← Retour

Politique de protection des données

Version 1.0 du 10/04/2026

Tous les termes relatifs à la protection des données personnelles utilisées doivent être interprétés conformément à la règlementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 abrogeant la directive 95/46/CE (ci-après le « Règlement Européen » ou « RGPD ») et à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dite « loi informatique et libertés ».

Préambule

La société MESURONS, société par actions simplifiée au capital de 108/300 euros, sise 9 BOULEVARD de Dixmude 75017 Paris et immatriculée au RCS de Paris sous le numéro 979 044 021, a pour activité d'édition de logiciels et la fabrication de dispositifs médicaux connectés.

L'ensemble des activités de MESURONS implique une gestion de données, identifiantes et non identifiantes, entrantes et sortantes, quantitativement et qualitativement parlant.

Dans un environnement en mutation constante et face à une accélération sensible du traitement des données liées aux nouvelles technologies qui rendent possible la collecte et l'exploitation d'une masse de données importante, les enjeux autour de la donnée sont multiples. D'une ressource simplement technique, à une ressource stratégique, les données sont pour elle, un véritable actif et un outil de performance.

Maîtriser la gestion de données, de leur collecte initiale à leur exploitation finale, en améliorer l'exploitation et en garantir la conformité tels sont les objectifs de MESURONS afin de garantir à toutes les personnes dont elle gère les données, confiance dans sa gestion des données, en toute transparence et sécurité.

La démarche RGPD, au-delà des contraintes techniques et/ou juridiques qu'il impose, représente pour MESURONS une excellente opportunité de développer la culture data et la gouvernance des données qui va avec.

Soucieux de construire sa conformité de manière efficace et opérationnelle, MESURONS s'est engagé dans une démarche d'accountability afin de maîtriser ses processus et diffuser une conformité pérenne car convaincue, que la conformité s'obtient bien plus efficacement lorsqu'elle est partagée par tous. MESURONS a donc à cœur d'embarquer dans la maîtrise des processus de conformité, l'ensemble de ses équipes formés aux enjeux de la protection de la donnée personnelle et en particulier, des données gérées par un éditeur de logiciels et de dispositifs médicaux connectés.

Cette politique de protection des données décrit en toute transparence l'ensemble des actions et engagements pris par MESURONS afin d'assurer son éthique et sa conformité pour la gestion des données à caractère personnel qu'il traite en veillant à placer au cœur de ses valeurs l'intégrité, la fiabilité, la confidentialité et la sécurité.

Pour toute question, n'hésitez pas à contacter le DPO : dpo@mesurons.com

Définitions

Au sens des dispositions du présent article, il convient d'entendre par :

RGPD : acronyme du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du Traitement des Données à caractère personnel et à la libre circulation de ces Données.

Règlementation applicable : ensemble de réglementation relative à la protection des Données à caractère personnel et applicable aux Traitements de Données à caractère personnel, à l'instar du Règlement européen n°2016/679 relatif à la protection des Données à caractère personnel (RGPD), de la Loi informatique et libertés modifiée, et de toute autre réglementation qui y serait relative.

Données à caractère personnel : toute information se rapportant à une Personne concernée notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, un numéro de carte d'identité, un salaire, des dossiers de santé, des informations de compte bancaire, des habitudes de conduite ou de consommation, des Données de localisation, un identifiant en ligne, etc. Le terme « Données à caractère personnel » inclut les Données à caractère personnel sensibles.

Traitement : toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des Données à caractère personnel telle que la collecte, l'accès, l'enregistrement, la copie, le transfert, la conservation, le stockage, le croisement, la modification, la structuration, la mise à disposition, la communication, l'enregistrement, la destruction, que ce soit de manière automatique, semi-automatique ou autre. Cette liste n'étant pas exhaustive.

Personne concernée : personne physique sur lequel porte les Données à caractère personnel et qui peut être identifié ou identifiable, directement ou indirectement, grâce à ses Données à caractère personnel. Cela inclut les clients, prospects, et collaborateurs anciens et actuels.

Responsable de Traitement : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens d'un Traitement de Données à caractère personnel.

Sous-traitant : toute personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des Données à caractère personnel au nom du Responsable de Traitement et selon ses instructions (par exemple, des prestataires ou fournisseurs).

Sous-traitant ultérieur : toute personne physique ou morale, l'autorité publique, le service ou un autre organisme recruté par le sous-traitant initial pour mener des activités de traitement spécifiques (pour le compte du responsable du traitement).

Autorité de contrôle : autorité publique indépendante instituée par un Etat membre en vertu de l'article 51 du RGPD, chargée de surveiller l'application du RGPD, afin de protéger les libertés et droits fondamentaux des personnes physiques à l'égard du Traitement et de faciliter le libre flux des Données à caractère personnel au sein de l'Union européenne.

Violation de Données à caractère personnel : violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles Données.

1 - Gouvernance & Accountability

MESURONS est convaincu de l'opportunité de se saisir des enjeux de la protection des données personnelles afin de développer une véritable culture data et la gouvernance qui va avec. Il a, dès lors, intégré la protection des données personnelles au cœur de son fonctionnement et s'est engagé dans une démarche de qualité et de conformité de sa gestion de données dont chaque membre du personnel, est un acteur clé.

MESURONS systématise la formalisation de ses procédures internes afin de documenter sa conformité et insiste sur la sensibilisation et la formation des personnes impliqués dans la gestion des données personnelles œuvrant pour son compte.

2 – Politique de protection des données personnelles

MESURONS a fait le choix de rendre compte de l'ensemble des conditions et modalités de mise en œuvre des caractéristiques des traitements qu'elle met en œuvre dans un document unique et accessible à tous, « La Politique de protection des données personnelles ». Ce document en ligne sur son site internet (accessible à l'adresse suivante : www.mesurons.com et facilement accessible en cliquant sur le lien dédié, retranscrit l'ensemble des engagements que MESURONS partage pour une meilleure transparence et une meilleure maîtrise des données par les personnes concernées par les traitements qu'elle met en œuvre.

Toute nouvelle version fait l'objet d'une mise à jour et est portée à l'information des personnes concernées.

Concernant la gestion de son personnel, un document plus spécifique permet de décliner la politique générale pour les traitements RH.

3 - Formation du personnel

La démarche RGPD, au-delà des contraintes techniques et/ou juridiques qu'il impose, représente pour MESURONS une opportunité de développer la culture data et la gouvernance des données qui va avec.

Ses collaborateurs sont régulièrement informés et/ou formés concernant les évolutions législatives ou jurisprudentielles en matière de protection des Données à caractère personnel ainsi que des mises à jour des règles internes applicables. Tout nouveau collaborateur suit une sensibilisation/formation appropriée eu égard à ses missions et à son niveau de connaissance et peut demander à tout moment à consolider son niveau d'information.

4 - Délégué à la protection des données

MESURONS conscient de la sensibilité des données dont il est le gestionnaire dans le secteur de la santé, a procédé à la désignation de son DPO auprès de la CNIL. Sa désignation est effective à la date du 09/04/2026 sous le n° DPO-172472.

Le DPO a plusieurs missions au sein de MESURONS :

• Informer et sensibiliser aux règles à respecter en matière de protection des données à caractère personnel ;
• Veiller au respect de la législation applicable ainsi qu'aux engagements à la conformité de MESURONS ;
• Conseiller les responsables et les gestionnaires sur l'application concrète des principes de conformité ;
• Informer et responsabiliser, voire alerter si besoin, le représentant légal des risques que les initiatives des opérationnels ou le non-respect de ses recommandations font courir ;
• Établir si une analyse d'impact sur la vie privée doit être réalisée et conseiller le représentant légal dans la réalisation de l'AIPD ;
• Assister les métiers en cas de violation de données personnelles pour évaluer le risque de la violation et agir en point de contact en cas de notification à l'autorité de contrôle compétente et/ou les personnes concernées ;
• Analyser, investiguer, auditer et contrôler le degré de conformité de MESURONS et accompagner les gestionnaires dans la définition et la mise en œuvre d'un plan de remédiation le cas échéant ;
• Établir et maintenir une documentation au titre de l'« accountability » ;
• Garantir la gestion adéquate des droits des Personnes concernées telle que définie dans la procédure afférente ;
• Présenter un rapport annuel ;
• Interagir avec l'autorité de contrôle.

Le DPO est saisi :

• de toute difficulté rencontrée intéressant un traitement de données personnelles
• de tout nouveau traitement de données
• de toute question portant sur la manière dont MESURONS traite les données des personnes concernées.

La voie privilégiée pour saisir le DPO est l'envoi d'un courriel à dpo@mesurons.com

Compte tenu du secteur de la santé dans lequel MESURONS développe ses activités, MESURONS est accompagné par un médecin conseil l'aidant à superviser la gestion des données de santé et le contrôle de ses activités et engagements dans le respect des règles de déontologie et du secret médical.

5 - Registre des traitements

Au-delà de son obligation d'établir un registre des traitements, MESURONS a saisi l'opportunité de cette obligation afin d'utiliser ce document comme un véritable outil de pilotage de sa conformité. Recensant l'ensemble des traitements qu'il met en œuvre, la description des caractéristiques de chacun des traitements permet de s'assurer de l'état de la conformité sur chacune des obligations.

Chaque traitement mis en œuvre limite la collecte des données personnelles au strict nécessaire (minimisation des données) et s'accompagne d'une description sur :

• le responsable du traitement et les objectifs du recueil de ces données (finalités) ;
• la base juridique du traitement de données ;
• le caractère obligatoire ou facultatif du recueil des données pour la gestion de la demande et le rappel des catégories de données traitées ;
• la source des données ;
• les catégories de personnes concernées ;
• les destinataires des données ;
• la durée de conservation des données ;
• les mesures de sécurité (description générale) ;
• l'existence éventuelle de transferts de données hors de l'Union européenne ou de prises de décision automatisées ;
• les droits Informatique et Libertés des personnes concernées et la façon de les exercer auprès de la CNIL.

6 – Responsabilités

Dans le cadre de ses activités, MESURONS met en œuvre un certain nombre de traitements de données à caractère personnel pour son compte d'une part en tant que responsable de traitement, et, d'autre part, pour le compte de tiers, client des services qu'il propose et donneur d'ordre, en tant que sous-traitant.

Compte tenu de ses activités, MESURONS procède à une analyse contextuelle réalisée traitement par traitement, c'est-à-dire pour chacun des traitements ayant vocation à intervenir dans le cadre de ses activités.

Ainsi, selon les cas, mais dans tous les cas, MESURONS organise et documente sa conformité.

➔ Lorsqu'il agit pour son compte, en tant que responsable de traitement qui détermine les finalités et les moyens d'un traitement, c'est à dire l'objectif et la façon de le réaliser, MESURONS veille au respect de l'ensemble de ses obligations découlant du droit applicable en matière de protection des données à caractère personnel.

➔ Lorsqu'il agit pour le compte de ses clients, MESURONS traite en tant que sous-traitant au sens de l'article 28 du RGPD, des données à caractère personnel pour le compte du responsable du traitement aux seules fins de réalisation du service et pour la durée du contrat et ce conformément aux détails des opérations de traitement objet de la sous-traitance. Dans ce cadre, MESURONS ne fait que suivre les instructions du responsable de traitement et n'utilise pas les données pour son propre compte sauf s'il y est expressément et préalablement autorisé par le responsable de traitement et sous réserve que l'utilisation qu'il souhaite en faire reste compatible avec la finalité pour laquelle les données ont été initialement collectées. En tout état de cause, le responsable de traitement et MESURONS concluent un contrat de sous-traitance leur permettant d'une part, d'organiser leurs rapports et leurs obligations respectives au regard de la protection des données personnelles et, d'autre part, d'intégrer l'ensemble des mentions listées à l'article 28.3 du RGPD, en les adaptant à leur situation, et de mettre en œuvre les obligations ainsi définies.

Pour toute demande de précisions sur les conditions de mise en oeuvre spécifique des traitements qui vous concernent, vous pouvez faire votre demande à l'adresse suivante : dpo@mesurons.com.

7 – Catégories de publics concernés et activités de traitements

Dans le cadre des traitements de données à caractère personnel mis en œuvre par MESURONS, les catégories suivantes de publics sont concernées et pour chacun, un certain nombre de traitements impliquant la collecte et le traitement des catégories de données.

De manière plus spécifique, MESURONS traite les données de 5 publics distincts et opère, selon son statut, soit en tant que responsable de traitement soit sous-traitant, pour chacun d'eux plusieurs types de traitements impliquant la gestion de données à caractère personnel. Les principaux publics peuvent être récapitulés de la manière suivante :

• D'une part, en tant que responsable de traitement :
  • Salariés et parmi eux toute personne rattachée par un contrat de travail, d'apprentissage ou de stage ;
  • Clients et personnes qui lui sont associées
  • Partenaires, Fournisseurs, Sous-traitants ;
  • Visiteurs du site internet
• D'autre part, en tant que sous-traitant :
  • Gestion des données liées à l'activité de ses clients, responsables de traitement et des personnes qui leur sont associées.

Pour la mise en œuvre de ces traitements, et ce, conformément à la législation applicable, MESURONS s'engage à respecter les exigences de conformité telles qu'établies ci-après lors de la collecte et du traitement de données à caractère personnel et ce pendant toute la durée de vie des données impliquées.

Pour toute demande de précisions sur les conditions de mise en oeuvre spécifique des traitements qui vous concernent, vous pouvez faire votre demande à l'adresse suivante : dpo@mesurons.com.

8 - Licéité des traitements

En tout état de cause, MESURONS s'assure systématiquement en amont de la mise en œuvre de tout nouveau projet mettant en œuvre un nouveau traitement de données à caractère personnel de rattacher le projet de traitement de données à l'une des bases juridiques autorisées. Sans base légale, il ne pourra pas être mis en œuvre.

Pour ce faire, MESURONS a mis en œuvre les mesures suivantes :

• Documenter les bases légales des traitements existants
• Faire apparaître le fondement de ses traitements dans toutes ses mentions d'information à destination des personnes concernées par le traitement de leurs données.

En tout état de cause, MESURONS est en capacité de démontrer que tout traitement repose sur une base légale reconnue par la législation applicable telles que, lorsque cela est applicable :

• La personne concernée a donné son consentement au traitement de ses données personnelles pour une ou plusieurs finalités spécifiques (sous réserve du respect des exigences supplémentaires détaillées à la section "Consentement") ; À noter : Lorsque le traitement est fondé sur le consentement de la personne concernée, MESURONS s'assure que ce consentement a été obtenu légalement, sur la base d'une information donnée sous une forme intelligible et facilement accessible, dans un langage clair et simple, et veille sur la durée à en conserver sa validité. Lorsque les modalités de traitement changent ou évoluent, MESURONS requiert un nouveau consentement. Lorsque la personne concernée souhaite retirer son consentement, MESURONS met à disposition un moyen de retirer le consentement et s'assure de la prise en compte par ses outils et services. Une fois le consentement révoqué, MESURONS ne peut plus se fonder sur le consentement comme base légale.
• Le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou pour prendre les mesures appropriées à la demande de la personne concernée avant de conclure un contrat ;
• Le traitement est nécessaire au respect des obligations légales auxquelles MESURONS est soumis ;
• Le traitement est nécessaire aux fins d'intérêts légitimes poursuivis par MESURONS ;
• Le traitement est nécessaire afin de protéger les intérêts vitaux de la personne concernée ;
• Le traitement est nécessaire pour l'exécution d'une mission d'intérêt public.

Concernant ses traitements, MESURONS est le plus souvent fondé à agir sur les bases légales suivantes :

• Consentement
• Obligation légale
• Exécution d'un contrat

MESURONS ne recourt pas en principe, à l'intérêt légitime. Lorsque, malgré tout, un traitement est fondé sur cette base légale, MESURONS procède à une analyse pour déterminer si cet intérêt légitime prime ou non sur les intérêts ou les droits et libertés fondamentaux des personnes concernées. Cette évaluation et ses résultats sont documentés et consignés à des fins probatoires (accountability).

Pour toute demande de précisions sur les conditions de mise en oeuvre spécifique des traitements qui vous concernent, vous pouvez faire votre demande à l'adresse suivante : dpo@mesurons.com.

9 - Transparence - Information des personnes concernées

MESURONS est soucieux de garantir auprès des personnes concernées la transparence pour une meilleure maîtrise de leurs données et garantir un contrat de confiance attendu et souhaité compte tenu de la nature des données qu'il est amené à traiter ou auxquelles il accède. MESURONS s'assure ainsi que les activités de traitement des données personnelles qu'il gère sont effectuées de manière apparente et transparente.

À cette fin, MESURONS fournit des informations accessibles et intelligibles aux personnes concernées sur la façon dont leurs données personnelles sont utilisées, conformément aux termes et exigences de la procédure de gestion des droits des personnes.

MESURONS utilise notamment le registre des traitements, qui lui permet d'identifier l'ensemble des publics concernés par catégories, et des traitements les concernant, afin d'adapter le contenu de l'information à délivrer et le support le plus adéquat. MESURONS a notamment mis en place un clausier d'informations prévoyant une mention spécifique et adaptée d'une part au public et d'autre part au support concerné.

Dans tous les cas, MESURONS délivre l'information aux personnes concernées, lorsque cette obligation lui incombe :

• au moment du recueil des données en cas de collecte directe ;
• dès que possible en cas de collecte indirecte (notamment lors du premier contact avec la personne) et au plus tard, dans le délai d'un mois (sauf exceptions) ;
• en cas de modification substantielle ou d'événement particulier. Par exemple : nouvelle finalité, nouveaux destinataires, changement dans les modalités d'exercice des droits, violation de données.

Afin d'être claire et compréhensible, MESURONS privilégie une information en deux temps : un premier niveau d'information apposé sur les supports de collecte de données complété par un second niveau d'information renvoyant à la présente Politique de protection des données facilement accessible sur son site internet.

Pour toute demande de précisions sur les conditions de mise en oeuvre spécifique des traitements qui vous concernent, vous pouvez faire votre demande à l'adresse suivante : dpo@mesurons.com.

10 - Finalité des traitements, minimisation et adéquation des données

Pour ce faire, MESURONS a recensé pour chaque traitement mis en œuvre, l'ensemble des données traitées. MESURONS garantit qu'avant toute collecte de données à caractère personnel, est défini de façon claire la ou les finalités poursuivies par la collecte, lesquelles doivent être déterminées, explicites et légitimes. MESURONS s'assure de l'existence d'un lien direct entre les données collectées et les finalités des traitements mis en œuvre pour l'ensemble des traitements afin d'écarter les données qui ne seraient pas nécessaires ou disproportionnées par rapport à la finalité du traitement et sensibilise ses gestionnaires à la minimisation des données à collecter.

Lorsque la finalité ultérieure est incompatible avec la finalité principale, MESURONS s'assure de recueillir le consentement de la personne concernée, conformément aux exigences de la Législation applicable (Article 6 (4) du RGPD).

Pour toute demande de précisions sur les conditions de mise en oeuvre spécifique des traitements qui vous concernent, vous pouvez faire votre demande à l'adresse suivante : dpo@mesurons.com.

11 - Conservation des données

A cet égard, MESURONS s'assure que les données personnelles traitées ne sont pas conservées plus longtemps que nécessaire au regard des finalités pour lesquelles elles sont collectées.

Afin d'assurer le respect de ce principe, MESURONS définit les durées de conservation applicables à chaque traitement. Les éléments suivants sont pris en compte pour la détermination de la durée de conservation de chaque catégorie de données collectées :

• les prescriptions et obligations légales ;
• les recommandations de la CNIL ;
• les bonnes pratiques dans le secteur concerné ;
• les besoins opérationnels dûment justifiés.

MESURONS a notamment mis en place le processus de gestion de conservation suivant :

Les données à caractère personnel peuvent être conservées :

1. Sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées par MESURONS. Une fois la finalité atteinte, les données sont donc supprimées ou le cas échéant, restituées en accord avec les instructions du responsable de traitement.
2. Les données peuvent encore être conservées en vue de respecter des durées légales de prescription, des durées de conservation particulières (conservation des documents comptables et pièces justificatives, archivage des contrats électroniques, etc.), essentiellement à des fins probatoires, ou encore afin d'être en capacité de répondre aux demandes de communication susceptibles d'être adressées par certains tiers légalement habilités (l'administration fiscale, les organismes sociaux, etc.). Ce prolongement est dûment justifié et documenté.
3. Pour des durées plus longues, dans la mesure où les données personnelles seront traitées exclusivement par MESURONS à des fins d'archivage, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées afin de garantir les droits et libertés de la personne concernée, telles que l'anonymisation ou la pseudonymisation.
4. Au terme de cette durée, les données sont supprimées sans délai indu. Cette suppression peut être opérée par destruction des données et/ou anonymisation. En cas de suppression par destruction, MESURONS s'assure que les données sont effectivement détruites des systèmes (et également lorsque les systèmes concernés sont ceux d'un tiers) conformément à un protocole de suppression établi.

Ces durées sont revues et mises à jour autant que nécessaire pour refléter les évolutions de la législation applicable et/ou des pratiques au sein de MESURONS.

Pour toute demande de précisions sur les conditions de mise en oeuvre spécifique des traitements qui vous concernent, vous pouvez faire votre demande à l'adresse suivante : dpo@mesurons.com.

12 - Catégories particulières de données

Compte tenu de ses activités, MESURONS peut être amené à traiter des données relevant de catégories particulières, en particulier des données de santé en tant que sous-traitant. MESURONS est sensibilisé à la particularité de ces données et à leurs conditions d'utilisation spécifique.

Par principe, conformément au droit établi, MESURONS ne recueille pas et n'utilise pas ce type de données, sauf, dans les cas suivants :

• si la personne concernée a donné son consentement exprès (démarche active, explicite et de préférence écrite, qui doit être libre, spécifique, et informée) ;
• si les informations sont manifestement rendues publiques par la personne concernée ;
• si elles sont nécessaires à la sauvegarde de la vie humaine ;
• si leur utilisation est justifiée par l'intérêt public et autorisé par la CNIL ;
• si elles concernent les membres ou adhérents d'une association ou d'une organisation politique, religieuse, philosophique, politique ou syndicale.

Dans le cas où MESURONS traite et collecte des données personnelles dites « sensibles », elle s'assure de les utiliser dans l'un des cas précités. En tout état de cause, MESURONS prend toutes les mesures de sécurité particulières requises pour ces données au regard du risque qu'elles peuvent représenter pour la personne concernée.

Compte tenu du secteur particulièrement sensible dans lequel MESURONS est amené à exercer ses activités, MESURONS veille à se tenir à jour des recommandations des autorités de référence et s'astreint au respect des contraintes de sécurité techniques et organisationnelles afin de garantir l'intégrité et la confidentialité des données particulières traitées.

MESURONS met notamment en place les mesures de sécurité relatives à la protection des données de santé en conformité avec le règlement général sur la protection des données (RGPD) et la politique générale de sécurité des systèmes d'information de santé (PGSSI-S) et veille à utiliser un hébergeur de données de santé agréé ou certifié.

Pour toute demande de précisions sur les conditions de mise en oeuvre spécifique des traitements qui vous concernent, vous pouvez faire votre demande à l'adresse suivante : dpo@mesurons.com.

13 – Analyse d'impact sur la protection des données

A partir de son registre des traitements et de la pré-analyse faite systématiquement pour chacun des traitements mis en œuvre, MESURONS identifie les traitements concernés par l'obligation de la réalisation d'une AIPD.

MESURONS évalue la nécessité de réaliser une AIPD de la manière suivante :

• En premier lieu, en vérifiant que le traitement concerné fait partie de la liste de traitements pour lesquels la CNIL a jugé que l'analyse d'impact était obligatoire ;
• En second lieu, en vérifiant que le traitement concerné remplit au moins deux des neuf critères issus des lignes directrices du G29 (aujourd'hui le Comité Européen de la Protection des Données (CEPD)) fixés dans ses lignes directrices concernant l'AIPD et la manière de déterminer si le traitement est « susceptible d'engendrer un risque élevé » aux fins du règlement (UE) 2016/679 ;
• En dernier lieu, s'il ne s'agit d'aucun des 2 cas précités, en vérifiant que le traitement n'est « pas susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées » à partir de la pré-analyse de risque telle que renseignée dans registre des traitements.

Compte tenu du secteur dans lequel MESURONS exerce ses activités, les traitements mis en œuvre portant sur des données dites particulières qui peuvent concerner des personnes vulnérables selon des procédés intrusifs, peuvent nécessiter la réalisation d'une AIPD. Dans ce cas, en tant que sous-traitant, MESURONS fournit son aide au responsable de traitement et les informations nécessaires à la réalisation de l'AIPD et en conserve la trace écrite.

14 - Privacy by design & by default

Pour ce faire, MESURONS a élaboré une procédure de gestion de projet rigoureuse accompagnée de fiche/projet permettant de démontrer la prise, dès le commencement du traitement, de la protection des données.

A cette fin, tout collaborateur de MESURONS pilotant un projet impliquant la collecte ou l'usage de données personnelles devra suivre les étapes suivantes :

1. Vérifier que les principes de conformité de la présente Politique sont bien respectés.
2. Lister les mesures techniques et organisationnelles existantes et envisagées qui permettent d'assurer la sécurité, l'intégrité et la confidentialité des données à caractère personnel.
3. Réaliser l'évaluation préalable à l'Analyse d'impact sur la vie privée.
4. Réaliser si nécessaire l'Analyse d'impact sur la vie privée.
5. Implémenter les mesures de sécurité adaptées au niveau de risque.

15 - Gestion des demandes d'exercice des droits et réclamations

MESURONS est particulièrement soucieux du respect des droits qui sont accordés aux personnes concernées dans le cadre des traitements de données qu'il met en œuvre, pour garantir des traitements équitables et transparents compte tenu des circonstances particulières et du contexte dans lesquels leurs données personnelles sont traitées :

• Droit à l'information : le droit d'avoir une information claire, précise et complète sur l'utilisation des données personnelles par MESURONS.
• Droit d'accès : A ce titre, la personne concernée a la confirmation que ses données personnelles sont ou ne sont pas traitées et lorsqu'elles le sont, elle dispose du droit de demander une copie de leurs données et des informations concernant : les finalités du traitement, les catégories de données personnelles concernées, les destinataires ou catégories de destinataires, la durée de conservation envisagée, l'existence du droit de demander la rectification ou l'effacement, le droit de s'opposer, le droit d'introduire une réclamation auprès d'une autorité de contrôle, des informations relatives à la source des données, l'existence d'une prise de décision automatisée y compris de profilage. Le droit d'accès s'exerce en outre plus spécifiquement dans les conditions prescrites aux articles R. 1111-1 à R. 1111-7 du code de la santé publique tenant compte des dispositions spécifiques applicables au patient mineur.
• Droit à la rectification des données : Toute personne concernée peut demander à ce que ses données personnelles soient, selon les cas, rectifiées et/ou complétées si elles sont inexactes, incomplètes, équivoques, périmées.
• Droit à l'effacement des données : Toute personne concernée peut demander l'effacement de ses données personnelles dans les cas prévus par la législation et la réglementation. Il est important de préciser que le droit à l'effacement des données n'est pas un droit général et qu'il ne pourra y être fait droit que si un des motifs prévus dans la réglementation applicable est présent.
• Droit à la limitation des traitements de données : Toute personne concernée peut demander la limitation du traitement de ses données personnelles dans les cas prévus par la législation et la réglementation.
• Droit de s'opposer aux traitements de données : Toute personne concernée dispose du droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement de ses données à caractère personnel dont la base juridique est l'intérêt légitime. En cas d'exercice d'un tel droit d'opposition, MESURONS veillera à ne plus traiter ses données à caractère personnel dans le cadre du traitement concerné sauf s'il peut démontrer avoir des motifs légitimes et impérieux pour maintenir ce traitement. Ces motifs devront être supérieurs aux intérêts de la personne concernée intérêts et à ses droits et libertés, ou le traitement devra se justifier pour la constatation, l'exercice ou la défense de droits en justice.
• Droit à la portabilité des données : Toute personne concernée dispose du droit à la portabilité de ses données personnelles. Le droit à la portabilité, créé par le RGPD, permet à toute personne de : recevoir dans un format structuré, couramment utilisé et lisible par machine (ordinateur) les données personnelles la concernant déjà fournies à un responsable de traitement et de faire transmettre directement ces données à un autre responsable de traitement lorsque c'est techniquement possible. Par exemple, son dossier médical créé auprès d'un professionnel de santé. Il ne s'agit pas d'un droit général. En effet, toutes les données de tous les traitements ne sont pas portables et ce droit ne concerne que les traitements automatisés à l'exclusion des traitements manuels ou papiers. Ce droit est limité aux traitements dont la base juridique est le consentement ou l'exécution des mesures précontractuelles ou d'un contrat. Ce droit n'inclut pas ni les données dérivées ni les données inférées, qui sont des données personnelles créées par MESURONS.
• Droit de retirer le consentement : Lorsque les traitements de données mis en œuvre MESURONS en œuvre sont fondés sur le consentement, la personne concernée peut le retirer à n'importe quel moment. MESURONS cessera alors de traiter ses données à caractère personnel sans que les opérations antérieures pour lesquelles elle avait consenti ne soient remises en cause.
• Droit d'introduire un recours : Toute personne concernée a le droit d'introduire une réclamation auprès de la Cnil (3 place de Fontenoy 75007 Paris) sur le territoire français et ce sans préjudice de tout autre recours administratif ou juridictionnel lorsqu'elle estime que ces droits n'ont pas été satisfaits.
• Droit de définir des directives post-mortem : Toute personne concernée dispose a la possibilité de définir des directives particulières relatives à la conservation, à l'effacement et à la communication de ses données personnelles après son décès selon les modalités ci-après définies. Ces directives particulières ne concerneront que les traitements mis en œuvre par MESURONS et seront limitées à ce seul périmètre.

MESURONS est particulièrement soucieux du respect des droits qui sont accordés aux personnes concernées dans le cadre des traitements de données qu'il met en œuvre, et garantir des traitements équitables et transparents. MESURONS s'engage ainsi à garantir, en fonction du fondement légal applicable, l'exercice effectif des droits des personnes concernées.

Toute personne concernée qui souhaite obtenir des informations ou exercer ses droits sur les données la concernant, en justifiant de son identité par tous moyens (sauf si les éléments communiqués dans sa demande permettent de l'identifier de façon certaine), recueillies dans le cadre des activités mises en œuvre par MESURONS, peut le faire en contactant son délégué à la protection des données (DPO) : dpo@mesurons.com

Si elle estime, après nous avoir contactés, que ses droits « Informatique et Libertés » ne sont pas respectés, MESURONS lui précise qu'elle peut adresser une réclamation à la CNIL.

A ce jour, MESURONS consigne les demandes soumises par les personnes concernées en application de leurs droits dans un registre à des fins de preuve de la conformité. La procédure de gestion des droits des personnes susmentionnée définit le contenu et les modalités de tenue de ce registre.

16 - Transfert de données

Sur la base du registre des traitements et du recensement de ses sous-traitants, MESURONS identifie, lorsque les traitements qu'il met en œuvre impliquent un transfert de données le cas échéant.

Dans la mesure du possible, MESURONS veille à ne pas impliquer de transfert de données à caractère personnel en-dehors de l'Union européenne. En tout état de cause, lorsqu'un transfert de données est impliqué, MESURONS s'assure de l'encadrement juridique satisfaisant du transfert de données hors UE en respectant les étapes suivantes :

1. Identifier le niveau de protection du pays concerné
2. Prévoir l'encadrement adéquat : si le pays fait l'objet d'une décision d'adéquation, en s'y référant ; sinon, en prévoyant l'encadrement du transfert par des clauses contractuelles types de la Commission européenne ou un encadrement technique sécurisant le transfert par des mesures techniques et organisationnelles adéquates (chiffrement, mot de passe, etc.)
3. Documenter la conformité des transferts.

MESURONS s'assure aussi de l'encadrement technique en sécurisant le transfert des données par des mesures techniques et organisationnelles adéquates (chiffrement, mot de passe, etc).

Pour toute demande de précisions sur les conditions de mise en oeuvre spécifique des traitements qui vous concernent, vous pouvez faire votre demande à l'adresse suivante : dpo@mesurons.com.

17 - Sous-traitance

Dans le cadre des traitements qu'il met en œuvre, MESURONS a recours à des sous-traitants dans le cadre de la réalisation de ses projets en termes par exemple de développement de logiciels ou fraction de logiciels, recherche, hébergement de données etc.

En tout état de cause, lorsqu'il recourt à la sous-traitance, MESURONS veille à recourir à un prestataire présentant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que les conditions de mise en œuvre des traitements qu'elle opère répondent aux exigences du règlement et garantissent la protection des droits de la personne concernée.

Il veille ainsi à inclure les clauses contractuelles permettant à tout le moins :

• d'une part, d'organiser les rapports responsable de traitement / ordonnateur à sous-traitant et leurs obligations respectives au regard de la protection des données personnelles ;
• d'autre part, d'intégrer l'ensemble des mentions listées à l'article 28.3 du RGPD, en les adaptant à leur situation, et mettre en œuvre les obligations ainsi définies.

L'objectif étant de s'assurer de maîtriser les modalités et conditions d'exécution des traitements de données mis en œuvre par le sous-traitant, le niveau d'instruction au sous-traitant doit être précis : quant à la « propriété » des données, à leur usage, à leurs modalités de collecte et de conservation, d'accès et de transfert, de sécurisation et, enfin, en cas de recours à un prestataire ultérieur, à une autorisation préalable du responsable de traitement.

Dès lors que MESURONS recourt à un tiers prestataire, avant toute contractualisation, il veille à :

1. Evaluer son état de conformité et les garanties qu'il peut apporter et d'en conserver une traçabilité en s'assurant que le sous-traitant garantisse un niveau de gestion des données à caractère personnel satisfaisant sur la base d'une grille d'évaluation de la sous-traitance
2. Encadrer contractuellement la sous-traitance

Pour toute demande de précisions sur les conditions de mise en oeuvre spécifique des traitements qui vous concernent, vous pouvez faire votre demande à l'adresse suivante : dpo@mesurons.com.

18 - Sécurité des données personnelles

MESURONS doit garantir la sécurité et la confidentialité des informations qu'il détient. Il doit en particulier veiller à ce que seules les personnes autorisées aient accès à ces informations.

Pour ce faire, MESURONS s'est engagé à prendre des mesures techniques et organisationnelles dans le but d'assurer la sécurité, la confidentialité et l'intégrité des données personnelles pendant toute la durée des traitements qu'il gère. Sont pris en compte dans la détermination de ces mesures :

• la nature des données et les moyens mis en œuvre ;
• la gravité et la probabilité du préjudice éventuel pouvant résulter de la perte, de l'altération et/ou de l'accès non autorisé aux données ;
• les éléments caractéristiques du traitement concerné ;
• le cas échéant, les résultats de l'analyse d'impact sur la vie privée menée ;
• l'état de l'art ;
• les coûts d'implémentation.

Les mesures de sécurité sont mises en œuvre conformément à :

• la politique de sécurité des systèmes d'information (PSSI) détaillant l'ensemble des mesures de sécurité techniques et organisationnelles mises en œuvre. Cette PSSI est régulièrement revue et mise à jour et,
• à la politique générale de sécurité des systèmes d'information de santé (PGSSI-S) tenant compte du secteur particulier dans lequel MESURONS exerce ses activités

MESURONS veille en outre, sans que cette liste ne soit exhaustive à :

• Mettre en place l'acheminement des données échangées via des canaux de communication chiffrés et assurant l'authentification de la source et du destinataire,
• Mettre en place un dispositif d'authentification fort pour en reconnaître les utilisateurs (professionnels de santé intervenant dans l'acte, patient) et leur donner les accès nécessaires,
• Mettre en place un dispositif de gestion des habilitations des utilisateurs du dispositif des services qu'il propose en particulier, de télémédecine pour limiter les accès aux seules données qui sont strictement nécessaires aux utilisateurs. Des niveaux d'habilitation différenciés et spécifiques sont créés en fonction des besoins des utilisateurs.
• Un dispositif de gestion des traces et des incidents est mis en place.
• Utiliser un hébergeur de données de santé agréé ou certifié.

MESURONS s'engage à réviser de façon régulière les mesures de sécurité afin de tester, d'évaluer et de mesurer leur efficacité et d'entreprendre toute amélioration nécessaire.

MESURONS s'assure également que toute violation de données à caractère personnel est gérée correctement conformément à la Section « Gestion des Violations de Données » de la présente politique.

Ces mesures de sécurité techniques et organisationnelles sont recensées et évaluées dans une documentation dédiée. Pour toute demande de précisions sur les conditions de mise en oeuvre spécifique des traitements qui vous concernent, vous pouvez faire votre demande à l'adresse suivante : dpo@mesurons.com.

19 - Gestion des failles de sécurité

A cet égard, et ce, dans le cadre des mesures que MESURONS met en place pour assurer la sécurité de ses données, MESURONS définit, documente et met en œuvre un processus pour détecter, qualifier et répondre aux violations de données personnelles. Cette procédure est formalisée dans un document intitulé « procédure de gestion des violations de données ».

Cette procédure intègre :

• l'évaluation des risques ou conséquences potentielles de la faille
• la liste de mesures urgentes de sécurité à prendre
• le déclenchement de la cellule de crise
• les investigations & audits sur les causes et parties prenantes de la faille
• les modèles de courrier d'information des partenaires externes institutionnels

Afin de mieux détecter et gérer les violations, MESURONS sensibilise ses gestionnaires à la procédure à suivre en cas de violation avérée ou suspectée.

En outre, MESURONS conformément à ses obligations, documente toute violation des données dans un registre dédié des violations de données personnelles.

20 - Traitement des données à des fins historiques, scientifiques et/ou statistiques

Lorsque MESURONS procède à un traitement de données à caractère personnel à des fins historiques, scientifiques et/ou statistiques, il s'assure de se conformer au cadre de référence applicable.

Dans tous les cas, conformément au principe de minimisation des données, MESURONS s'assure de prendre les garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation voir l'anonymisation des données si ces données identifiantes ne sont pas nécessaires.

21 - Partage/Vente de données personnelles

MESURONS ne revend pas les données personnelles qui sont confiées. MESURONS ne loue pas non plus ces données.

22 – Contribution de données personnelles

Il se peut que dans le cadre des traitements opérés en tant que sous-traitant, MESURONS souhaite réutiliser les données dans l'objectif général de recherche et développement et/ou de l'amélioration de ses services ou de ses produits ou la conception de nouveaux services et produits. MESURONS ne procède à cette réutilisation que dans le respect des conditions et garanties suivantes :

• la réutilisation des données doit être considérée comme compatible avec le traitement initial,
• de l'existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation voir l'anonymisation des données si ces données identifiantes ne sont pas nécessaires,
• le responsable du traitement a donné son accord établi par écrit.

MESURONS devient alors responsable de ce nouveau traitement et s'assure :

• que le responsable du traitement initial a bien informé les personnes concernées de la transmission des données à un nouveau responsable de traitement, pour une nouvelle finalité en indiquant notamment s'il est possible de s'y opposer,
• de la conformité de son traitement à l'ensemble des exigences du RGPD en veillant à ce que celui-ci réponde à une finalité bien définie et repose sur une base légale adaptée à cette finalité, fournir aux personnes concernées, sauf exceptions applicables, les informations sur cette collecte indirecte qui n'auraient pas déjà été délivrées par le responsable du traitement initial, définir une durée de conservation adéquate des données ; ne collecter que les données nécessaires pour répondre à la finalité fixée au départ (minimisation) ; permettre l'exercice des différents droits par les personnes concernées ; ou encore mettre en place toutes les mesures de sécurité nécessaires.

En tout état de cause, dès lors que cela est possible, MESURONS prend toutes les dispositions pour anonymiser les données utilisées de façon à rendre impossible, en pratique, toute identification de la personne par quelque moyen que ce soit et de manière irréversible.

1. Il ne doit pas être possible de relier deux enregistrements distincts concernant un même individu (que les bases de données soient distinctes ou non),
2. Il ne doit pas être possible de déduire, avec un degré de probabilité élevé, de nouvelles informations sur un individu

Selon les besoins, MESURONS peut procéder à :

• La généralisation qui altère la finesse des données en modifiant leur échelle
• La randomisation qui altère la véracité des données pour affaiblir le lien avec l'individu

Pour tout autre traitement, en cas de collecte indirecte de données personnelles, MESURONS s'assure via les contrats des conditions de licéité de la collecte de des données et de leur transmission, de désignation en tant que destinataires des données et d'autre part, procède à une information dans les conditions de l'article 14 du RGPD.

23 - Relations avec l'autorité de contrôle

Dans ses processus, MESURONS a mis en œuvre les mesures suivantes :

• Elaboration et diffusion d'un guide sur la gestion des contrôles CNIL
• Identification des autorités qui pourraient être concernées par un traitement
• Sensibilisation de son personnel aux règles RGPD

24 - Modification du présent document

Nous vous invitons à consulter régulièrement cette politique sur notre site internet. Elle pourra faire l'objet de mises à jour qui seront horodatées.