Politique de protection des données personnelles

La présente politique de protection des données personnelles a pour objet de décrire les principes et mesures mis en œuvre par la société RESAAM afin de garantir un niveau élevé de protection des données à caractère personnel traitées dans le cadre de sa plateforme SaaS de mise en relation entre sociétés d'ambulance, services de régulation (SAMU) et établissements de santé.

RESAAM agit dans le respect du Règlement (UE) 2016/679 relatif à la protection des données (RGPD) et de la loi Informatique et Libertés, et intègre la protection des données dès la conception et par défaut dans le développement et l'exploitation de sa solution.

1. Responsable de traitement et champ d'application

La présente politique s'applique à l'ensemble des traitements de données à caractère personnel réalisés par RESAAM en qualité de responsable de traitement, notamment pour la gestion des comptes utilisateurs, l'administration de la Plateforme, la sécurité et la traçabilité des accès.

Dans le cadre de certaines fonctionnalités, RESAAM peut également intervenir en qualité de sous-traitant pour le compte de ses Clients professionnels, conformément aux contrats conclus avec ces derniers et aux exigences du RGPD.

2. Principes généraux de protection des données

RESAAM s'engage à respecter les principes fondamentaux suivants pour l'ensemble de ses traitements de données personnelles :

• Licéité, loyauté et transparence des traitements
• Limitation des finalités : les données ne sont collectées que pour des objectifs déterminés, explicites et légitimes
• Minimisation des données : seules les données strictement nécessaires aux finalités poursuivies sont traitées
• Exactitude et mise à jour des données
• Limitation de la conservation : les données sont conservées pendant une durée adaptée aux finalités et aux obligations légales
• Intégrité et confidentialité : mise en œuvre de mesures de sécurité appropriées

3. Types de données traitées

Dans le cadre de la Plateforme, RESAAM traite principalement les catégories de données suivantes :

• Données d'identification des utilisateurs professionnels : nom, prénom, e-mail professionnel, numéro de téléphone professionnel, identifiants de connexion
• Données relatives aux courses et interventions d'ambulance : horaires, lieux de prise en charge, destination (établissement de santé), identifiants de course, localisation des ambulanciers et véhicules
• Données techniques et de journalisation : logs de connexion, adresse IP, informations de terminal, traces applicatives nécessaires à la sécurité et à la traçabilité

Les types de données traitées et leurs finalités détaillées sont décrits dans la politique de confidentialité de RESAAM et, le cas échéant, dans les documents contractuels conclus avec les Clients.

4. Finalités des traitements et bases légales

Les données personnelles sont traitées pour des finalités déterminées, telles que :

• Fourniture et gestion de la Plateforme pour les Clients et leurs utilisateurs
• Gestion des comptes et des droits d'accès
• Traçabilité des opérations et sécurisation des accès
• Support utilisateur, maintenance et amélioration continue du service
• Respect des obligations légales et réglementaires applicables

Selon les cas, les traitements reposent sur l'exécution des contrats conclus avec les Clients, le respect d'obligations légales, ou l'intérêt légitime de RESAAM à assurer la sécurité, le bon fonctionnement et le développement de la Plateforme.

5. Mesures de sécurité

RESAAM met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques liés aux traitements de données personnelles, notamment :

• Gestion des habilitations et des droits d'accès selon les profils d'utilisateurs
• Chiffrement des mots de passe et sécurisation des échanges avec la Plateforme
• Journalisation des accès et des actions significatives pour assurer la traçabilité
• Segmentation des environnements et contrôle des accès administrateurs
• Procédures internes pour la gestion des incidents de sécurité et des violations de données

RESAAM sensibilise ses équipes aux enjeux de la protection des données et veille à ce que ses sous-traitants respectent des exigences de sécurité et de confidentialité équivalentes.

6. Hébergement et sous-traitance

Les données traitées dans le cadre de la Plateforme sont hébergées sur des infrastructures Amazon Web Services (AWS) localisées en France. RESAAM sélectionne ses prestataires d'hébergement et techniques en tenant compte de garanties élevées en matière de sécurité et de conformité.

Lorsqu'elle recourt à des sous-traitants, RESAAM formalise contractuellement les obligations de ces derniers en matière de protection des données personnelles (confidentialité, sécurité, assistance pour l'exercice des droits, notification des incidents, etc.).

7. Durées de conservation

RESAAM définit des durées de conservation adaptées à chaque catégorie de données et à chaque finalité, en prenant en compte les exigences légales, réglementaires et opérationnelles.

Les données sont conservées pendant la durée nécessaire à la fourniture du service et à la gestion de la relation contractuelle avec les Clients, puis archivées ou supprimées selon des procédures internes définies. Certaines données peuvent faire l'objet d'une anonymisation irréversible à des fins statistiques.

8. Droits des personnes concernées

Conformément au RGPD, les personnes concernées disposent de droits sur leurs données personnelles, notamment :

• Droit d'accès
• Droit de rectification
• Droit d'effacement, dans les limites prévues par la réglementation
• Droit à la limitation du traitement
• Droit d'opposition, pour des motifs tenant à leur situation particulière lorsque le traitement est fondé sur l'intérêt légitime
• Droit à la portabilité des données, lorsque les conditions légales sont réunies

Les demandes relatives à l'exercice de ces droits peuvent être adressées à RESAAM via les coordonnées de contact indiquées sur la Plateforme ou dans la politique de confidentialité. RESAAM traite ces demandes dans les délais prévus par la réglementation en vigueur.

9. Gestion des violations de données

RESAAM a mis en place des procédures internes de détection, de qualification et de gestion des incidents de sécurité susceptibles d'entraîner une violation de données personnelles.

En cas de violation de données personnelles présentant un risque pour les droits et libertés des personnes concernées, RESAAM s'engage à respecter les obligations de notification auprès de l'autorité de contrôle compétente et, lorsque la réglementation l'exige, à informer les personnes concernées dans les meilleurs délais.

10. Mise à jour de la politique

La présente politique de protection des données personnelles est susceptible d'évoluer afin de tenir compte des changements législatifs et réglementaires, des recommandations des autorités de contrôle, ainsi que des évolutions organisationnelles ou techniques de RESAAM.

Toute mise à jour significative sera portée à la connaissance des Clients et des utilisateurs par tout moyen approprié, notamment via la Plateforme ou la documentation contractuelle.