Politique de confidentialité de l'application Primary

Dernière mise à jour : avril 2025

Article 1 - Préambule

Primary prend la protection des données personnelles des patients à cœur. Primary s’engage à gérer les informations qu’elle collecte sur vous de façon sécurisée et responsable, dans le respect du Règlement Général sur la Protection des Données (RGPD).

La présente politique de confidentialité décrit les modalités de collecte, d’utilisation, de conservation et de protection des données personnelles des utilisateurs de l’application mobile Primary, mise à disposition des patients des cabinets médicaux membres du réseau Primary.

Le RGPD s'inscrit dans la continuité de la loi française n°78-17 du 6 janvier 1978 ("loi informatique et libertés") et est applicable depuis le 25 mai 2018. Le RGPD encadre l’utilisation des Données Personnelles par les organismes publics et privés, dont Primary.

Les données à caractère personnel (y compris de santé) des patients qui utilisent les services de Primary sont hébergées en France par un hébergeur d’infrastructure physique et infogéreur certifié et autorisé à stocker des données de santé (Hébergeur de Données de Santé).

Article 2 - Cadre général

Définitions

Donnée personnelle : toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, etc.

Donnée de santé : toute donnée relative à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, révélant des informations sur son état de santé.

Traitement de données personnelles : toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, etc.).

Responsable du traitement : la personne physique ou morale qui détermine les finalités et les moyens du traitement des données personnelles.

Sous-traitant : la personne physique ou morale qui traite des données personnelles pour le compte du responsable du traitement.

1. Rôle de Primary

Conformément au RGPD, il existe deux principaux rôles et Primary peut avoir l’un ou l’autre rôle :

le Responsable du traitement est la personne qui détermine les raisons et la façon dont vos Données personnelles sont traitées ;
Le Sous-traitant est la personne traitant des Données personnelles pour le compte du Responsable du traitement. Il agit sous l’autorité du Responsable du traitement et sur instruction de celui-ci.

Primary peut avoir l’un ou l’autre rôle. Primary est le Responsable du traitement quand elle agit pour son compte et décide pour quelles raisons elle utilise vos Données personnelles, par exemple lorsque vous créez un Compte Utilisateur. Au contraire, le Professionnel de santé est le Responsable du traitement quand il décide pour quelles raisons il utilise vos Données personnelles, par exemple quand il utilise Primary pour échanger avec vous sur la messagerie ou transmettre le compte rendu de consultation. Dans ce cas, Primary agit comme Sous-traitant, pour le compte du Professionnel de Santé.

Qu’elle agisse comme Responsable de traitement ou comme Sous-traitant, Primary prend les mesures propres à assurer la protection et la confidentialité des Données personnelles qu’elle détient ou qu’elle traite dans le respect des dispositions du RGPD.

2. Données collectées

Les données collectées peuvent être soit directement recueillies auprès de vous, soit partagées par vos professionnels santé dans le cadre du rôle de sous-traitant.

Lors de votre utilisation de l’application, nous collectons les catégories de données suivantes :

Données d’identification :

Nom
Prénom
Date de naissance
Sexe
Numéro de téléphone
Adresse email
Date de consultation

Données de santé :

Motif de consultation
Historique de consultations
Symptômes
Comptes rendus de consultation
Documents médicaux (ordonnances, comptes rendus médicaux, etc.)
Echanges de messagerie avec le patient

3. Finalités du traitement

Les données personnelles sont collectées pour les finalités suivantes :

Mise à disposition et bon fonctionnement de l’application
Accès aux informations médicales par les patients et leurs professionnels de santé
Communication avec votre équipe médicale
Suivi médical et personnalisation du parcours de soins
Respect des obligations légales et réglementaires applicables aux données de santé

4. Base légale du traitement

Le traitement de vos données personnelles repose sur :

Exécution d’un contrat : pour la fourniture des services proposés par l’application ;
Obligation légale : pour le respect des obligations légales en matière de conservation des données de santé ;
Intérêt légitime : pour l’amélioration de nos services et la communication avec les utilisateurs ;
Consentement : Primary recueille le consentement explicite des utilisateurs lors de leur inscription à l’application pour le traitement des données personnelles collectées directement via l’application. Concernant les données transmises par les médecins dans le cadre de la prise en charge médicale, le RGPD prévoit des exceptions au recueil du consentement. En effet, les professionnels de santé n'ont pas l'obligation d'obtenir le consentement des patients pour traiter leurs données de santé lorsque ce traitement est nécessaire aux diagnostics médicaux et à leur prise en charge sanitaire ou sociale.

5. Destinataires des données

Vos données sont uniquement accessibles :

À vous-même
Aux professionnels de santé du cabinet médical que vous consultez
Aux équipes autorisées de Primary (dans la stricte limite de leurs missions techniques et support)

Elles ne sont jamais cédées ni vendues à des tiers.

6. Hébergement des données

Les données sont hébergées en France, chez Clever Cloud, prestataire certifié Hébergeur de Données de Santé (HDS), conformément à la loi et aux normes établies par l'ANS ("Agence du Numérique en Santé"), en concertation avec la CNIL ("Commission nationale de l'informatique et des libertés"). Cette certification agréée par l'État requiert des mesures de sécurité avancées pour protéger les centres d’hébergement de données de santé, garantissant la confidentialité desdites données. Pour plus d’informations sur le label “HDS”, consultez https://esante.gouv.fr/produits-services/hds.

7. Durée de conservation

Données d’identification : 3 ans après la dernière activité
Données de santé : selon les obligations légales applicables (généralement 20 ans à compter de la dernière consultation)

Article 3 - Primary en tant que responsable de traitement

Dans cette section, Primary présente les principaux traitements pour lesquels elle agit comme Responsable de traitement, c’est-à-dire quand elle décide des raisons et de la façon dont vos Données personnelles sont utilisées.

Traitement 1

Finalité : Mise à disposition et bon fonctionnement de l’application

Données : Nom, prénom, date de naissance, sexe, numéro de téléphone, adresse email, date de consultation

Base légale : consentement

Durée de conservation : 3 ans après la dernière activité

Article 4 - Primary en tant que sous traitant du professionnel de santé

Dans cette section, Primary présente les principaux traitements pour lesquels le Professionnel de santé décide des raisons et de la façon dont vos Données personnelles sont utilisées. Dans ce cas, Primary agit comme Sous-traitant, pour le compte du Professionnel de santé.

Traitement 1

Finalité : Accès aux informations médicales par les patients et leurs professionnels de santé

Données : Motif de consultation, historique de consultations, symptômes, comptes rendus de consultation, documents médicaux (ordonnances, comptes rendus médicaux, etc.), échanges de messagerie avec le patient

Traitement 2

Finalité : Communication avec votre équipe médicale

Traitement 3

Finalité : Suivi médical et personnalisation du parcours de soins

Traitement 4

Finalité : Respect des obligations légales et réglementaires applicables aux données de santé

Article 5 - Vos droits

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants concernant vos données personnelles :

Droit d’accès : obtenir la confirmation que vos données sont traitées et accéder à ces données ;
Droit de rectification : demander la correction de données inexactes ou incomplètes ;
Droit à l’effacement : demander la suppression de vos données dans certaines conditions ;
Droit à la limitation du traitement : demander la suspension du traitement de vos données dans certains cas ;
Droit d’opposition : vous opposer au traitement de vos données pour des raisons tenant à votre situation particulière ;
Droit à la portabilité : recevoir vos données dans un format structuré et couramment utilisé, et les transmettre à un autre responsable de traitement.

Pour exercer ces droits, vous pouvez contacter notre DPO à l’adresse suivante : dpo@helloprimary.care ou par courrier postal à l’adresse du siège de Primary.

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL (Commission Nationale de l’Informatique et des Libertés) : https://www.cnil.fr

Article 6 - Sécurité des données

Primary met en œuvre des mesures de sécurité techniques et organisationnelles conformes aux standards du secteur pour protéger vos données, notamment des mécanismes de chiffrement, d’authentification et de journalisation.

Article 7 - Mise à jour de la politique

Nous pouvons être amenés à mettre à jour la présente politique. En cas de modification substantielle, vous serez informé directement via l’application.