centre de données : USA
Analytics Suite aux restrictions de la CNIL quant à l’utilisation de Google Analytics (février 2022), Medaviz retire l’outil de mesure de performance sur ses applications web et mobile. Par conséquent, aucun cookie de performance et publicitaire ne sont utilisés.
Applicatifs
Stripe Prestataire de service de paiement. Permet de gérer  les paiements en ligne des téléconsultations.
La politique RGPD de ce prestataire comporte des mesures supplémentaires au Privacy Shield fondé sur les EU Standard Contractual Clauses (SCCs, article 46 3 du RGPD). Stripe adopte des mesures complémentaires : Contrôle d’accès physique appliqué à tout système impliquant des données personnelles / Contrôle d’accès virtuel appliqué à tout système impliquant des données personnelles / Gestion et contrôle des droits d’accès logiques aux données personnelles / Contrôle de divulgation pour éviter la lecture, copie, modification ou suppression des données sans autorisation / Contrôle des sources pour auditer la traçabilité des données / Contrôle de disponibilité des données / Contrôle de séparation du traitement des données selon la finalité de la collecte des données personnelles / Chiffrement des données en transit et au repos par défaut. Localisation centre de données : USA
Twilio Services téléphonie, VoIP, vidéo et messagerie pour intégration aux logiciels web et mobiles. Bien que le centre de données de ce sous-traitant soit identifié aux USA, l’ensemble des données est immédiatement supprimé de Twilio pour être sauvegardé dans l’UE (France). Les données sont également chiffrées de bout en bout via le protocole WebRTC pair-à-pair, sans intermédiaire. La politique RGPD de ce prestataire comporte des Binding Corporate Rules (BCR) approuvés par les autorités européennes de protection des données. La loi HIPAA (Health Insurance Portability and Accountability Act) vise à assurer la sécurité et la protection de la confidentialité des données concernant l’accès, l’utilisation et la divulgation des informations de santé protégées.
Communication
Firebase Aide Medaviz à envoyer des notifications pour ses applications.
Localisation centre de données : USA
Sendgrid Aide Medaviz à envoyer des e-mails transactionnels.
Localisation centre de données : USA
Brevo Aide Medaviz à envoyer des e-mails de marketing.
Localisation centre de données : Union Européenne
Support
Zendesk Permet de gérer la relation client.
Localisation centre de données : Union Européenne

Programme de sécurité et de conformité

Personnes
Vérification Tous les employés de Medaviz passent par une vérification approfondie de leur profil avant leur embauche.
Formation Alors que nous ne gardons qu’une quantité minimale de données client et que nous limitons l’accès interne selon la nécessité, tous les employés sont formés à la sécurité et la gestion des données pour faire en sorte qu’ils soient attachés à notre engagement strict de la confidentialité et la sécurité de vos données.
Confidentialité Tous les employés signent un accord de confidentialité avant de commencer à travailler pour Medaviz.
Fiabilité et redondance
Continuité business et récupération après sinistre Nous avons en place un Plan de Continuité d’Activité (PCA) et un Plan de Reprise d’Activité (PRA) après sinistre qui répliquent notre base de données et sauvegardent les données chez plusieurs fournisseurs de cloud pour assurer leur haute disponibilité.
Sécurité active
Traçabilité La plateforme Medaviz est pourvue d’un système de monitoring de code et de performance, en plus des logs d’activité habituels. Des alertes avertissent les équipes en cas d’activité anormale (ex : brute force) ou de dépassement de seuils indiquant une activité non humaine.
Journalisation Des logs d’accès au serveur anonymisés permettent d’historiser l’utilisation de la plateforme, d’identifier un accès frauduleux, une utilisation abusive de données personnelles, ou de déterminer l’origine d’un incident.
Versionnement des entitées sensibles Le versionnement des entités consiste à surveiller et enregistrer les changements de certaines propriétés de la base de données (création, modification et suppression d’une donnée). Ce versionnement vise à se conformer avec l’exigence HDS 4.4.6.10.
Cycle de développement applicatif
Protection de la vie privée À chaque étape de la conception produit Privacy by Design, Medaviz veille au respect de la conformité RGPD en suivant les recommandations CNIL et minimise la collecte des données.
Nouvelles versions Les nouvelles versions de la plate-forme Medaviz sont soigneusement examinées et testées pour garantir une disponibilité élevée et une expérience client exceptionnelle. Les modifications apportées à notre base de code sont tenues d’inclure des tests unitaires, des tests d’intégration et des tests de bout en bout. Les modifications sont exécutées sur notre serveur d’intégration continue, qui nous permet de détecter automatiquement tous les problèmes de développement.
Tests d’assurance qualité Une fois qu’un ensemble de modifications est terminé, il est manuellement revu par un ou plusieurs membres de l’équipe d’ingénierie. L’ensemble de modifications est alors évalué et testé manuellement par notre équipe d’assurance qualité pour tester en profondeur les zones d’impact attendu, de régression et pour continuer à évaluer l’expérience de l’utilisateur.
Contrôle de vulnérabilité
Gestion de terminaux mobiles (GTM) Nous sécurisons les machines et ordinateurs portables de nos employés grâce à la gestion de terminaux mobiles pour nous assurer que chaque appareil est conforme à nos normes de sécurité de l’information, y compris le cryptage et la double authentification.
Prévention des logiciels malveillants Les équipements de nos employés sont protégés par des logiciels anti-malware, et nous exécutons des tests de routine de hameçonnage (phishing) pour éduquer et former nos employés.
Recherche de vulnérabilité Des tests de sécurité interne sont conduits tous les mois, avec comme support la base de données des vulnérabilités php, afin de détecter et corriger de potentielles failles de sécurité (injection sql, attaque csrf, packages vulnérables, etc). En parallèle, des revues de code hebdomadaires sont conduites par les équipes de développement (pair programming), et ont pour but d’améliorer la qualité du code en termes de performance et sécurité.

Certifications et conformité

Certification ISO-27001
La norme ISO-27001 fournit un cadre pour un Système de Management de la Sécurité de l’Information (SMSI) qui permet le maintien de la confidentialité, de l’intégrité et de la disponibilité des informations, ainsi que la conformité légale.

Certificat ISO-27001:2022

Certification Hébergeur de Données de Santé (HDS)
Afin de respecter les dispositions du Code de la santé publique concernant les Données à caractère personnel de Santé, Medaviz est certifié HDS depuis avril 2023. La certification HDS valorise notre niveau de sécurité. Elle s’appuie sur la certification ISO-27001 pour répondre aux enjeux de sécurité des données et est agrémentée d’exigences additionnelles en lien avec le Règlement Général sur la Protection des Données personnelles (RGPD) et le domaine de la santé.

Certificat HDS

This image has an empty alt attribute; its file name is certified-rpgd.png

Respect du RGPD
Nous avons intégré les normes du RGPD dans nos pratiques en matière de données pour faire en sorte que nos clients, qu’ils soient citoyens de l’UE ou des entreprises travaillant avec des clients européens, se sentent en sécurité en utilisant Medaviz.


Ressources

Vous êtes un professionnel de santé
Politique de confidentialité

Vous êtes un patient
Politique de confidentialité
Conditions Générales d’Utilisation

Centre d’aide
Aide professionnel de santé
Aide patient
[email protected]


Nous sommes toujours en cours d’amélioration et toujours disponibles

Si vous pensez avoir trouvé une faille de sécurité, avoir des suggestions qui aideront à protéger la vie privée ou si vous avez des questions pour notre équipe, merci de nous contacter sur [email protected].


Mise à jour : Avril 2023