logo loading
  • Parc Eurasanté Ouest, 70 Rue du Dr Yersin, 59120 Loos, France

Politique de confidentialité de l’application ROMAIN

Version mise à jour le 11 février 2025

AVERTISSEMENT

ROMAIN est un service de géolocalisation de balises GPS développé par iAVC. Le service ROMAIN a pour vocation d’aider les établissements à optimiser l’organisation des transferts inter-hospitaliers et des soins des patients victimes d’un accident vasculaire cérébral (AVC) nécessitant une prise en charge par thrombectomie mécanique.

Il vient en complément et non en substitution de cette organisation habituelle. ROMAIN tend à l’optimiser et à la rendre plus efficiente, à la fois, pour les patients et pour les équipes de professionnels intervenant dans la prise en charge du patient.

DISPOSITIONS GÉNÉRALES 

 PRÉSENTATION DE LA SOCIÉTÉ

Le site www.romain.care et l’application ROMAIN sont édités par la société iAVC, société par actions simplifiée au capital social de 151.515,00 €, immatriculée au Registre du Commerce et des Sociétés de Lille Métropole sous le numéro 948 898 028, dont le siège social est situé à Loos (59120), Parc Eurasanté Ouest, 70 rue du Docteur Yersin. 

 DÉFINITIONS 

Pour les besoins des présentes Conditions Générales d’Utilisation (CGU), certains termes sont définis comme suit : 

Application:  L’application ROMAIN, en version web et/ou mobile, éditée et exploitée par la Société pour permettre à un Utilisateur d’accéder aux Services ROMAIN. 

CGU ou Conditions Générales d’Utilisation : Les conditions générales d’utilisation des Services par l’Utilisateur. 

Donnée(s) : Toute Donnée à caractère personnel, y compris les Données de santé, traitées dans le cadre de l’utilisation des Services.

Donnée(s) à caractère personnel : Toute information se rapportant à une personne physique, identifiée ou identifiable, et traitée dans le cadre de l’utilisation des Services.

Donnée(s) de santé : Toute information permettant de connaître l’état de santé ou se rapportant à l’état de santé d’une personne physique, identifiée ou identifiable, et traitée dans le cadre de l’utilisation des Services.

Établissement Partenaire : Établissement de santé, disposant d’une unité de neuroradiologie interventionnelle (NRI), ayant contractualisé avec la Société pour la mise en œuvre des Services.

Lois sur la Protection des Données: les lois françaises et, plus spécifiquement, (i) l’Article L. 1111-8 du Code de la Santé Publique issu de la loi n° 2002-303 du 4 Mars 2002 et modifié par le Décret 2018-137 du 26 février 2018 qui contient des dispositions protégeant les individus dont les données personnelles sont traitées, parmi lesquelles se trouvent des exigences relatives à la sécurité et la circulation de ces données personnelles ; (ii) la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dans son dernier état de modification ; (iii) le Règlement sur la Protection des Données Personnelles (UE) 2016/679.

NRI : Unité de NeuroRadiologie Interventionnelle réalisant la thrombectomie mécanique.

Plateforme : Plateforme numérique accessible via le Site Internet et l’Application pour l’utilisation des Services.

Utilisateur Professionnel de Santé: Tout professionnel de santé au sens du Code de la santé publique qui, disposant d’un compte personnel d’accès aux Services, participe directement à la prise en charge de patients et est réputé accepter sans réserve les présentes CGU.

UNV : Unité Neuro-Vasculaire organisée au sein d’un établissement de santé spécialisé dans la prise en charge des accidents vasculaires cérébraux et disposant d’une expertise neurologique sur site ou ayant accès à cette expertise en ayant recours à une télé-expertise via une solution de télémédecine.

Serveur(s) : Toute infrastructure informatique qui, connectée au réseau Internet, permet d’héberger le Site www.romain.care et l’Application ROMAIN ainsi que les données récoltées dans le cadre de l’utilisation des Services.

Service(s) : Tout service proposé par iAVC via le Site Internet et/ou l’Application ROMAIN tel que défini dans les CGU à l’Article 2. Description des Services.

Site Internet: Le Site www.romain.care édité et exploité par la société iAVC pour permettre l’accès aux Services. 

Société : La société iAVC qui édite et exploite le Site Internet et l’Application ROMAIN pour fournir les Services aux Utilisateurs. 

RESPONSABILITÉS

Le responsable du traitement est, au sens de la Loi sur la Protection des Données, la personne morale qui détermine les moyens et les finalités du traitement, c’est-à-dire : l’Établissement de santé Partenaire. Le sous-traitant est l’acteur traitant des données à caractère personnel pour le compte du responsable du traitement, c’est-à dire : la société iAVC et son sous-traitant ultérieur hébergeur de la Plateforme ROMAIN. 

Les données de l’Utilisateur, y compris la géolocalisation activée lors de l’utilisation des Services ROMAIN, sont traitées sur la base du consentement express ainsi que du contrat de travail le liant à l’Établissement de santé Partenaire souscrivant aux Services iAVC. Pour exécuter sa mission à l’appui des Services ROMAIN, l’Utilisateur peut autoriser l’Application à activer la géolocalisation de son terminal ainsi qu’à y transmettre des notifications. Si la géolocalisation est refusée, l’Utilisateur peut n’utiliser qu’une partie des Services : il peut savoir quand le patient arrive, sans savoir quand l’Application lui conseille de partir de son lieu de situation pour arriver de manière synchronisée avec le patient. Si la notification automatique est refusée, l’Utilisateur doit surveiller en temps réel les données fournies sur l’Application ou le site internet.

Les autres données personnelles sont collectées sur la base de la mission d’intérêt public du responsable de traitement.

L’Utilisateur reconnaît avoir pris connaissance des présentes CGU et de ses implications relatives aux traitements des Données. L’Utilisateur reconnaît en acceptant les présentes CGU, avoir pris connaissance de la Politique de confidentialité et en accepter les termes.

L’Établissement de santé Partenaire souscrivant aux Services iAVC se porte fort de cette connaissance et acceptation de chaque Utilisateur.

NATURE DES DONNÉES COLLECTÉES

Données à caractère personnel 

Données à caractère personnel de l’Utilisateur

Pour mettre en œuvre les Services, la création d’un compte Utilisateur est indispensable. Celle-ci intervient de deux façons complémentaires :

L’établissement de rattachement de l’Utilisateur a demandé la création de son compte Utilisateur et transmet à iAVC l’ensemble des données à caractère le concernant nécessaires à la validation de ce compte.

L’Utilisateur adresse lui-même à iAVC sa demande de création de compte. L’Utilisateur sera amené à communiquer lui-même à l’administrateur de la plateforme des données personnelles le concernant afin que son compte puisse être créé.

Les données nécessaires pour créer un compte Utilisateur sont notamment :

  • Les nom et prénom professionnels de l’Utilisateur, nécessaires pour l’accès aux Services et pour l’identitovigilance ;
  • Son numéro RPPS (Répertoire Partagé des Professionnels de santé) pour l’identitovigilance ;
  • Son numéro de téléphone pour permettre un contact par voie téléphonique ;
  • Son adresse de messagerie électronique professionnelle nécessaire à toute communication d’ordre administrative ;
  • L’identité de l’Établissement Partenaire de santé au sein duquel il exerce et utilise les Services.

Ces données sont les données minimales devant être transmises à iAVC pour permettre la création du compte Utilisateur et rendre accessible les Services proposés sur le site www.romain.care.

Pour utiliser le Service, l’Utilisateur peut également être amené à renseigner :

  • Sa spécialité et sa fonction au sein de son Établissement de santé ;
  • Ses horaires et jours d’astreinte.

Le traitement de ces données est basé sur le RGPD, article 6 1 a et b) (contrat de travail, incluant la qualité de vie au travail) et 6-1.e) (intérêt public d’optimiser la prise en charge du patient en urgence vitale).

Données à caractère personnel du patient

Le traitement des Données à caractère personnel du patient ne revêt pas de caractère obligatoire pour le fonctionnement des Services. Il est toutefois possible de recueillir certaines Données à caractère personnel concernant le patient. Dans cette hypothèse, les Données à caractère personnel qui peuvent être renseignées sont :

  • Ses nom et prénom ;
  • Sa date de naissance.

Il est rappelé que, compte tenu de son état de santé en urgence vital, le patient n’est pas en capacité de consentir au traitement de ses Données lorsque celles-ci sont collectées. Il appartient à l’Utilisateur Professionnel de Santé d’informer le patient de ce traitement de données dès que son état de santé est stabilisé et qu’il est en capacité de recevoir cette information et de la comprendre.

Dès lors que le traitement de ces Données à caractère personnel n’est pas strictement nécessaire pour l’utilisation des Services, l’Utilisateur reconnaît et accepte qu’il endosse seul la responsabilité du choix de collecter les Données à caractère personnel du patient et de ses conséquences.

Données de santé

Données de santé de l’Utilisateur

Aucune Donnée de santé de l’Utilisateur n’est récoltée à l’occasion de l’utilisation des Services.

Données de santé du patient

Il est rappelé que les Services ont pour finalité de géolocaliser une balise GPS dans le cadre du transfert inter-hospitalier d’un patient victime d’un AVC nécessitant une thrombectomie mécanique. Tout renseignement des Données à caractère personnel d’un patient au sein de la Plateforme permet donc de déduire que celui-ci est victime d’un tel événement médical. Dès lors, tout traitement des Données à caractère personnel d’un patient implique un traitement de ses Données de santé.

En outre, lors de l’utilisation des Services, des Données à caractère personnel et des Données de santé du patient peuvent être retranscrites par des Utilisateurs sur la Plateforme sous format numérique. Cette retranscription intervient au sein d’un champ libre et il appartient à chaque Utilisateur de juger du caractère strictement nécessaire des Données ainsi renseignées.

Seuls les Utilisateurs appartenant à une équipe participant à la prise en charge du patient accèdent à ces Données de santé. Pour rappel, cet accès est soumis à la stricte nécessité de consulter ces informations dans le cadre de la prise en charge du patient. Ainsi, aux côtés de la Société iAVC, chaque Utilisateur est responsable de la sécurité et de la confidentialité des Données de santé.

Si un Utilisateur exporte des Données dans un autre système d’information, ou s’il utilise un dispositif ou outil non autorisé par iAVC pour traiter lesdites Données, la responsabilité d’iAVC ne peut pas être engagée de quelque manière que ce soit.

Sans préjudice de l’article 3.5 alinéa 4 des CGU, iAVC s’interdit tout accès aux Données personnelles et aux Données de santé des patients.

Le traitement de ces Données est basé sur le RGPD, Article 9, 2.h, et la loi « Informatique et Libertés », Article 44. 1. 

Pour rappel, compte tenu de son état de santé, le patient n’est pas en capacité de consentir au traitement de ses Données de santé lorsque celles-ci sont collectées. Il appartient à l’Utilisateur Professionnel de Santé d’informer le patient du traitement de ses données dès que son état de santé est stabilisé et qu’il est en capacité de recevoir cette information et de la comprendre.

FINALITÉ DES DONNÉES À CARACTÈRE PERSONNEL COLLECTÉES 

Les Données à caractère personnel collectées via iAVC visent à mettre en œuvre les Services. Ces Données sont nécessaires au bon fonctionnement des Services et sont utilisées uniquement pour : 

  • Transmettre à l’Utilisateur les informations nécessaires à l’organisation, la préparation et la réalisation de l’intervention de thrombectomie mécanique au bénéfice du patient ;
  • Notifier l’Utilisateur Professionnel de Santé de l’arrivée d’un nouveau patient ;
  • Notifier l’Utilisateur Professionnel de Santé du moment opportun de son départ en direction de l’Établissement de santé ;
  • Envoyer à l’Utilisateur des courriels (email) administratifs ;
  • Traiter les demandes reçues par le Service Client de la Société iAVC ;
  • À des fins de suivi et d’analyse de l’activité de l’Utilisateur, notamment sur la qualité des Services prestés et leurs durée d’exécution. Cette analyse permet d’améliorer la gestion et l’organisation des Services ainsi que le suivi de la satisfaction des Utilisateurs.

Sans préjudice de l’accès aux Données rendu légitime par l’exécution des contrats de sous-traitance souscrits par la Société, aucune Donnée à caractère personnel n’est transférée à un tiers non autorisé.

En tout état de cause, la Société ne cède pour quelque raison que ce soit, de Donnée(s) personnelle(s) ou de Donnée(s) de santé à caractère personnel qui demeurent sous la responsabilité de l’Établissement de santé qui accueille le patient. 

STOCKAGE DES DONNÉES COLLECTÉES 

Les Données récoltées sont stockées sur des Serveurs sécurisés et certifiés par les autorités compétentes.

Il s’agit en l’occurrence de :

  • la société OVH SAS, dont le siège social est situé 2 Rue Kellermann à ROUBAIX (59100), certifiée hébergeur de données de santé (HDS).

INFORMATION SUR LE RECOURS À DES SOUS-TRAITANTS

L’Utilisateur reconnaît et accepte que ses Données à caractère personnel sont susceptibles d’être confiées à un sous-traitant au sens de la Loi « Informatique et Libertés » dans le cadre de l’exécution des Services.

Au jour de la dernière mise à jour des CGU, les sous-traitants auxquels les Données à caractère personnel des Utilisateurs sont susceptibles d’être confiées sont les suivants :

  • OVH SAS, Société domiciliée en France, pour le stockage des Données ;
  • Google Inc, Société domiciliée aux États-Unis d’Amérique (USA), pour le recours aux API Google Maps activées dans le cadre du calcul des temps de trajet des Utilisateurs et patients. Il est précisé qu’aucun nom, prénom ou adresse de messagerie électronique, ne sont transmis à Google Inc. ;
  • Twilio Ireland Limited, Société domiciliée en Irlande, pour la transmission des notifications vocales. Il est précisé qu’aucune Données à caractère personnel ne sont transmises à cette Société ;
  • Gurtam UAB, Société domiciliée en Lituanie, pour la fourniture du service Flespi, permettant de conserver une sauvegarde des trajets réalisés par les balises GPS. Il est précisé qu’aucune Données à caractère personnel ne sont transmises à cette Société ;

L’Utilisateur est informé qu’il a la possibilité de se procurer la liste complète et à jour des sous-traitants de la Société iAVC en adressant une demande par courrier électronique à l’adresse dpo@iavc.fr.

DURÉE DE CONSERVATION DES DONNÉES 

Les Données stockées sont conservées sur les Serveurs pour les durées suivantes :

Données concernéesDurée de conservation minimale
Données de santé des patients20 ans à compter de leur prise en charge
Données de santé des Utilisateurs20 ans à compter de la dernière utilisation des Services lors de la prise en charge d’un patient 

Cette durée se justifie par la possibilité pour le patient d’engager des actions judiciaires en l’encontre de l’Établissement de santé, de l’Utilisateur et/ou de la Société iAVC, chacun devant être en mesure d’exercer leurs droits de défense.

La Société se porte toutefois garante de l’application du principe de proportionnalité et de minimisation du traitement des données en anonymisant de manière absolue toute Donnée n’ayant pas la finalité citée précédemment mais devant être conservée pour des raisons de cohérence de lecture des Données de l’Utilisateur. 

ACCÈS AUX INFORMATIONS 

En adhérant au service proposé par la Société iAVC, chaque Utilisateur ayant accès aux Données de santé des patients s’engage à garantir la confidentialité et le respect du secret professionnel auquel il est soumis.

En son sein, la Société iAVC interdit tout accès aux Données personnelles de l’Utilisateur et Données de santé des patients, à l’exception de l’administrateur de la Plateforme qui est tenu d’une obligation de confidentialité.

L’administrateur de la Plateforme a la charge de gérer des événements rendant difficile, voire impossible l’utilisation des Services proposés par la Société et de leur maintenance.

La Société s’engage à ne transmettre ces Données personnelles et Données de santé à aucun autre tiers non autorisé.

DROIT DE L’UTILISATEUR SUR LES DONNÉES

Conformément aux Lois sur la Protection des Données, et dans le respect des restrictions légales relatives à la conservation des Données de santé, l’Utilisateur bénéficie d’un droit d’accès, de rectification, d’opposition, d’effacement, de suppression de ses données personnelles, ainsi qu’un droit à la limitation du traitement de ses données et à leurs portabilités. Il peut, s’il estime que ses droits ne sont pas respectés saisir la CNIL ou toute autorité judiciaire.

Pour exercer ces droits, l’Utilisateur peut, en mentionnant son identité (nom, prénom, adresse email et photocopie de sa pièce d’identité) : 

  • soit adresser un courrier postal à l’adresse suivante : iAVC, 350 rue Eugène Avinée, 59120, Loos
  • ou par courriel à l’adresse suivante : dpo@iavc.fr