Politique de confidentialité Swily - Protection données santé RGPD/HDS
Dernière mise à jour : 24 juin 2025
1. Présentation
La présente politique de confidentialité décrit la manière dont SWILY (ci-après "nous", "notre" ou "Swily"), société par actions simplifiée au capital de 10.000 euros, immatriculée au RCS de Lille Métropole sous le numéro 941475865, dont le siège social est situé 8 RUE MARCEL BOUDERIEZ, 59000 LILLE, collecte, utilise, stocke et protège vos données personnelles dans le cadre de l'utilisation de notre plateforme Swily.io.
Responsable de traitement
SWILY agit en qualité de responsable de traitement au sens du Règlement Général sur la Protection des Données (RGPD) pour l'ensemble des traitements décrits dans cette politique.
Délégué à la Protection des Données
Contact DPO : contact@swily.io
Adresse : 8 RUE MARCEL BOUDERIEZ, 59000 LILLE
2. Données collectées
2.1 Données d'identification professionnelle
Dans le cadre de votre inscription et utilisation de nos services :
- Données collectées : Nom, prénom, adresse email professionnelle, numéro de téléphone, adresse professionnelle, numéro ADELI, numéro RPPS, spécialité, cabinet de rattachement
- Finalités : Création et gestion du compte professionnel, vérification de l'identité professionnelle, facturation, support client
- Base légale : Exécution du contrat (article 6.1.b du RGPD)
- Durée de conservation : Durée de la relation contractuelle + 3 ans
2.2 Données de santé et dossiers patients (Hébergement HDS)
ATTENTION : Traitement de données de santé à caractère personnel
- Données collectées : Dossiers de soins, prescriptions médicales, constantes vitales, historique médical, photos de traitement, données de suivi thérapeutique
- Finalités : Fourniture des services de dossier patient informatisé, continuité des soins, coordination entre professionnels de santé
- Base légale : Consentement explicite du patient (article 9.2.a du RGPD) Nécessité aux fins de la médecine préventive, de diagnostics médicaux (article 9.2.h du RGPD) Mission d'intérêt public dans le domaine de la santé publique (article 9.2.i du RGPD)
- Hébergement : Données hébergées par un hébergeur certifié HDS (Hébergement de Données de Santé) conformément à l'article L.1111-8 du Code de la santé publique
- Durée de conservation : 20 ans minimum conformément aux obligations légales du Code de la santé publique
2.3 Données de géolocalisation et tournées
- Données collectées : Position géographique lors des tournées, trajets optimisés, historique des déplacements professionnels
- Finalités : Optimisation des tournées, calcul des temps de trajet, amélioration de l'efficacité professionnelle
- Base légale : Consentement (article 6.1.a du RGPD) et intérêt légitime (article 6.1.f du RGPD)
- Durée de conservation : 12 mois maximum
2.4 Données de facturation et administratives
- Données collectées : Actes réalisés, tarifs appliqués, informations de facturation CPAM, données comptables
- Finalités : Génération des feuilles de soins, facturation, comptabilité, obligations fiscales et sociales
- Base légale : Exécution du contrat (article 6.1.b) et obligation légale (article 6.1.c du RGPD)
- Durée de conservation : 10 ans (obligations comptables et fiscales)
2.5 Données techniques et de navigation
- Données collectées : Adresse IP, type de navigateur, système d'exploitation, données de connexion, logs d'activité, cookies techniques
- Finalités : Sécurité des données, prévention des intrusions, maintenance technique, amélioration de l'expérience utilisateur
- Base légale : Intérêt légitime (article 6.1.f du RGPD)
- Durée de conservation : 12 mois maximum
3. Cookies et technologies similaires
3.1 Cookies strictement nécessaires
Ces cookies sont indispensables au fonctionnement du site et ne peuvent être désactivés :
- Cookies de session et d'authentification
- Cookies de sécurité et prévention des fraudes
- Cookies de préférences utilisateur essentielles
3.2 Cookies analytiques (avec consentement)
- Mesure d'audience et statistiques de visite
- Analyse des performances et optimisation
- Tests d'ergonomie et d'utilisation
3.3 Gestion des cookies
Vous pouvez gérer vos préférences via notre bandeau de consentement ou les paramètres de votre navigateur. Le refus des cookies analytiques n'impacte pas l'utilisation de nos services essentiels.
4. Bases légales spécifiques aux données de santé
Conformément à l'article 9 du RGPD, le traitement des données de santé repose sur les bases légales suivantes :
4.1 Consentement explicite (article 9.2.a)
Le patient donne son consentement explicite pour le traitement de ses données de santé via la plateforme Swily.
4.2 Médecine préventive et diagnostics (article 9.2.h)
Traitement nécessaire aux fins de la médecine préventive, de diagnostics médicaux, de la prise en charge sanitaire et sociale, ou de la gestion des systèmes de soins de santé.
4.3 Intérêt public en santé (article 9.2.i)
Traitement nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique.
5. Destinataires et transferts
5.1 Destinataires internes
- Équipes techniques et de développement (accès restreint et chiffré)
- Service client et support (selon le principe de minimisation)
- Direction et services administratifs (données pseudonymisées)
5.2 Sous-traitants certifiés
Tous nos sous-traitants sont soumis à des obligations contractuelles strictes (DPA - Data Processing Agreement) :
Hébergement de données de santé
- Hébergeur principal : Clever Cloud
- Certification : HDS (Hébergement de Données de Santé) - Version 2.0 actualisée depuis le 16 mai 2024
- Activités certifiées : Ensemble des 6 activités de la norme HDS
- Localisation : Union Européenne exclusivement (France)
- Garanties : Chiffrement AES-256, accès tracé, audit de sécurité annuel, certifications ISO 27001:2022 et ISO 9001:2015
Services techniques
- Services de sauvegarde (certifiés HDS)
- Monitoring et supervision (accès pseudonymisé)
- Services de communication (données chiffrées)
5.3 Organismes officiels
- CPAM et organismes de sécurité sociale (transmission des feuilles de soins)
- Autorités de santé compétentes (dans le cadre légal)
- Autorités judiciaires (en cas de réquisition)
5.4 Transferts hors UE
Principe : Aucun transfert de données de santé hors Union Européenne. Pour les données non sensibles, tout transfert est encadré par :
- Décisions d'adéquation de la Commission européenne
- Clauses contractuelles types (SCC)
- Certifications appropriées
6. Sécurité et protection des données
6.1 Mesures techniques de sécurité
- Chiffrement : AES-256 pour les données au repos, TLS 1.3 pour les données en transit
- Authentification : Multi-facteurs obligatoire pour les comptes professionnels
- Accès : Contrôle d'accès basé sur les rôles (RBAC)
- Surveillance : Monitoring 24h/24 et 7j/7 avec alertes automatiques
- Sauvegarde : Sauvegarde chiffrée quotidienne avec tests de restauration
6.2 Mesures organisationnelles
- Formation : Personnel formé régulièrement à la protection des données de santé
- Habilitations : Accès limité selon le principe du moindre privilège
- Audits : Audits de sécurité trimestriels par organisme indépendant
- Procédures : Procédures documentées de gestion des incidents
- Conformité HDS : Respect des exigences de l'hébergement de données de santé
6.3 Gestion des violations de données
En cas de violation de données personnelles :
- Notification à la CNIL dans les 72 heures
- Information des personnes concernées si risque élevé
- Mesures correctives immédiates
- Rapport détaillé et plan d'action
7. Vos droits
7.1 Droits généraux (articles 15 à 22 du RGPD)
- Droit d'accès : Obtenir une copie de vos données personnelles
- Droit de rectification : Corriger les données inexactes ou incomplètes
- Droit à l'effacement : Supprimer vos données sous certaines conditions
- Droit à la limitation : Restreindre certains traitements
- Droit à la portabilité : Récupérer vos données dans un format structuré
- Droit d'opposition : Vous opposer à certains traitements
- Droit de retrait du consentement : Retirer votre consentement à tout moment
7.2 Droits spécifiques aux données de santé
- Accès indirect : Possibilité d'accès via un médecin désigné
- Information sur l'hébergement : Transparence sur les conditions d'hébergement HDS
- Portabilité médicale : Export des dossiers de soins au format CDA ou HL7 FHIR
7.3 Exercice de vos droits
Contact : contact@swily.io Pièces requises : Copie de pièce d'identité + justificatif professionnel Délai de réponse : 1 mois maximum (2 mois si demande complexe) Gratuité : Exercice gratuit de vos droits
8. Données des patients
8.1 Responsabilités partagées
- Vous (professionnel de santé) : Responsable de traitement pour les données patients que vous collectez
- Swily : Sous-traitant technique pour l'hébergement et les fonctionnalités
- Contrat : Relation encadrée par un contrat de sous-traitance (DPA)
8.2 Obligations du professionnel de santé
- Obtenir le consentement éclairé des patients
- Informer les patients sur l'utilisation de la plateforme
- Respecter le secret professionnel et médical
- Assurer la mise à jour des données médicales
8.3 Droits des patients
Les patients peuvent exercer leurs droits :
- Directement auprès du professionnel de santé responsable
- Via notre plateforme pour les aspects techniques : patients@swily.io
9. Conservation des données
9.1 Durées de conservation détaillées
9.2 Suppression sécurisée
À l'expiration des délais, les données sont supprimées de manière sécurisée et irréversible, conformément aux standards de l'industrie et aux exigences HDS.
10. Mineurs
Nos services étant exclusivement destinés aux professionnels de santé majeurs, nous ne collectons pas intentionnellement de données personnelles de mineurs. Si de telles données étaient collectées par erreur, elles seraient immédiatement supprimées.
11. Modifications de la politique
Cette politique peut être modifiée pour refléter les évolutions légales, réglementaires ou de nos services. Toute modification substantielle vous sera notifiée :
- Par email à votre adresse professionnelle
- Via notre plateforme avec acceptation requise
- Publication sur notre site web
12. Réclamations et recours
12.1 Contact direct
Pour toute question ou réclamation : contact@swily.io
12.2 Autorité de contrôle
Vous avez le droit d'introduire une réclamation auprès de la CNIL : Commission Nationale de l'Informatique et des Libertés 3 Place de Fontenoy - TSA 80715 75334 PARIS CEDEX 07 Téléphone : 01 53 73 22 22 Site web : www.cnil.fr
12.3 Médiation
En cas de litige persistant, vous pouvez recourir à la médiation du délégué à la protection des données ou aux services de médiation compétents.
13. Dispositions spéciales santé
13.1 Secret professionnel
Swily s'engage à respecter le secret professionnel médical et à mettre en place toutes les mesures techniques et organisationnelles pour garantir la confidentialité des données de santé.
13.2 Conformité réglementaire santé
- Code de la santé publique : Articles L.1110-4, L.1111-8
- Code de déontologie médicale : Articles R.4127-72 et suivants
- Référentiel HDS : Conformité aux exigences d'hébergement de données de santé
- Doctrine du numérique en santé : Respect des orientations de l'ANS
13.3 Interopérabilité
Nos systèmes respectent les standards d'interopérabilité du secteur de la santé (HL7 FHIR, CDA, DMP) pour faciliter les échanges sécurisés entre professionnels.
14. Contact et informations
Responsable de traitement : SWILY Délégué à la Protection des Données : contact@swily.io Adresse : 8 RUE MARCEL BOUDERIEZ, 59000 LILLE Téléphone : 06.47.59.91.14 Support technique : support@swily.io Questions patients : contact@swily.io
Cette politique de confidentialité est établie en conformité avec le Règlement (UE) 2016/679 (RGPD), la loi n° 78-17 du 6 janvier 1978 modifiée (Informatique et Libertés), le Code de la santé publique et les référentiels de l'Agence du Numérique en Santé (ANS).