Protection des données chez BodyLab GmbH

Ici, vous trouverez tout ce que nous savons sur vous, respectivement ce que nous devons savoir, c'est-à-dire quand, où et quelles données nous enregistrons sur vous, ce que nous faisons de ces données, comment nous les traitons, à qui nous devons les transmettre, quand nous les supprimons à nouveau et ce que vous pouvez faire à ce sujet. Nous, BodyLab GmbH, éventuellement avec des entreprises qui nous sont associées ainsi que des filiales éventuelles (ci-après également «nous» ou «nos») prenons très au sérieux la protection des données. Nous essayons de collecter le moins de données personnelles possible, c'est-à-dire uniquement celles qui peuvent réellement être utilisées pour fournir nos services et nos activités commerciales, et de renoncer à tout ce qui est inutile.

1. De quoi s'agit-il

Nous, BodyLab GmbH, dont le siège est à Zurich, Suisse,

• respectons les dispositions légales en vigueur en matière de protection des données ;

• collectons et traitons les données personnelles (ci-après également «données») conformément à cette déclaration de protection des données ;

• respectons en principe le principe de nécessité, selon lequel nous ne collectons et traitons que les données nécessaires à la réalisation de l'objectif.

Dans le cadre de nos activités professionnelles, nous collectons et traitons des données, notamment des données personnelles sur les personnes intéressées par nos activités, nos clients, les personnes associées, les visiteurs de nos sites Web, les participants à des événements, les candidats à des postes, les éventuels destinataires de bulletins d'information ou d'autres publications et d'autres tiers (ci-après également «vous»).

Outre cette déclaration de protection des données, nous pouvons vous informer séparément du traitement de vos données (par exemple dans des formulaires ou des conditions contractuelles).

Si vous nous divulguez des données sur d'autres personnes, nous supposons que vous êtes autorisé à le faire, que ces données sont correctes et que vous avez veillé à ce que ces personnes soient informées de cette divulgation, dans la mesure où une obligation légale d'information s'applique (par exemple, en mettant cette déclaration de protection des données à la disposition de ces personnes à l'avance).

Pour les offres, les conditions et le traitement des données personnelles d'autres offres et services (comme des sites Web tiers et réseaux sociaux), même s'ils sont liés ici, nous vous prions de vous renseigner directement auprès de ces fournisseurs.

2. Qui est responsable

Pour les traitements décrits dans cette déclaration de protection des données, la personne responsable au sens de la législation sur la protection des données est :

BodyLab GmbH
Alex Schück, Albulastrasse 50, CH-8048 Zürich

E-Mail datenschutz@bodylab.ch  

3. Quel droit est applicable

Nos traitements de données sont soumis à la législation suisse sur la protection des données.

Pour les visiteurs résidant dans l'Union européenne («UE») et dans l'Espace économique européen («EEE»), il convient de noter que la Suisse et l'UE, y compris l'EEE, reconnaissent mutuellement leurs législations sur la protection des données comme équivalentes. Dans certains cas transfrontaliers, le droit de l'UE, en particulier le Règlement général sur la protection des données de l'UE («RGPD»), peut également s'appliquer à un traitement de données spécifique.

Nous ne supposons pas que le RGPD soit généralement applicable au traitement des données par nos soins. Cependant, si le RGPD devait, par exception, être applicable pour certains traitements de données, les dispositions suivantes s'appliqueront exclusivement aux fins du RGPD et des traitements de données soumis à cette loi :

3.1. Détails sur l'application et l'applicabilité du RGPD

En cas d'applicabilité du RGPD, nous basons le traitement de vos données personnelles notamment sur les exigences suivantes :

• Nécessité pour l'acquisition, la conclusion et l'exécution de contrats ainsi que leur gestion et mise en œuvre (art. 6, al. 1, let. b RGPD),

• Nécessité de préserver les intérêts légitimes de nous-mêmes ou de tiers, par exemple pour la communication avec vous ou des tiers, pour exploiter nos sites Web, pour l'amélioration de nos offres ou services électroniques et l'enregistrement à des offres et services spécifiques, à des fins de sécurité, pour le respect du droit et des règlements internes, pour notre gestion des risques et la direction de l'entreprise et à d'autres fins telles que la formation et l'éducation, l'administration, l'assurance de la preuve et de la qualité, l'organisation, la réalisation et le suivi des événements et la défense d'autres intérêts légitimes (art. 6, al. 1, let. f RGPD),

• Exigence légale ou autorisation légale en raison de notre mandat ou de notre position selon le droit de l'UE, de l'EEE ou d'un État membre de l'UE (art. 6, al. 1, let. c RGPD) ou nécessité de protéger vos intérêts vitaux ou ceux d'autres personnes physiques (art. 6, al. 1, let. d RGPD);

• Votre consentement au traitement, par exemple par une déclaration correspondante sur nos sites Web (art. 6, al. 1, let. a et art. 9, al. 2, let. a RGPD).

Vous disposez alors de tous les droits que le RGPD vous accorde à cet égard (outre les droits pratiquement identiques selon le droit suisse de la protection des données) : Vous pouvez nous demander, concernant vos données personnelles que nous stockons et traitons, les actions suivantes :

• Information à leur sujet, conformément à l'art. 15 RGPD;

• Rectification, dans la mesure où les données sont incorrectes, conformément à l'art. 16 RGPD;

• Suppression, conformément à l'art. 17 RGPD; ou leur limitation, si elles ne peuvent pas être supprimées, conformément à l'art. 18 RGPD (elles sont alors marquées pour limiter de futurs traitements); les deux sous réserve d'un intérêt légitime prépondérant de notre part ou fondé sur des obligations légales de conserver et d'utiliser les données;

• Droit d'opposition concernant l'utilisation de vos données ; sous réserve qu'aucune raison impérieuse ne s'oppose à cette opposition ou que nous ayons besoin des données pour faire valoir nos droits ;

• Transmission des données que vous nous avez mises à disposition en raison de votre consentement, conformément à l'art. 20 RGPD.

Le droit mentionné ci-dessus de s'opposer à un traitement de vos données s'applique notamment aux traitements de données à des fins de marketing direct.

Si vous n'êtes pas d'accord avec notre gestion de vos droits ou de la protection des données, veuillez nous en informer (voir coordonnées ci-dessus). Si vous vous trouvez dans l'EEE, vous avez également le droit de déposer une plainte auprès de l'autorité de protection des données de votre pays. Une liste des autorités dans l'EEE est disponible ici : https://www.edpb.europa.eu/about-edpb/about-edpb/members_de#member-de. 

4. Quelles données stockons-nous

Nous traitons principalement les données personnelles que nous recevons directement dans le cadre de nos relations contractuelles avec nos clients et de nos activités avec des tiers, notamment avec vous en tant qu'utilisateurs. De plus, nous recevons, collectons ou traitons potentiellement des données de la part de partenaires commerciaux ou d'autres personnes impliquées. Dans la mesure où cela est autorisé et nécessaire, nous recueillons également des données à partir de sources accessibles au public (comme les registres publics, les médias, Internet) ou en recevons de nos clients et de leurs employés, d'autorités et de tiers (comme des partenaires commerciaux et contractuels de nos clients, des institutions médicales, des médecins, du personnel de santé, des caisses d'assurance maladie, etc).

En plus des données que nous recevons directement de vous, les catégories de données personnelles que nous recevons de tiers comprennent, en particulier, mais sans s'y limiter :

• Données d'état civil (par exemple, noms, adresses, fonctions, date de naissance, appartenance à une organisation, etc.)

• Données de contact (par exemple, adresse électronique, numéro de téléphone, etc.))

• Données de contenu (par exemple, fichiers texte et image, vidéos, etc.)

• Données d'utilisation (par exemple, données d'accès)

• Données de santé pertinentes pour le traitement (maladies, accidents, informations sur l'assurance, numéros d'assurance maladie et d'assurance/d'incident, sexe biologique, etc.)

• Méta-données/communication (par exemple, adresses IP)

• Informations que vous nous divulguez vous-même en raison des relations contractuelles en vigueur entre nous

• Informations concernant vos fonctions et activités professionnelles

• Informations sur vous dans la correspondance et les réunions entre nous ou avec des tiers (par exemple, par communication téléphonique, courrier électronique ou autrement)

• Informations via la configuration de vos paramètres d'utilisateur, les autorisations d'accès aux données ou toute autre interaction avec nous

• Informations issues de registres publics (registre des poursuites, registre du commerce, livres fonciers)

• Inscription ou participation à un événement

• Informations provenant des médias et de l'Internet sur votre personne (dans la mesure où cela est indiqué dans le cas concret), ainsi que des références lors des candidatures.

• Remplissage de questionnaires, de demandes d'assistance ou d'autres formulaires de demandes d'informations

Si vous ne nous communiquez pas certaines données personnelles, cela peut empêcher la fourniture des services connexes ou la conclusion d'un contrat. Nous indiquons les données personnelles obligatoires à fournir dans chaque cas.

Les informations sur vous, que nous ont fournies des personnes de votre entourage (famille, conseillers, représentants légaux, etc.), nous permettent de conclure ou d'exécuter des contrats avec vous ou intégrant votre participation (par exemple, références, votre adresse pour les livraisons, procurations).

5. D'où proviennent les données

Données de votre part

Beaucoup des données que nous traitons nous sont communiquées directement par vous (par exemple, lorsque vous utilisez notre site web, dans le cadre de nos services pour vous, ou dans notre communication avec vous). Parfois, ces données sont aussi automatiquement transmises par votre appareil à nous. Vous n'êtes obligé de fournir vos données que dans des cas exceptionnels. Cependant, si vous souhaitez par exemple conclure des contrats avec nous ou bénéficier de nos services, vous devez nous fournir certaines données. De plus, l'utilisation de notre site Web est impossible sans un minimum de collecte et de traitement des données.

Données de tiers

Nous pouvons également recueillir des données à partir de sources accessibles au public (par exemple, les médias ou Internet, y compris les plateformes de médias sociaux, registres publics, recherches en ligne, etc.) ou les recevoir de votre médecin traitant, des autorités compétentes, de votre employeur ou mandant qui entretient une relation d'affaires avec nous ou qui a une autre interaction avec nous, ainsi que d'autres tiers (par exemple, associations, partenaires contractuels, caisses d'assurance maladie, services d'analyse Internet). Cela inclut particulièrement les données que nous traitons en lien avec le traitement et le suivi des patients, ainsi que les données issues de la correspondance et d'autres communications avec des tiers, mais aussi toutes les autres catégories de données conformément au ch. 4 « Quelles données stockons-nous ».

Données lors de la communication avec vous et pour vous

Outre les réunions personnelles, les entretiens téléphoniques, le courrier et les e-mails, nous utilisons encore divers moyens de communication avec vous. Et aussi pour vous ou pour la communication nécessaire que nous assurons pour votre traitement avec des tiers, nous utilisons des logiciels et des outils (SaaS) de tiers. Vous trouverez ci-dessous les services principalement utilisés par nos soins :  

1. Gestion des dossiers patients : Medionline

Nous utilisons l'outil d'Ärztekasse Medionline pour les inscriptions en lien avec les visites des patients. Cela couvre tous les aspects administratifs (rendez-vous, agenda, planification du temps, visites des patients elles-mêmes, dossier du patient, etc.) et de manière générale pour tous les objectifs en tant que logiciel de cabinet. Tous les documents nécessaires sont stockés en ligne et des notes sont prises.

Fournisseur: Ärztekasse Genossenschaft, In der Luberzen 1, 8902 Urdorf

Protection des données: https://www.medionline.ch

Base juridique: Intérêt légitime

2. Appels vidéo

Service : Zoom

Fournisseur: Zoom Video Communications, Inc., 55 Almaden Blvd, San Jose, CA 95113, USA

Protection des données: https://www.zoom.com/en/trust/privacy/

Base légale: Intérêt légitime

Service: Microsoft Teams

Fournisseur: Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA

Protection des données: https://www.microsoft.com/de-de/privacy/privacystatement

Base légale: Intérêt légitime

Service: Apple FaceTime

Fournisseur: Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA

Protection des données: https://www.apple.com/chde/legal/privacy/

Base légale: Intérêt légitime

3. Microsoft Office365

Fournisseur: Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA

Protection des données: https://www.microsoft.com/de-de/privacy/privacystatement

Base légale: Intérêt légitime

4. Services de stockage de données : Google Drive Services

Fournisseur: Google, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA

Protection des données: https://policies.google.com/privacy?hl=ch-DE

Base légale: Intérêt légitime

5. Services de stockage de données en cloud : Apple iCloud

Fournisseur: Apple Inc., One Apple Park Way, Cupertino, CA, USA (siège principal); Apple Distribution International Limited, Hollyhill Industrial Estate, Hollyhill, Cork, République d'Irlande (filiale Europe)

Protection des données: https://www.apple.com/chde/legal/privacy/

Base légale: Intérêt légitime

6. Newsletter : Brevo

Fournisseur: Sendinblue GmbH, Köpenicker Straße 126, 10179 Berlin, DE

Protection des données: https://www.brevo.com/de/legal/privacypolicy/

Base légale: Intérêt légitime incluant votre droit de vous désabonner à tout moment 

7. Téléphonie : CTI-Client

Fournisseur: WWCOM, Schöngrund 26, 6343 Rotkreuz

Protection des données: https://wwcom.ch/home/disclaimer

Base légale: Intérêt légitime 

8. Installation téléphonique : Nexphone

Fournisseur : Nexphone AG, Alpenstrasse 1, 8803 Rüschlikon

Protection des données: https://www.nexphone.ch/datenschutzerklaerung.html

Base légale: Intérêt légitime 

6. Comment les données sont-elles traitées et utilisées

Dans le cadre de notre exploitation, nous pouvons traiter différentes catégories de données personnelles à des fins variées. Nous traitons notamment les données personnelles mentionnées au chiffre 4 à des fins suivantes :

Communication

Nous traitons les données personnelles afin de pouvoir communiquer avec vous ainsi qu'avec des tiers par e-mail, téléphone, courrier ou autrement. Cela peut également se faire par exemple sous la forme de bulletins d'information et d'autres contacts réguliers (par exemple, par voie électronique, postale, téléphonique). Vous pouvez refuser cette communication à tout moment ou refuser ou retirer votre consentement à cette communication. Dans le cadre de la communication, nous traitons notamment le contenu et les métadonnées de la communication ainsi que vos données de contact, mais également des enregistrements audio et visuels des (visioconférences) téléphoniques. Dans le cas d'un enregistrement audio ou vidéo de la communication, nous vous en informerons au début et vous avez la possibilité de nous informer si vous ne souhaitez pas d'enregistrement, ou de mettre fin à la communication ou de quitter l'appel. Si nous devons ou voulons vérifier votre identité, nous pouvons collecter des données supplémentaires.

Activités relatives aux contrats, services, traitements

En vue de la conclusion d'un contrat avec vous ou votre mandant ou employeur, nous pouvons notamment traiter votre nom, vos coordonnées, les déclarations de consentement, les informations sur des tiers (par exemple, des personnes de contact, des tiers, des participants au projet, etc.), le contenu des contrats, ainsi que toutes autres données que vous nous fournissez ou que nous collectons légalement à partir de sources publiques ou de tiers.

Gestion des contrats et traitement des patients

Nous traitons les données personnelles afin de respecter nos obligations contractuelles envers nos partenaires contractuels (par exemple, fournisseurs, prestataires de services, patients) et notamment pour fournir et faire valoir les prestations contractuelles. Cela comprend également le traitement des données pour la gestion des dossiers des patients ainsi que le traitement des données pour l'exécution des contrats, la comptabilité, et la communication, tant avec nos patients qu'avec des tiers et le public. Pour cela, nous traitons principalement les données que nous avons reçues ou collectées dans le cadre de l'acquisition et de la conclusion du contrat, ainsi que les données que nous créons dans le cadre de nos prestations contractuelles, ou que nous collectons ou recevons à partir de sources publiques, de tiers ou de communications internes et externes, de documents contractuels, de dossiers de patients venant de tiers, de notifications d'institutions de santé et de médecins, des documents que nous créons et recevons dans le cadre du traitement des patients, des informations de fond sur vous ou autres personnes, des enregistrements audio et vidéo ainsi que d'autres informations relatives aux patients, documents, justificatifs de prestation, factures ainsi que des informations financières et de paiement. Si nécessaire pour le traitement, nous pouvons également collecter et traiter des données personnelles particulièrement sensibles lors de ces activités. Sinon, nous nous conformons aux recommandations des associations suisses des ostéopathes et des physiothérapeutes en ce qui concerne la collecte des données de base des patients. Là où ces associations n'ont pas de recommandations, nous nous basons généralement sur les recommandations de la FMH, la Fédération des médecins en Suisse.

Fins de sécurité, contrôles d'accès, surveillance vidéo

Nous traitons les données personnelles pour assurer et améliorer en permanence la sécurité appropriée de notre technologie de l'information et de notre autre infrastructure. Cela comprend, par exemple, la surveillance et le contrôle des accès électroniques à nos systèmes informatiques ainsi que des accès à nos locaux, les analyses et tests de nos infrastructures informatiques, les vérifications de système et d'erreurs et la création de copies de sauvegarde.

À des fins de documentation et de sécurité (préventive et d'élucidation des incidents), nous installons des systèmes de surveillance dans nos locaux pour notre propre sécurité. Nous vous informons de la présence de systèmes de surveillance sur les sites concernés par des panneaux correspondants.

Bien que nous utilisions un système de vidéosurveillance dans les espaces de pratique accessibles au grand public, aucune prise de vue n'est enregistrée dans les salles de traitement individuelles. Ainsi, aucune image compromettante de nos patients n'est créée.

Les données personnelles créées dans les enregistrements de nos locaux par le système sont traitées pour assurer la protection des personnes et des biens contre d'éventuelles agressions, vols, cambriolages, dommages, vandalisme et autres infractions similaires et servent également à la prévention et l'investigation d'incidents, à la prévention des incendies, à la sécurité au travail, ainsi qu'à la sauvegarde de nos intérêts légitimes par la collecte de preuves et pour d'autres nécessités organisationnelles.

Les enregistrements collectés ne sont pas utilisés pour contrôler les activités exercées par les employés, sauf pour détecter des comportements illégaux ou frauduleux entraînant des conséquences pénales. En général, nous avons configuré le système de manière à minimiser la collecte et le traitement des données, réduisant ainsi au maximum les risques potentiels pour les personnes concernées. Par exemple, nous ne recueillons aucune donnée statistique des visiteurs à l'aide du système, même sous forme anonymisée.

Les enregistrements sont effectués, tant pendant les heures d'ouverture normales qu'après les heures d'ouverture et lorsque les locaux sont vides, à des fins de protection susmentionnées.

Les données sont exclusivement consultées et traitées par voie électronique par la direction de BodyLab en cas de besoin. 

Pour la surveillance vidéo, nous utilisons le logiciel du prestataire Ubiquiti Networks . Les données sont physiquement stockées sur des serveurs internes de BodyLab accessibles uniquement via VPN ou application avec authentification à deux facteurs.

Les enregistrements de la vidéosurveillance sont conservés maximum 7 jours puis supprimés, sauf s'ils sont nécessaires à des fins spécifiques liées à des enquêtes ou d'autres activités légales prescrites ou autorisées, telles que le travail de la police ou de la justice. Les données personnelles ne sont pas divulguées ou communiquées à des tiers, sauf nécessité mentionnée ci-dessus.

Gestion des risques et gestion d’entreprise

Nous traitons les données personnelles dans le cadre de la gestion des risques et de la gestion d'entreprise. Cela comprend, entre autres, notre organisation opérationnelle (par exemple, la planification des ressources, les données des employés) et le développement de l'entreprise.

Candidature à un poste

Si vous postulez chez nous pour un emploi, nous traitons les données correspondantes à des fins d'examen et d'évaluation de la candidature, de mise en œuvre de la procédure de candidature et, en cas de succès, de préparation et de conclusion d'un contrat correspondant. Pour ce faire, nous traitons, en plus de vos coordonnées et des informations issues de la communication correspondante, notamment les données contenues dans vos documents de candidature, éventuellement aussi des extraits de casier judiciaire et les données que nous pouvons obtenir en plus sur vous, par exemple à partir de réseaux sociaux professionnels, d'Internet, des médias et des références (si vous consentez à la collecte de références). Le traitement des données dans le cadre de la relation de travail est régi séparément.

Exploitation de nos sites Web

Pour exploiter notre site Web de manière sûre et stable, nous collectons des données techniques, telles que l'adresse IP, des informations sur le système d'exploitation et les paramètres de votre appareil, la région, l'heure et le type d'utilisation. De plus, nous utilisons parfois des cookies et des technologies similaires. Vous trouverez de plus amples informations à ce sujet plus bas dans la section correspondante.

Amélioration de nos offres électroniques

Pour améliorer en permanence notre site Web et nos offres électroniques (par exemple, newsletters), nous recueillons des données sur votre comportement et vos préférences en analysant, par exemple, la manière dont vous naviguez à travers nos sites Web et comment vous interagissez avec nos profils sur les réseaux sociaux ainsi que d'autres offres électroniques (par exemple, newsletters).

Enregistrement

Pour profiter de certaines offres et services (par exemple, newsletters), vous devez vous inscrire. Pour cela, nous traitons les données que vous avez communiquées lors de l'enregistrement concerné. De plus, nous pouvons également collecter des données personnelles vous concernant lors de l'utilisation de l'offre ou du service. Si nécessaire,