Utilisation de vos données personnelles

ACCORD DE TRAITEMENT ET PROTECTION DES DONNÉES
(tel que prévu par l’article 28 du RGPD)

1. Objet du présent accord

Lors de votre utilisation de la solution logicielle JULiA, nous sommes amenés à traiter des données à caractère personnel. Le présent accord a pour objet de vous informer sur les moyens que nous mettons en œuvre pour traiter ces données, dans le respect le plus strict de la réglementation.

💡 En clair Lorsque vous utilisez JULiA pour gérer votre cabinet dentaire, nous avons besoin de traiter certaines données sensibles. Ce document vous explique très simplement comment nous les protégeons.

2. Identité et coordonnées de l’entité qui traite vos données

L’entité qui intervient sur vos données est Julie, dont l’adresse est située au 12, rue de la Maison Rouge, 77185 Lognes, SAS au capital de 6 368 103,00 €, enregistrée sous le numéro 838 336 246 au R.C.S. de Meaux.

Pour toute demande liées aux données personnelles, un délégué à la protection des données (DPO) a été nommé, que vous pouvez le contacter à l’adresse e-mail : dpo@julia.dentist.

Dans le cadre de nos services, les rôles sont strictement définis :

• Le Client (vous : établissement ou professionnel de santé) agit en qualité de Responsable de traitement, qui définit les finalités et les moyens du traitement de données.
• Le Fournisseur (nous : Julie) agit en qualité de Sous-traitant, et opère les traitements définis par le Responsable de traitement.

Le présent contrat définit les instructions de traitement souhaitées par le Client. Toute instruction hors de ce cadre devra être écrite

💡 En clair C’est vous, le professionnel de santé et/ou gestionnaire, qui restez maître et responsable juridique des données et des dossiers de vos patients. Nous ne sommes que votre prestataire technique : nous agissons uniquement sur vos instructions pour faire fonctionner votre logiciel.

3. Nature des données à caractère personnel que nous traitons

Dans le cadre de l’utilisation de JULiA, nous sommes autorisés à traiter les données nécessaires au fonctionnement de votre cabinet, ce qui inclut :

• Des informations relatives à vos patients (données de santé, informations d’identification).
• Des informations relatives aux collaborateurs et associés de la structure du Client.

Une description détaillée des données traitées est disponible en Annexe 1 de ce document.

💡 En clair Nous traitons exclusivement les informations liées à votre activité de soins : principalement les dossiers médicaux de vos patients et les accès de votre équipe.

4. Finalités du traitement et durée de conservation

Ces données sont traitées dans le but de vous fournir le service de gestion des activités du cabinet dentaire. Cela comprend la gestion des dossiers patients, des rendez-vous, l’aide au diagnostic, l’établissement des protocoles de soins, la facturation et la télétransmission, la stérilisation, le pilotage des stocks, ainsi que l’analyse de vos performances.

Nous nous engageons à ne pas accéder aux données de santé hébergées en dehors des stricts besoins de maintenance et uniquement sur vos instructions.

Les données sont hébergées et sauvegardées durant toute la durée de l’abonnement du Client, telle que définie dans les conditions générales de ventes. Au terme de la relation contractuelle, nous nous engageons à vous transmettre les données traitées (cf. Droit à portabilité) sur demande et dans un délai raisonnable des dossiers dans un format standard (par exemple TXT ou XML), puis nous procédons à la suppression définitive de toutes les copies existantes, sauf obligation prévue par la loi nous imposant la conservation des données.

Dans le cas où le Client a autorisé l’accès ou la recopie des données à d’autres professionnels de santé, ces derniers continueront de disposer de leur propre copie des données, sans que le Client puisse solliciter le Fournisseur pour les altérer ou les supprimer.

Une description détaillée des finalités et traitements effectués est disponible en Annexe 1 de ce document.

💡 En clair Vos données servent à une seule chose : soutenir l’exploitation de votre cabinet.. Nous les conservons précieusement tant que vous êtes client chez nous. Si vous décidez de nous quitter, nous vous les restituons puis nous les effaçons sur l’intégralité de nos serveurs

5. Destinataires des données collectées et sous-traitance ultérieure

Pour vous fournir un service complet, nous sous-traitons certains traitements à des fournisseurs de confiance, agissant pour notre compte et sur nos instructions, conformément à l’article 28 du RGPD :

• Synapse (aide à la prescription)
• RESIP (réalisation et émission des Feuilles de Soins Électroniques).
• AWS (hébergement)
• iCanopée (téléservices)
• Orange/iSendPro et AIIMySMS (envoi de SMS).

Une description détaillée de ces Sous-traitants ultérieurs et de leur périmètre de traitement est disponible en Annexe 2 de ce document.

En tant que Client, vous donnez une autorisation générale pour le recours aux Sous-traitants ultérieurs listés en Annexe 2. Nous nous engageons à informer par écrit le Client de tout projet de changement ou d’ajout d’autres sous-traitants ultérieurs, en indiquant les activités de traitement confiées. Le Client disposera d’un délai raisonnable pour formuler une objection motivée à cette modification. À défaut d’objection dans ce délai, le Client est réputé avoir accepté le nouveau sous-traitant.

💡 En clair Pour certaines fonctionnalités (comme envoyer des SMS à vos patients ou héberger vos données), nous nous appuyons sur quelques partenaires technologiques hautement sécurisés et vous informons de toute modification.

6. Cession des données à caractère personnel

Vos données à caractère personnel ne feront jamais l’objet de cessions, locations ou échanges au bénéfice de tiers.

💡 En clair Julie ne vendra et ne louera jamais les données de votre cabinet.

7. Sécurité et Notification de violation

L’accès aux données de santé par le support technique de Julie est, par défaut, désactivé ; il ne peut être activé que sur demande spécifique et temporaire de votre part, et fait l’objet d’un suivi rigoureux via un journal d’audit (logs). La majeure partie des collaborateurs en charge du développement et déploiement des services n’a aussi pas accès aux données.

Nous nous engageons à garantir un niveau de sécurité maximal, notamment par le chiffrement des données de santé au repos et lors de leur transfert. De votre côté, vous vous engagez à utiliser les moyens de sécurité mis à votre disposition, comme la limitation des rôles et l’authentification.

Afin d’assurer un niveau de sécurité maximale nous avons notamment mis en place les mesures organisationnelles et techniques suivantes :

• accès sécurisé et sur authentification au bâtiment , sous alarme et surveillance
• clauses contractuelles et information régulière des collaborateurs
• accès restreints et monitorés des collaborateurs aux outils de travail et systèmes
• gestion des habilitations basée sur le principe du moindre privilège (IAM)
• journalisation des accès et actions sensibles avec conservation sécurisée des logs
• supervision continue des systèmes et détection des incidents de sécurité
• chiffrement des données au repos par l’algorithme symétrique AES-256
• chiffrement des données en transit par le protocole asymétrique RSA-2048

En cas de violation de données (perte, vol, divulgation), nous nous engageons à vous notifier par écrit dans les meilleurs délais sans excéder 48 heures, en précisant autant que la nature des données touchées, le nombre de patients concernés et les mesures de remédiation prises. Cette notification sera accompagnée de toute la documentation nécessaire pour vous permettre de remplir vos obligations de notification auprès de l’autorité de contrôle (CNIL) et, le cas échéant, auprès des personnes concernées, conformément aux articles 33 et 34 du RGPD.

💡 En clair La sécurité de vos données est notre priorité et nous mettons en place les meilleurs standards organisationnels et techniques. Par exemple, notre équipe support n’a pas accès à vos dossiers patients sans votre autorisation temporaire et tracée. Si, malgré nos défenses, un incident informatique se produisait, nous vous alerterions en moins de 48h.

8. Hébergement

Nous vous garantissons que toutes vos données sont hébergées sur des serveurs physiquement situés en France, via notre infrastructure partenaire AWS.

L’hébergement des données de santé est assuré par un prestataire certifié Hébergeur de Données de Santé (HDS), conformément à l’article L.1111-8 du Code de la santé publique.

AWS agit en qualité d’hébergeur certifié HDS pour l’infrastructure.

Julie intervient uniquement sur les couches applicatives et ne réalise pas d’activité d’hébergement au sens de la réglementation HDS.

La conformité HDS de AWS et son certificat peuvent être vérifiées sur https://aws.amazon.com/fr/compliance/hds/

Même si les données sont hébergées en France, si leur traitement implique des transferts vers des pays tiers (ou un accès depuis ces pays) non soumis à une décision d’adéquation de la Commission européenne (notamment pour l’infogérance ou l’accès technique), ces transferts seront encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne. Ces clauses et leur application sont présentées sur https://aws.amazon.com/fr/compliance/eu-data-protection/

Nous avons réalisé une Analyse d’Impact sur le Transfert (TIA) et nous attestons que les mesures techniques et organisationnelles mises en place, notamment le chiffrement des données de santé au repos et lors de leur transfert, visent à prévenir tout accès illégal par des autorités d’un pays tiers, notamment en application du Cloud Act

💡 En clair Les données médicales de vos patients ne quittent pas le territoire français. Elles sont stockées dans des serveurs bénéficiant de la plus haute certification de sécurité exigée par l’État (HDS).

9. Vos droits

Nous opérons les traitements de données décrits pour votre compte.

Les personnes concernées (vos patients) exercent leurs droits auprès de vous, en votre qualité de Responsable de Traitement.  Nous n’interviendront que pour vous assister si besoin pour répondre à ces demandes.

Sauf mention contraire de la Loi Applicable ou de toute autre disposition légale ou réglementation applicable, vous pouvez exercer les droits suivants :

• Droit d’accès : pour savoir quelles données nous traitons à votre sujet et en obtenir une copie ;
• Droit de rectification : pour demander la correction de données inexactes ou incomplètes ;
• Droit à l’effacement : pour demander la suppression de vos données lorsque cela est légalement applicable  ;
• Droit à la limitation du traitement : pour restreindre l’utilisation de vos données dans certains cas (lorsque le traitement est illicite, pendant une période de vérification…)
• Droit d’opposition : pour vous opposer au traitement de vos données fondé sur notre intérêt légitime. Nous pouvons toutefois être amenés à poursuivre le traitement s’il existe des motifs légitimes pour le traitement qui prévalent sur vos droits et libertés ou si le traitement est nécessaire pour constater, exercer ou défendre nos droits en justice. Pour les finalités fondées sur le consentement, l’article 7 du RGPD dispose que vous pouvez retirer votre consentement à tout moment. Ce retrait ne remettra pas en cause la légalité du traitement effectué avant le retrait.
• Droit à la portabilité : ce droit peut être exercé gratuitement, à tout moment, et notamment lors de la fermeture de votre compte, afin de récupérer et de conserver les données à caractère personnel vous concernant, dans les conditions prévues par le RGPD. Dans ce cadre, nous vous adresserons ces données, par tous moyens jugés utiles, dans un format ouvert standard couramment utilisé et lisible par machine, conformément à l’état de l’art.
• Droit à l’assistance : En tant que responsable de traitement, vous devez aussi pouvoir répondre aux demandes de vos patients. Julie s’engage à vous aider à respecter vos obligations vis-à-vis d’eux, notamment pour l’exercice de leurs droits d’accès, de rectification ou de suppression, ainsi que pour la réalisation d’Analyses d’Impact relatives à la Protection des Données (AIPD ou DPIA) et la consultation préalable de l’autorité de contrôle (CNIL), si nécessaire. Pour toute question, vous pouvez contacter notre équipe à l’adresse dpo@julia.dentist.

En tant que responsable de traitement, vous devez aussi pouvoir répondre aux demandes de vos patients. Julie s’engage à vous aider à respecter vos obligations vis-à-vis d’eux, notamment pour l’exercice de leurs droits d’accès, de rectification ou de suppression. Pour toute question, vous pouvez contacter notre équipe à l’adresse dpo@julia.dentist.

💡 En clair Vous avez des droits sur vos données, nous les respectons parfaitement. Le RGPD donne aussi des droits à vos patients. Vous restez le seul interlocuteur de vos patients. Notre équipe est là pour vous aider à répondre facilement à leurs demandes.

10. Audit et réclamation

Afin de vous assurer de notre conformité aux obligations relatives à la protection des données vous disposez d’un droit d’audit tel que défini par le RGPD.

L’intégralité des frais (auditeurs, logistiques, experts internes ou externes) est à votre charge exclusive. Nous vous invitons à nous solliciter au préalable pour passer commande de cet audit.

L’audit ne doit porter que sur les processus et outils liés aux obligations réglementaires de protection des données. Le Client peut effectuer des copies strictement nécessaires à la documentation de l’audit, sous réserve de confidentialité.

Le Fournisseur pourra proposer des éléments de preuve alternatifs (certifications, rapports d’audit tiers, attestations de conformité) afin de limiter la nécessité d’un audit sur site.

L’audit ne doit pas porter atteinte au bon fonctionnement de la solution. Dans le cas contraire, le Client engage sa responsabilité et pourra être amené à indemniser le Fournisseur ou d’éventuels tiers ayant été impactés.

Le rapport d’audit devra être fourni gracieusement à Julie qui disposera alors d’un délai raisonnable pour formuler ses observations sur les conclusions ou recommandations.

Pour toute demande d’audit ou autres demandes relatives à la protection des données, notre délégué reste à votre disposition à l’adresse dpo@julia.dentist. Vous disposez aussi du droit de vous adresser à l’autorité compétente en France : la CNIL (Commission Nationale Informatique et Libertés).

Annexe 1. Données et traitements

Dans le cadre des services proposés par Julie, nous collectons et traitons deux types de données :

• les données qualifiant le cabinet d’entreprise (ou votre entreprise), ses collaborateurs et partenaires
• les données patients bénéficiant des prestations réalisées par le cabinet dentaire

Les principales données susceptibles d’être traitées et leur traitement sont :

1. Données du cabinet dentaire

Données	Types d’information	Finalités
identification du cabinet dentaire / entreprise	dénominations commerciales, inscriptions légales, coordonnées (adresses, téléphone, email…)	pouvoir vous connecter à la solution, gérer vos droits
identification des professionnels de santé / collaborateurs	dénomination, coordonnées (adresses, téléphone, email… , identité professionnelle	pouvoir vous connecter à la solution et respecter les/nos contraintes et obligations de fonctionnement et de sécurité
coordonnées bancaires	informations de compte et services bancaires	pouvoir vous facturer nos services et, le cas échéant, ceux des sous-traitants ou partenaires

2. Données patients      

Données	Types d’information	Finalités
identification des patients	dénomination, coordonnées (adresses, téléphone, email…), attachements familiaux, identité auprès des assurances maladies	pouvoir gérer vos dossiers patients
données médicales	pathologies, prescriptions, affections, habitudes, historique et contexte médicaux, diagnostics et observations relatives à la santé bucco-dentaire	pouvoir établir un diagnostic et faire des propositions de traitements, établir des ordonnances
traitements	traitements et soins réalisés ou prévus	préparer, réaliser et historiser les traitements bucco-dentaires télétransmettre et assurer le paiement des traitements
documents	documents édités (consentement, questionnaires médicaux, devis…)	gérer et conserver l’ensemble des documents relatifs aux patients
imagerie	toute image pouvant être stockée dans la solution (photographie, panoramique dentaire…)	faciliter l’établissement du diagnostic et suivre l’évolution
échanges	rendez-vous et interactions entre le patient et le cabinet et ses membres (emails, téléphones, courriers)	pouvoir gérer et historiser le parcours patient

Annexe 2. Sous-traitants ultérieurs et périmètres

Afin de vous fournir les meilleurs services, Julie fait appel à des prestataires qui agissent comme Sous-traitants ultérieurs.  Ces prestataires peuvent avoir accès à vos données mais uniquement dans le cadre et pour les besoins des opérations de traitement mentionnées ci-dessous. Et nous veillons à ce que chacun de ces prestataires mette en place des mesures techniques et organisationnelles appropriées pour garantir la sécurité et la confidentialité des données traitées.

Prestataires	Rôle	Services fournis	Données transmises
Synapse Medicine	Sous-traitant ultérieur	Aide à l’établissement d’une prescription médicale conforme aux réglementations, notamment via la fourniture d’une base de données médicamenteuses agréée, sécurisation des prescription	Noms, prénoms, date de naissance Etat physiopathologique du patient : traitements médicamenteux, allergies, affections
RESIP	Sous-traitant ultérieur	Etablissement et transmission des feuilles de soins électroniques	Numéro de Sécurité Sociale Noms, prénoms, date de naissance Actes réalisés à facturer
iCanopée	Sous-traitant ultérieur	Accès au Dossier Médical Partagé, et accès aux téléservices proposés par le système national de santé (Sécurité Sociale et assurances complémentaires)	Numéro de Sécurité Sociale Noms, prénoms, date de naissance
AWS	Sous-traitant ultérieur	Hébergement HDS en France des données et services	Hébergement des données
Orange/ISendPro/AIIImySMS	Sous-traitant ultérieur	Envoi de SMS	Numéro de téléphone portable, message transmis
Amazon SES	Sous-traitant ultérieur	Envoi d’emails	Adresse email, noms, message transmis

Données sensibles

Les catégories de données sensibles traitées dans le cadre des services sont les suivantes :

• Données de santé

Il s’agit de données à caractère personnel relevant de l’article 9 du RGPD, incluant notamment les informations médicales, les diagnostics, les traitements, les prescriptions, les affections et l’historique de soins des patients.

Base légale du traitement : ces données sont traitées par le Client en sa qualité de responsable de traitement, sur le fondement :

– de la nécessité du traitement aux fins de la médecine préventive, des diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et services de soins de santé, conformément à l’article 9(2)(h) du RGPD ;

– et des obligations légales applicables aux professionnels de santé, notamment en matière de tenue du dossier médical.

• NIR / INS (Numéro de sécurité sociale et Identité Nationale de Santé)

Ces identifiants constituent des données à caractère personnel soumises à un régime spécifique en droit français.

Base légale du traitement : le traitement de ces données est fondé sur :

– le respect d’une obligation légale à laquelle est soumis le Client, notamment pour la facturation, la télétransmission des feuilles de soins électroniques et l’identification des patients auprès des organismes d’assurance maladie ;

– et, le cas échéant, sur l’exécution d’une mission d’intérêt public dans le domaine de la santé, conformément à l’article 6(1)(c) et (e) du RGPD.

Ces identifiants sont utilisés strictement dans les conditions définies par la réglementation applicable, notamment les référentiels relatifs à l’Identité Nationale de Santé (INS) et aux systèmes de facturation SESAM-Vitale.

Nous nous engageons à ne traiter ces données que sur vos instructions et dans le strict respect des finalités autorisées.

La société JULiA s’engage à ce que la collecte et le traitement de vos données personnelles, effectués à partir du site www.julia.dentist, soient conformes à la Loi Informatique et Libertés ainsi qu’au Règlement Général sur la Protection des Données (RGPD) qui entre en vigueur le 25 mai 2018.

Chaque formulaire présent sur le site www.julia.dentist limite la collecte de vos données personnelles au strict nécessaire et indique :

• l’objectif et la finalité du recueil de ces données,
• la durée de conservation de celles-ci,
• la personne à qui ces données sont destinées.

Les données collectées sur notre site internet

La société JULiA collecte et traite des informations de type : nom, prénom, adresse e-mail, numéro de téléphone, adresse IP, données de connexions et données de navigation. Le caractère obligatoire ou facultatif vous est signalé lors de la collecte par un astérisque. Certaines données sont collectées automatiquement du fait de vos actions sur notre site internet.

Nous effectuons également des mesures d’audience et de fréquentation.

Nous collectons les informations que vous nous fournissez notamment quand :

• vous contactez notre service commercial via le formulaire de contact,
• vous naviguez sur notre site internet et consultez nos services.

La durée de conservation de vos données

Les données personnelles recueillies sur le site www.julia.dentist sont transmises et conservées selon des protocoles sécurisées et ne sont pas conservées au-delà de la durée nécessaire au traitement de votre demande.

Utilisation de vos données via notre formulaire de contact

Les informations recueillies à partir de ce formulaire de contact font l’objet d’un traitement informatique destiné à répondre à votre demande de contact.

Les données personnelles recueillis sur le site www.julia.dentist sont destinées selon votre demande à nos différents services au sein de notre agence et ne seront pas conservées au-delà de la durée nécessaire au traitement de votre demande.

Droits d’accès, de rectification et de suppression de vos données

Vous pouvez demander l’accès à vos informations, à la rectification ou à la suppression de celle-ci.

Pour toutes informations supplémentaires ou demande de modification/suppression de vos données privées, vous pouvez contacter JULiA :

• par e-mail : julia@julia.dentist
• par téléphone : 01 89 70 11 97
• en vous rendant à l’adresse :
  Julie
  12 rue de la maison rouge CS 50958
  77437 Marne la Vallée CEDEX 02

La société JULiA dispose d’un délai de réponse de 2 mois suivant la date d’envoi de votre demande. Pour en savoir plus sur vos droits, nous vous invitons à consulter le site de la CNIL.