Politique de confidentialité
1. Responsable du traitement
Le responsable du traitement des données à caractère personnel collectées via le « Portail de déclaration des sites » (ci-après « le Portail ») est :
MADP ASSURANCES (Mutuelle d'Assurance Des Professionnels), société d'assurance mutuelle à cotisations variables régie par le Code des assurances (art. L.322-26-1 et s.), dont le siège social est situé 44 avenue George V, 75008 Paris (SIREN 784 394 371).
2. Délégué à la protection des données (DPO) / Contact
Pour toute question relative à la présente politique ou au traitement de vos données, vous pouvez contacter :
- Par voie électronique : support@madp.pro (objet : « Protection des données »)
- Par voie postale : MADP Assurances — Protection des données, 44 avenue George V, 75008 Paris
- *[À CONFIRMER : coordonnées d'un délégué à la protection des données (DPO), si MADP en a désigné un — email dédié.]*
3. À qui s'adresse le Portail
Le Portail est un outil professionnel (B2B) destiné aux courtiers partenaires de MADP Assurances et aux gestionnaires des laboratoires concernés. Il permet aux courtiers de déclarer les données des sites des laboratoires médicaux (personnes morales) qu'ils gèrent, aux fins d'instruction et de souscription d'assurance.
4. Finalités et bases légales du traitement
| Finalité | Base légale (RGPD art. 6) |
|---|---|
| Gestion des comptes utilisateurs, authentification et accès au Portail | Exécution du contrat (art. 6.1.b) liant le courtier partenaire à MADP Assurances |
| Collecte et traitement des données déclaratives des sites de laboratoires aux fins d'appréciation et de tarification du risque assurantiel (souscription) | Intérêt légitime (art. 6.1.f) de MADP Assurances à apprécier et tarifer le risque assuré |
| Sécurité du Portail, journalisation et traçabilité des opérations (audit) | Intérêt légitime (art. 6.1.f) à garantir la sécurité du service |
| Respect des obligations légales et réglementaires (notamment assurantielles et de conservation) | Obligation légale (art. 6.1.c) |
[À VALIDER par le juriste] — Le périmètre exact de chaque base légale doit être confirmé par le juriste. Le traitement fondé sur l'intérêt légitime fait l'objet d'un test de mise en balance documenté.
5. Catégories de données traitées
- Données de compte utilisateur : adresse électronique professionnelle, identité de l'utilisateur, rôle (administrateur, opérateur, courtier, laboratoire, site), données de connexion.
- Données d'organisation (courtiers et laboratoires — personnes morales) : raison sociale, SIREN / SIRET, FINESS.
- Données des sites : adresse postale du site, chiffre d'affaires, dates d'entrée et de sortie.
- Données techniques : journaux d'activité et d'audit (traçabilité des opérations à des fins de sécurité).
Aucune donnée de santé à caractère personnel d'un patient n'est collectée ni traitée par le Portail. Le dépôt de telles données est formellement prohibé (voir § 11).
6. Destinataires des données
Les données sont destinées :
- aux services habilités de MADP Assurances (personnel administrateur et opérateur), dans la limite de leurs attributions et selon une gestion stricte des habilitations ;
- le cas échéant, aux courtiers et gestionnaires concernés, pour les seules données relevant de leur périmètre ;
- aux sous-traitants mentionnés au § 7, agissant sur instructions et pour le compte du responsable du traitement.
Les données ne font l'objet d'aucune cession ni location à des tiers à des fins commerciales.
7. Sous-traitants et transferts hors de l'Union européenne
Le responsable du traitement recourt aux sous-traitants suivants, encadrés par un contrat conforme à l'article 28 du RGPD :
| Sous-traitant | Rôle | Localisation | Transfert hors-UE |
|---|---|---|---|
| Hetzner Online GmbH | Hébergement et stockage des données | Union européenne (Allemagne — Nuremberg) | Non |
| Resend (Resend, Inc.) | Acheminement des courriers électroniques transactionnels (invitations, réinitialisation de mot de passe) | États-Unis | Oui — encadré (voir ci-dessous) |
Transferts hors-UE. Les seuls transferts hors de l'Union européenne concernent l'acheminement d'emails transactionnels par Resend (États-Unis). Ce transfert est encadré par la décision d'adéquation de la Commission européenne du 10 juillet 2023 relative à l'EU-U.S. Data Privacy Framework (DPF), Resend étant certifié au titre de ce cadre. [À VALIDER par le juriste] — Des clauses contractuelles types (CCT) de la Commission européenne sont prévues à titre de garantie de repli.
Liste à jour des sous-traitants de Resend : https://resend.com/legal/subprocessors
8. Durées de conservation
Les données sont conservées pour la durée strictement nécessaire aux finalités poursuivies, puis archivées ou supprimées :
| Catégorie | Durée de conservation |
|---|---|
| Données de compte utilisateur | Pendant la durée de la relation ; suppression ou anonymisation à la clôture du compte ou après une période d'inactivité de 3 ans sans connexion |
| Données déclaratives des sites | Pendant la durée de la relation contractuelle, puis archivage intermédiaire jusqu'à l'expiration des prescriptions applicables : de 2 ans (prescription biennale en assurance, art. L.114-1 du Code des assurances) à 5 ans (prescription de droit commun, art. 2224 du Code civil) selon la nature d'un contentieux éventuel. [À VALIDER par le juriste] |
| Journaux d'audit / de connexion | De 6 mois à 1 an (conformément à la recommandation de la CNIL), pouvant aller jusqu'à 3 ans en cas de besoin justifié |
| Données de prospection (le cas échéant) | 3 ans à compter du dernier contact |
[À VALIDER] — La durée applicable aux données de sites (2 ans / 5 ans) doit être arrêtée et documentée au registre des traitements.
9. Sécurité
Conformément à l'article 32 du RGPD, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées, notamment : chiffrement des échanges (HTTPS/TLS), hachage des mots de passe, cookie d'authentification sécurisé (httponly, samesite=strict), contrôle d'accès par rôle (RBAC), journalisation des opérations et minimisation des données figurant dans les journaux.
La politique de mots de passe respecte la recommandation de la CNIL (délibération n°2022-100 du 21 juillet 2022).
10. Vos droits
Conformément au RGPD (articles 15 à 22) et à la loi n°78-17 modifiée, vous disposez des droits suivants sur vos données :
- droit d'accès (art. 15) ;
- droit de rectification (art. 16) ;
- droit à l'effacement (art. 17) ;
- droit à la limitation du traitement (art. 18) ;
- droit à la portabilité (art. 20), pour les données traitées sur la base du contrat ou du consentement ;
- droit d'opposition (art. 21), notamment lorsque le traitement est fondé sur l'intérêt légitime ;
- droit de définir des directives relatives au sort de vos données après votre décès (loi n°78-17, art. 85).
Modalités d'exercice. Vous pouvez exercer ces droits en écrivant à support@madp.pro (ou à l'adresse postale indiquée au § 2), en justifiant de votre identité si nécessaire. Le responsable du traitement répond dans un délai d'un mois à compter de la réception de la demande ; ce délai peut être prolongé de deux mois pour les demandes complexes ou nombreuses, auquel cas vous en serez informé dans le mois.
11. Absence de données de santé — règle d'usage
Le Portail traite exclusivement des données organisationnelles et financières relatives aux laboratoires en tant qu'entreprises (raison sociale, SIREN/SIRET, FINESS, adresse, chiffre d'affaires) et des données d'identité professionnelle des utilisateurs. Il ne constitue pas un environnement d'hébergement de données de santé (au sens de l'article L.1111-8 du Code de la santé publique).
Il est formellement interdit de saisir, importer ou stocker dans le Portail toute donnée de santé à caractère personnel d'un patient (résultats d'analyses, identité de patients, pathologies, etc.). Tout manquement engage la responsabilité de son auteur.
12. Cookies
Le Portail utilise un unique cookie strictement nécessaire à son fonctionnement : un cookie d'authentification permettant de maintenir votre session après connexion.
Ce cookie étant strictement nécessaire à la fourniture du service que vous demandez expressément (votre connexion), il est exempté de consentement au sens de l'article 82 de la loi n°78-17 et des lignes directrices de la CNIL. Aucun bandeau de consentement n'est donc affiché.
Le Portail n'utilise aucun traceur publicitaire, ni cookie de mesure d'audience tierce, ni outil de profilage.
13. Réclamation auprès de la CNIL
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
CNIL 3 place de Fontenoy — TSA 80715 75334 Paris Cedex 07 Téléphone : 01 53 73 22 22 Site web : https://www.cnil.fr
*Dernière mise à jour : [À COMPLÉTER : date de mise en ligne].*