Mondocteur et Doctolib se sont rapprochés. Découvrez le nouveau service dès maintenant.

Politique de protection des données Doctolib

Doctolib et le RGPD

  • Doctolib et le RGPD

Le règlement général sur la protection des données (dit RGPD) entrera en vigueur le 25 mai 2018.Il est considéré comme le changement le plus important en matière de protection des données à caractère personnel dans ces 20 dernières années. Le règlement a été conçu afin d’harmoniser partout en Europe les lois sur la protection des données à caractère personnel, d’améliorer la protection de tous les citoyens européens et de renforcer le pouvoir qu’ils ont sur leurs données.

Il redéfinit ainsi la façon dont les entreprises abordent la protection des données. Toutes les entreprises sont impactées, à commencer par la vôtre. En tant que partenaire de Doctolib vous nous confiez des données à caractère personnel – que vous avez vous-mêmes recueillies ou que nous recueillons pour vous – et vous vous demandez légitimement comment nous avançons sur ce sujet. Nous dirions que nous sommes plutôt bien préparés !

  • Doctolib protège les données à caractère personnel

Chez Doctolib, nous prenons votre vie privée ainsi que la protection des données à caractère personnel très au sérieux. Les principes de licéité, loyauté, transparence, limitation des finalités, minimisation des données, exactitude, limitation des durées de conservation, intégrité, confidentialité et de responsabilité sont ceux posés par l’article 5 du RGPD. Ces valeurs ont constitué des facteurs clés depuis le début de l’aventure Doctolib.

  • DPO – CIL – Data Privacy Officer – Délégué à la protection des données

Afin de consolider ces efforts, nous avons récemment nommé un Data Privacy Officer (DPO) qui travaille aux côtés de notre équipe sécurité afin de renforcer encore et encore les niveaux de sécurité les plus élevés que nous atteignons et ainsi protéger les données que vous nous confiez.

  • Priorité

Et surtout, le plus important, c’est que la protection des données constitue l’une de nos priorités pour l’année 2018 ! Voici donc les éléments clefs posés par le RGDP que nous mettons en oeuvre.

  • Licéité, Loyauté et Transparence

L’information des personnes concernées, leur consentement et la nécessité de la collecte sont des notions clefs et constituent la base de l’action de Doctolib, dans la mesure où nous traitons des données de santé.

Nous continuerons à informer nos utilisateurs sur l’étendue des traitements que nous réalisons (quoi, pourquoi, où, pour combien de temps…) tout au long de leur parcours et dès lors qu’ils exercent leurs droits d’accès, de modification, de suppression et/ou à l’oubli…

Conformément à l’article 7, paragraphe 2 du RGDP, et dès lors que cela est nécessaire, nos utilisateurs donnent d’ailleurs leur consentement de manière clairement identifiable.

  • Limitation des finalités, minimisation des données, exactitude, limitation de la conservation, intégrité et confidentialité

Nos équipes R&D sont formées et organisées pour intégrer les exigences de confidentialité et de sécurité dans toutes leurs actions. Pour chaque nouvelle fonctionnalité développée, nous appliquons une politique stricte en matière de confidentialité et de protection des données.

Cette politique impose une revue de chaque traitement par notre DPO et notre CSO (Chief Security Officer). Deux examens sont effectués :
– une revue juridique, pour contrôler la conformité du traitement au regard du RGPD et de la législation nationale applicable (règles de protection des données et de la vie privée, secret médi-
cal, déontologie…). Ce niveau de validation inclut des questions typiques telles que : Avons-nous vraiment besoin de collecter cette information ? Combien de temps aurons-nous besoin de la garder? Comment et
quand allons-nous l’effacer ? Qui y a accès ?

– une revue technique, pour assurer le bon niveau de protection. Ce niveau de validation inclut des questions typiques telles que: De quelles protections techniques avons-nous besoin (cryptage, anonymisation, pseudo-anonymisation) ? Toutes les meilleures pratiques sont-elles respectées ? Devrions-nous faire vérifier la fonctionnalité par un tiers ?

Dès lors que des données de santé sont en jeu ou que nous considérons qu’il existe un risque élevé pour les droits et libertés des personnes concernées, nous effectuons une analyse d’impact sur la protection des données (ou PIA), telle que prévue par l’article 35 du RGPD. Nous avons également fait le choix d’être régulièrement audités sur les traitements, notre niveau de conformité et nos systèmes d’information en général, afin de nous améliorer continuellement et de rester au “niveau de l’art”.

  • Responsabilité

Ce principe est souvent vu comme un changement culturel.

Le RGPD exige que le responsable de traitement veille à ce que tous les principes sus-nommés soient respectés et puisse démontrer qu’il s’y conforme.

Mais cette application particulière du principe de gouvernance n’entraîne aucun changement significatif pour Doctolib puisque nous avons une structure interne de gouvernance pour la protection des données à caractère personnel depuis nos débuts.

Notre DPO veille à ce que toutes les mesures techniques et organisationnelles en place soient conformes aux critères posés par le RGPD, ce qui implique notamment une cartographie de tous
les traitements, de tous les sous-traitants et un registre des activités de traitement…

Par ailleurs, nous vérifions soigneusement tous nos contrats afin d’y inclure des clauses strictes de confidentialité et de protection des données.

Mais surtout, nous travaillons en étroite collaboration avec les autorités de protection des données en France et en Allemagne, avec d’autres DPO et avec les acteurs clés pour mettre en œuvre les meilleures pratiques et atteindre le plus haut niveau de conformité.