Politique de vie privée

Curewiki™ et vos données personnelles

1. Objet et présentation du responsable de traitement

La présente Politique Vie Privée (ci-après « la présente ») est établie par la société Curewiki (ci-après « nous/nos » ou « Curewiki ») dont le siège social est situé sis Rue d’Angoussart 79, 1301 Bierges, Belgique, société à constituer qui sera enregistrée à la Banque Carrefour des Entreprises sous le numéro (à déterminer).

Curewiki est une société belge qui a pour objectif, à travers l’utilisation de son site web, de mettre en relation toutes les études cliniques actuellement disponibles avec les patients dont le type de maladie pourrait être compatible avec leurs critères de sélection.

Pour ce faire, Curewiki se fonde sur une coopération mutuelle entre les professionnels de la santé, les scientifiques, les patients et leurs familles et, si possible, les laboratoires et les industriels pharmaceutiques.

L’objet de la présente Politique Vie Privée est d’informer les utilisateurs du site web (www.curewiki.health) (ci-après dénommée « le site web ») de la manière dont leurs données à caractère personnel sont collectées et traitées dans le cadre de nos activités professionnelles.

De manière générale, la présente Politique s’inscrit dans notre souhait d’agir en toute transparence, et ce, dans le respect des dispositions nationales, en ce compris la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, et du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après « le RGPD »).

À la lumière de ces textes, la société Curewiki doit être entendue comme responsable de traitement lorsqu’elle détermine seule, ou en accord avec les organismes de santé, les moyens et les finalités du traitement des données à caractère personnel des patients intéressés.

Dans tous les cas, nous souhaitons insister sur le fait que nous portons une attention particulière à la protection de la vie privée et que nous nous engageons à prendre les précautions raisonnables requises pour protéger les données à caractère personnel récoltées contre la perte, le vol, la divulgation ou l’utilisation non autorisée.

Les « données à caractère personnel » sont définies comme toutes les données à caractère personnel qui concernent l’utilisateur, c’est-à-dire toute information qui permet de l’identifier directement ou indirectement en tant que personne physique.

2. Traitements de données à caractère personnel

Quelle(s) opération(s) sommes-nous amenés à réaliser sur vos données ?

Le RGPD définit le traitement comme toute opération ou ensemble d’opérations, effectuée(s) ou non à l’aide de procédés automatisés, appliquée(s) à des données ou à des ensembles de données à caractère personnel.

Les traitements couvrent toute une série d’actions, telles que notamment :

  • L’enregistrement;
  • L’effacement ou destruction;
  • L’organisation;
  • La conservation;
  • L’utilisation;
  • La collecte;
  • L’adaptation ou modification;
  • La structuration;
  • La consultation;
  • La limitation;
  • La communication par transmission;
  • La diffusion ou autre forme de mise à disposition;
  • Le rapprochement ou interconnexion.

Dans le cadre de l’utilisation de notre site web, il nous est donc possible d’être amenés à traiter des données à caractère personnel selon l’une des opérations susmentionnées.

3. Catégories de données traitées

Quelles catégories de données sommes-nous amenés à traiter?

Nous sommes amenés à traiter à la fois des données à caractère personnel dites “classiques” (point a) et des données de santé (point b). Ces dernières nécessitent une analyse plus détaillée en ce qu’elles impliquent un régime juridique particulier.

a. Catégories “classiques” de données

Notre site web (www.curewiki.health) nous amène à traiter d’un certain nombre de données à caractère personnel.

Les principales données “classiques” que nous collectons sont les suivantes :

  • Données d’identification du patient (et/ou d’un proche du patient) : (nom, prénom, adresse postale, date de naissance, etc);
  • Données d’identification du médecin de référence du patient concerné (nom, prénom, adresse du cabinet, etc);
  • Données téléphoniques et électroniques (adresse e-mail et numéro de téléphone);
  • Toute(s) autre(s) information(s) que l’utilisateur nous donne volontairement.

Dans l’hypothèse où des données à caractère non personnel seraient combinées à des données à caractère personnel, de sorte qu’une identification des personnes concernées serait possible, nous traiterons ces données comme des données à caractère personnel jusqu’à ce que leur rapprochement avec une personne particulière soit rendu impossible.

b. Catégories particulières : données de santé

Outre les données “classiques”, nous traitons également certaines données de santé.

Plus précisément, nous sommes amenés à traiter :

  • Les données relatives à la maladie dont vous souffrez actuellement (diagnostics précédents et actuels, les éventuelles interventions réalisées, etc. );
  • Les données relatives aux éventuels médicaments que vous prenez;
  • Les données relatives à votre état physique général (situation de handicap, grossesse, etc);
  • Les données relatives à votre état psychique général (maladie mentale, troubles du comportement, etc);
  • Toute(s) autre(s) information(s) médicales nécessaire(s) pour établir si vous entrez dans les conditions de l’étude clinique;
  • Toute(s) autre(s) information(s) que vous nous donnez volontairement.

L’article 4.15 du RGPD définit les données concernant la santé comme toutes les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne.

Les données de santé, au regard de leur nature intrinsèque, sont considérées comme des “données particulières” par l’article 9 du RGPD dont le traitement est, en principe, interdit.

Parmi ces données particulières, on retrouve les données qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Le paragraphe 2 de l’article 9 du RGPD aménage malgré tout une série d’exceptions, autorisant le responsable de traitement à traiter ces données particulières dans certaines circonstances légalement définies.

Parmi ces exceptions, le RGPD autorise le traitement de données particulières, en ce compris les données de santé, si la personne concernée y a expressément consenti.

Les traitements de vos données de santé via notre site web entrent dans cette exception en ce que nous ne collectons aucune de vos données de santé sans avoir recueilli votre consentement préalable et explicite.

Votre consentement constitue l’unique base légale, au sens de l’article 6.1 a) du RGPD, sur laquelle nous basons le traitement de vos données de santé. Nous renvoyons ici à ce qui est expliqué au point 6 de la présente Politique.

Dans tous les cas, les données de santé qu’il vous sera demandé de fournir seront traitées de manière limitative, et ce, afin de respecter les principes de limitation des données et de minimisation, repris à l’article 5.1 c) et e) du RGPD.

En effet, les données que nous collectons se limitent aux informations dont les organismes de santé ont strictement besoin pour déterminer si un patient entre ou non dans les critères de sélection de l’étude clinique concernée. Aucune donnée de santé non-nécessaire ne vous sera demandée.

4. Méthodes de collectes

Nous collectons vos données à caractère personnel via les réponses que vous nous fournissez lors de votre inscription sur notre site (méthode de collecte directe).

En effet, afin de vous proposer des études cliniques pertinentes au regard de votre maladie, notre site web vous pose toute une série de questions au sujet de votre état de santé. Ces questions ont pour objectif de déterminer si vous entrez (ou non) dans les critères de sélection des études cliniques dont Curewiki a connaissance.

Vos réponses contiendront nécessairement des données à caractère personnel vous concernant et c’est précisément à travers ces réponses que nous collecterons vos données personnelles.

Il est également possible, dans la limite de votre consentement, que nous soyons amenés à  collecter vos données de santé en nous adressant directement à votre médecin (méthode de collecte indirecte).

Les données collectées indirectement seront uniquement traitées s’il ne nous est pas possible, au regard des informations que vous nous avez transmises directement, d’établir si vous entrez (ou non) dans les critères de sélection d’une étude clinique particulière.

En revanche, la prise de contact avec votre médecin se fait également uniquement sur base de votre consentement explicite.

5. Finalités du traitement

Nous traitons vos données à caractère personnel aux seules fins mentionnées ci-après, à savoir :

  • Assurer l’identification certaine et univoque du patient;
  • L’organisation des inscriptions des patients intéressés;
  • L’interconnexion entre les différents paramètres médicaux d’un patient avec les critères de sélection d’une étude clinique particulière;
  • La détermination de leur admissibilité dans les études cliniques;
  • La mise en relation des patients et instituts pouvant leur offrir des études cliniques pertinentes au regard de la maladie dont ils souffrent;
  • La possibilité de prévenir les patients par e-mail des études existantes.

6. Bases légales du traitement

Pour que le traitement de données à caractère personnel soit légitime, il est nécessaire que celui-ci se fonde sur l’une des 6 bases légales reprises au sein de l’article 6 du RGPD.

Les bases légales sont les suivantes :

  • Votre consentement éclairé pour une ou plusieurs finalité(s) déterminée(s);
  • La nécessité d’exécuter un contrat auquel nous faisons partie avec vous ou l’exécution de mesures précontractuelles prises à votre demande;
  • La nécessité de respecter une obligation légale à laquelle nous sommes soumis;
  • La nécessité de sauvegarder vos intérêts vitaux ou de toute autre personne physique;
  • La nécessité d’exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont nous sommes investi;
  • La nécessité de poursuivre nos intérêts légitimes ou de tout autre tiers, à condition que ces intérêts ne prévalent pas sur vos intérêts ou sur les libertés fondamentales.

Au regard des finalités pour lesquelles nous traitons vos données personnelles, nous traitons vos données personnelles exclusivement sur base de votre consentement. En effet, hormis les informations qui se trouveraient dans l’espace public, votre inscription sur le site web et les informations que vous communiquez nous sont transmises uniquement sur base volontaire.

A tout moment, vous avez le droit de vous désinscrire de la liste des patients intéressés.

7. Durée de rétention des données

Dans le respect du principe de limitation de la conservation, la durée de rétention des données s’étendra strictement pendant la période nécessaire à l’exécution des finalités pour lesquelles le traitement se justifie, pas au-delà. Vos données ne seront en aucun cas conservées pour une durée illimitée.

Nous conservons l’ensemble des données pendant une durée de 15 ans, à compter de la finalisation de votre inscription sur notre site web.

Lorsque des données ne sont plus nécessaires à la réalisation des finalités pour lesquelles leur traitement a été justifié ou si vous retirez votre consentement et qu’aucun autre fondement légal ne peut être prouvé, les données devront nécessairement être détruites afin qu’il soit impossible pour quiconque de remonter jusqu’à votre identité.

8. Destinataires des données

a. Communication à des destinataires interne

Nous ne donnons accès à vos données à caractère personnel uniquement aux personnes internes dont la fonction le nécessite. L’accès à vos données leur est strictement limité. Nous contrôlons régulièrement ces accès et sécurisons les informations communiquées, dans la mesure du possible.

b. Communication à des destinataires tiers

Dans le cadre de nos activités, il est possible que nous soyons amenés à communiquer certaines données à caractère personnel à des « destinataires », ne faisant pas partie de notre organisation interne.

Le RGPD définit les destinataires comme étant les personnes physiques ou morales, l’autorité publique, le service ou autre organisme qui reçoit la communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers.

Curewiki s’engage à ne communiquer à des tiers que des données agrégées et anonymisées, sans le consentement explicite du patient.

Curewiki ne vendra JAMAIS ni ne fournira à quiconque les informations personnelles identifiables sans le consentement exprès et spécifique du patient. Cela ne peut se produire, avec le consentement exprès et spécifique du patient, que dans le cas où nous identifions une correspondance avec une étude clinique pour laquelle le patient a passé les critères d’éligibilité. Dans ce cas, nous en informons le patient et, après avoir reçu son approbation pour cet essai spécifique, nous mettons en contact le patient avec le site d’investigation ou le sponsor de l’étude clinique.

Pour être tout à fait transparent, lorsque les patients s’inscrivent sur Curewiki, ils fournissent des données que Curewiki utilise et partage de manière agrégée et dépersonnalisée avec des partenaires de recherche travaillant sur les traitements et les remèdes de demain. Il s’agit d’un autre moyen, outre la participation aux essais eux-mêmes, par lequel la communauté Curewiki contribue à l’avancée de la recherche scientifique.

En vertu des lois qui s’appliquent à elles et de leurs missions publiques, il est possible que certaines autorités et/ou institutions imposent à Curewiki de leur fournir certaines de vos données à caractère personnel.

Lorsqu’une telle hypothèse se présente, il est donc envisageable que Curewiki soit obligé de transmettre à ces “tiers autorités” vos données à caractère personnel sans vous demander votre consentement préalable. En revanche, Curewiki s’engage à leur transmettre uniquement les données dont ces autorités/institutions ont strictement besoin pour l’exercice de leurs missions, et ce, par application du principe de minimisation.

Dans tous les cas, aucun transfert de données à caractère personnel en dehors de l’Union européenne n’est effectué.

9. Droits au regard du RGPD

Le RGPD prévoit expressément une série de droits dont vous avez l’entière disposition. Nous vous informons, à travers la présente Politique, de la manière dont vous pouvez exercer vos droits. Ceux-ci vous permettent de maintenir une forme de contrôle sur l’utilisation qu’est faite de vos données à caractère personnel.

Ces droits sont au nombre de 7 et peuvent être listés comme suit :

  • Droit d’accès, d’information et de copie des données;
  • Droit de rectification des données;
  • Droit de s’opposer au traitement;
  • Droit à l’effacement (droit à l’oubli);
  • Droit de limitation du traitement;
  • Droit à la portabilité de vos données;
  • Droit de retirer votre consentement.

a. Le droit d’accès, d’information et de copie des données 

Vous avez le droit d’obtenir de notre part la confirmation de la présence d’un traitement de vos données.

Vous avez également le droit d’avoir accès à toute une série d’information : les finalités justifiant le traitement, les catégories de données concernées, les tiers à qui les données vont potentiellement être divulguées, où et combien de temps les données vont être stockées, l’existence des droits de rectification, limitation ou d’opposition, le droit d’introduire une plainte auprès des autorités compétentes, les informations relatives à l’origine des données si celles-ci ne sont pas collectées auprès de vous directement, l’existence d’une prise de décision automatisée et enfin toute information pertinente concernant la logique, la signification et les potentielles conséquences d’un tel traitement sur vous.

Nous devons rendre disponible une copie, électronique ou non, des données en cours de traitement, et ce, gratuitement sur base d’une simple demande de votre part.

Si vous souhaitez disposer de copies supplémentaires, nous pourrons vous demander le paiement d’une charge raisonnable correspondant aux frais administratifs engagés par cette reproduction.

b. Droit de rectification des données

Vous avez le droit de nous informer, sans délai, de votre volonté de rectifier l’exactitude de certaines données vous concernant lorsque vous estimez qu’elles sont inexactes, incomplètes ou obsolètes.

Compte tenu des finalités du traitement, vous avez le droit d’obtenir que vos données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire.

c. Droit de s’opposer au traitement

Lorsque nous traitons vos données sur base d’un de nos intérêts légitimes, vous avez le droit de vous opposer audit traitement de vos données à caractère personnel, et ce, à tout moment ainsi que pour des raisons tenant à votre situation particulière.

Nous devrons alors arrêter le traitement sauf si nous parvenons à prouver que d’autres motifs justifiant la poursuite du traitement viennent outrepasser vos intérêts, droits et libertés ou pour la constatation, l’exercice ou la défense de droits en justice.

De plus, vous avez le droit de vous opposer à tout moment aux communications effectuées à des fins de prospection commerciale.

d. Droit à l’effacement (droit à l’oubli)

Vous avez le droit d’obtenir de notre part, sous certaines conditions, l’effacement des données à caractère personnel vous concernant, et ce, sans délai.

Vous pouvez obtenir l’effacement de vos données à caractère personnel lorsque l’un des motifs suivants s’applique :

  • Les données ne sont plus nécessaires au regard des finalités du traitement;
  • Vous retirez votre consentement quant au traitement de vos données et nous ne basons ce traitement que sur la base juridique de votre consentement;
  • Vous vous opposez au traitement;
  • Nous avons traité vos données à caractère personnel de manière illicite;
  • Les données que nous possédons sont incomplètes, inexactes ou obsolètes;
  • Nous devons effacer vos données à caractère personnel afin de respecter une obligation légale (du droit de l’Union ou du droit de l’État membre) auquel nous sommes soumis.

Si nous avons rendu vos données accessibles à d’autres entités, nous avons l’obligation de prendre toutes les mesures nécessaires pour informer ces entités que vous avez demandé à faire effacer vos données.

e. Droit de limitation du traitement

Vous avez le droit d’obtenir de notre part la limitation/restriction du traitement de vos données à caractère personnel. Ce droit peut s’activer dans différentes hypothèses et peut compléter l’application d’autres droits.

Dans l’hypothèse où la limitation du traitement n’est plus d’application, nous vous en informerons.

f. Droit à la portabilité de vos données

Dans le cas où nous traitons vos données à caractère personnel sur base d’un contrat ou de votre consentement et que le traitement est effectué via des procédés automatisés, vous pouvez nous demander de vous transférer l’ensemble de vos données à caractère personnel ou encore de les transférer à un autre responsable de traitement.

g. Droit de retirer votre consentement

Lorsque le traitement se fonde sur votre consentement, vous avez le droit de le retirer à tout moment. Ce retrait ne compromet toutefois pas la licéité des traitements fondés sur votre consentement que nous avons effectués avant ce retrait.

10. Exercice des droits

Pour exercer vos droits, vous pouvez nous envoyer une demande écrite, datée et signée soit par courrier postal à l’adresse 79 Rue d’Angoussart, 1301 Bierges, soit par e-mail à l’adresse (info@curewiki.health).

Afin de pouvoir vous aider à faire respecter vos droits, nous devons vérifier que votre demande concerne bien vos données à caractère personnel.

Il nous sera susceptible de vous demander des informations supplémentaires dès lors qu’il n’est raisonnablement pas possible de vous identifier avec les informations en notre possession.

En effet, nous avons l’obligation de vous fournir des informations sur les mesures prises à la suite de votre demande, et ce, dans les meilleurs délais et en tout état de cause dans un délai d’un (1) mois à compter de la réception de votre demande.

Au besoin, ce délai pourra être prolongé de deux (2) mois si cela se justifie par la complexité ou le nombre de demandes soumises. Dans cette dernière hypothèse, nous aurons l’obligation de vous informer d’un tel report, et ce, dans le mois à compter de la réception de la demande.

En cas de demande refusée, vous aurez la possibilité d’introduire une réclamation auprès d’une autorité de contrôle ou de former un recours juridictionnel.

11. Sécurité des données

Nous nous engageons à prendre toutes les mesures techniques et organisationnelles appropriées pour assurer au traitement de vos données un niveau de sécurité approprié aux risques qu’elles engendrent. En raison du fait que nous traitons certaines de vos données de santé, nous nous engageons à encadrer le traitement de vos données d’une sécurité accrue.

Nous entreprenons, dans la limite de nos capacités, à mettre tout en œuvre pour éviter qu’elles soient déformées, endommagées ou que des tiers non-autorisés y aient accès.

En raison du fait que nous traitons certaines de vos données de santé, il est possible que nous devions vous demander de nous fournir la preuve de votre identité avant de vous donner accès aux données traitées. L’objectif est de s’assurer qu’aucun tiers non-autorisé puisse avoir accès à vos données sans votre autorisation, et ce, en raison de la sensibilité des informations concernées.

Nous sensibilisons les membres de notre personnel qui ont accès à des données personnelles sur les risques et conséquences d’une fuite des données (ex : « hacking », vol d’ordinateur professionnel, envoi d’une pièce jointe contenant des données d’un autre client…) et de la nécessité de sécuriser leur traitement.

Si ces hypothèses venaient à se réaliser alors que nous avons le contrôle sur vos données, nous nous engageons à agir rapidement afin d’identifier la cause du problème et à prendre les mesures adéquates. Si la loi nous y oblige, nous ferons également en sorte de vous prévenir si un tel incident venait à se réaliser.

12. Contacts

Nous sommes votre premier contact en cas de question concernant cette Politique ou relative à la protection des données.

N’hésitez pas à contacter notre DPO, (nom, prénom), disponible à l’adresse postale (adresse postale) ou par e-mail à l’adresse (e-mail).

13. Réclamations et plaintes

Vous pouvez également introduire une réclamation auprès de l’Autorité de protection des données à l’adresse suivante :

Autorité de Protection des Données
Rue de la Presse, 35
1000 Bruxelles, Belgique
Téléphone + 32 2 274 48 00
Fax + 32 2 274 48 35
contact@apd-gba.be

14. Modification

Nous nous gardons le droit de modifier la présente Politique afin de l’adapter aux nouvelles exigences légales. De telles modifications prendront effet immédiatement après la mise à jour de la présente et seront publiées sur le site web (www.curewiki.health).

15. Droit applicable et juridiction compétente

Cette politique est régie par le droit belge.

Tout litige relatif à l’interprétation ou l’exécution de la présente politique relève de la compétence exclusive des tribunaux de l’arrondissement judiciaire de Nivelles.

Conditions d’utilisation Notice de confidentialitée Politique d’utilisation des cookies