Protection des données chez BodyLab GmbH

Vous trouverez ici toutes les informations sur ce que nous savons de vous, ou plutôt ce que nous devons savoir, c'est-à-dire quand, où et quelles données nous enregistrons à votre sujet, ce que nous en faisons, comment nous les traitons, à qui nous devons les transmettre, quand nous les supprimons et ce que vous pouvez faire pour vous y opposer. Nous, la société BodyLab GmbH, ainsi que nos éventuelles entreprises affiliées et filiales (ci-après également «nous»), prenons la protection des données très au sérieux. Nous nous efforçons de collecter le moins de données personnelles possible, c'est-à-dire uniquement celles qui peuvent réellement être utilisées pour la fourniture de nos services et de nos activités commerciales, et de renoncer à tout ce qui est superflu.

1. De quoi s'agit-il

Nous, la société BodyLab GmbH, dont le siège est à Zurich, en Suisse,

• respectons les dispositions légales applicables en matière de protection des données;

• collectons et traitons des données personnelles (ci-après également «données») conformément à la présente déclaration de confidentialité;

• respectons par principe le principe de nécessité, selon lequel nous ne collectons et ne traitons que les données nécessaires à la réalisation de l'objectif fixé.

Dans le cadre de nos activités commerciales, nous nous procurons et traitons des données, en particulier des données personnelles concernant les personnes intéressées par nos activités, nos clients, les personnes liées, les visiteurs de nos sites web, les participants à des événements, les candidats à un emploi, les destinataires éventuels de newsletters ou d'autres publications et d'autres tiers (ci-après également «vous»).

En plus de la présente déclaration de confidentialité, nous pouvons vous informer séparément sur le traitement de vos données (par exemple dans des formulaires ou des conditions contractuelles).

Si vous nous communiquez des données concernant d'autres personnes, nous partons du principe que vous y êtes autorisé, que ces données sont correctes et que vous vous êtes assuré que ces personnes sont informées de cette communication, dans la mesure où une obligation légale d'information s'applique (par exemple en leur ayant communiqué préalablement la présente déclaration de confidentialité).

Pour en savoir plus sur les offres, les conditions et le traitement des données personnelles d'autres offres et services (tels que des sites web de tiers et des réseaux sociaux), même s'ils sont liés ici, veuillez vous informer directement auprès de ces prestataires.

2. Qui est responsable

Le responsable du traitement des données au sens de la législation sur la protection des données pour les traitements décrits dans la présente déclaration de confidentialité est:

BodyLab GmbH
Alex Schück, Albulastrasse 50, CH-8048 Zurich

E-mail datenschutz@bodylab.ch  

3. Quel est le droit applicable

Nos traitements de données sont soumis au droit suisse de la protection des données.

Pour les visiteurs résidant dans l'Union européenne («UE») et dans l'Espace économique européen («EEE»), la Suisse et l'UE, y compris l'EEE, reconnaissent mutuellement leurs législations sur la protection des données comme équivalentes. Dans certains cas transfrontaliers, le droit de l'UE, en particulier le règlement général sur la protection des données de l'UE («RGPD»), peut également s'appliquer de manière complémentaire à un traitement de données spécifique.

Nous ne partons pas du principe que le RGPD est applicable de manière générale aux traitements de données que nous effectuons. Toutefois, si le RGPD devait exceptionnellement s'appliquer à certains traitements de données, les dispositions suivantes s'appliquent en plus, exclusivement aux fins du RGPD et des traitements de données qui y sont soumis:

3.1. Précisions sur la validité et l'applicabilité du RGPD

Si le RGPD est applicable, nous fondons le traitement de vos données personnelles notamment sur les bases suivantes:

• Nécessité pour l'acquisition, la conclusion et l'exécution de contrats ainsi que pour leur gestion et leur application (art. 6, p. 1, let. b du RGPD),

• Nécessité de préserver nos intérêts légitimes ou ceux de tiers, par exemple pour communiquer avec vous ou des tiers, pour exploiter nos sites web, pour améliorer nos offres ou prestations électroniques et pour s'enregistrer à certaines offres et prestations, à des fins de sécurité, pour le respect du droit et des réglementations internes, pour notre gestion des risques et la gestion de l'entreprise, et pour d'autres buts tels que l'instruction et la formation, l'administration, la garantie des preuves et de la qualité, l'organisation, la réalisation et le suivi d'événements et pour préserver d'autres intérêts légitimes (art. 6, p. 1, let. f du RGPD),

• Obligation ou autorisation légale en vertu de notre mandat ou de notre position selon le droit de l'UE, de l'EEE ou d'un État membre de l'UE (art. 6, p. 1, let. c du RGPD) ou nécessité de protéger vos intérêts vitaux ou ceux d'autres personnes physiques (art. 6, p. 1, let. d du RGPD);

• Votre consentement au traitement, par exemple par le biais d'une déclaration correspondante sur nos sites web (art. 6, p. 1, let. a et art. 9, p. 2, let. a du RGPD).

En outre, vous disposez alors de tous les droits que le RGPD vous accorde à cet égard (en plus des droits pratiquement équivalents du droit suisse de la protection des données): vous pouvez exiger de notre part les actions suivantes concernant vos données personnelles que nous enregistrons et traitons:

• Accès à celles-ci, conformément à l'art. 15 du RGPD;

• Rectification, dans la mesure où les données sont inexactes, conformément à l'art. 16 du RGPD;

• Effacement, conformément à l'art. 17 du RGPD; ou limitation du traitement si elles ne peuvent pas être effacées, conformément à l'art. 18 du RGPD (elles sont alors marquées pour limiter les traitements futurs); le tout sous réserve d'un intérêt légitime prépondérant de notre part ou sur la base de dispositions légales nous imposant de conserver et d'utiliser encore les données;

• Droit d'opposition concernant l'utilisation de vos données; sous réserve de motifs impérieux s'opposant à cette opposition ou si nous avons besoin des données pour défendre nos droits;

• Restitution des données que vous nous avez confiées sur la base de votre consentement, conformément à l'art. 20 du RGPD.

Le droit d'opposition mentionné ci-dessus s'applique en particulier aux traitements de données effectués à des fins de marketing direct.

Si vous n'êtes pas d'accord avec notre manière de traiter vos droits ou la protection des données, veuillez nous le faire savoir (voir les coordonnées de contact ci-dessus). Si vous vous trouvez dans l'EEE, vous avez également le droit de déposer une réclamation auprès de l'autorité de contrôle de la protection des données de votre pays. Vous trouverez une liste des autorités de l'EEE ici: https://www.edpb.europa.eu/about-edpb/about-edpb/members_fr#member-fr. 

4. Quelles données enregistrons-nous

Nous traitons en premier lieu les données personnelles que nous recevons directement dans le cadre de nos relations contractuelles avec nos clients et de nos activités avec des tiers, y compris vous en tant qu'utilisateur. De plus, nous pouvons recevoir, collecter ou traiter des données de partenaires commerciaux ou d'autres personnes impliquées. Dans la mesure où cela est autorisé et nécessaire, nous prélevons également des données dans des sources accessibles au public (p. ex. registres publics, médias, Internet) ou en recevons de nos clients et de leurs collaborateurs, d'autorités et de tiers (p. ex. partenaires commerciaux et contractuels de nos clients, institutions médicales, médecins, personnel de santé, caisses maladie, etc.).

Outre les données que nous recevons directement de votre part, les catégories de données personnelles que nous obtenons de tiers comprennent notamment, mais pas exclusivement:

• Données d'identité (p. ex. noms, adresses, fonctions, date de naissance, appartenance à une organisation, etc.)

• Coordonnées (p. ex. adresse e-mail, numéro de téléphone, etc.)

• Données de contenu (p. ex. fichiers texte et d'images, vidéos, etc.)

• Données d'utilisation (p. ex. données d'accès)

• Données de santé pertinentes pour le traitement (maladies, accidents, indications d'assurance, numéros de caisse maladie et d'assurance/de sinistre, sexe biologique, etc.)

• Métadonnées/données de communication (p. ex. adresses IP)

• Informations que vous nous divulguez vous-même en raison des relations contractuelles en vigueur entre nous

• Informations en rapport avec vos fonctions et activités professionnelles

• Informations vous concernant dans le cadre de la correspondance et des entretiens entre nous ou avec des tiers (p. ex. via communication par téléphone, e-mail ou d'une autre manière)

• Informations via le paramétrage de vos préférences d'utilisation, les autorisations d'accès aux données ou toute autre interaction avec nous

• Informations issues de registres publics (registre des poursuites, registre du commerce, registres fonciers)

• Inscription ou participation à un événement

• Informations provenant des médias et d'Internet concernant votre personne (dans la mesure où cela est indiqué dans le cas concret), ainsi que des références lors de candidatures.

• Remplissage de questionnaires, de tickets de support ou d'autres formulaires de demande d'information

Le fait de ne pas nous communiquer certaines données personnelles peut avoir pour conséquence de rendre impossible la fourniture des prestations y relatives ou la conclusion d'un contrat. Nous indiquons toujours les données personnelles dont la saisie est obligatoire.

Informations vous concernant que des personnes de votre entourage (famille, conseillers, représentants légaux, etc.) nous transmettent afin que nous puissions conclure ou exécuter des contrats avec vous ou impliquant votre participation (p. ex. des références, votre adresse pour les livraisons, des procurations)

5. D'où proviennent les données

Données fournies par vos soins

Une grande partie des données que nous traitons nous est directement communiquée par vous (p. ex. lors de l'utilisation de notre site web, en rapport avec nos prestations de services à votre intention, ou lors de vos communications avec nous). Certaines de ces données nous sont également transmises automatiquement par votre terminal. Vous n'êtes tenu de nous communiquer vos données que dans des cas exceptionnels. Toutefois, si vous souhaitez par exemple conclure des contrats avec nous ou bénéficier de nos prestations, vous devez nous fournir certaines informations. De même, l'utilisation de notre site web n'est pas possible sans un minimum de collecte et de traitement de données.

Données provenant de tiers

Nous pouvons également prélever des données à partir de sources publiques (p. ex. les médias ou Internet, y compris les plateformes de réseaux sociaux, les registres publics, les recherches en ligne, etc.) ou les recevoir de votre médecin traitant, des autorités compétentes, de votre employeur ou mandant qui est en relation d'affaires ou autre avec nous, ainsi que d'autres tiers (p. ex. associations, partenaires contractuels, caisses maladie, services d'analyse Internet). Il s'agit en particulier des données que nous traitons dans le cadre du traitement et du suivi des patients, ainsi que des données issues de la correspondance et d'autres communications avec des tiers, mais également de toutes les autres catégories de données conformément au point 4 «Quelles données enregistrons-nous».

Données lors de la communication avec vous et pour vous

Outre les séances personnelles, les entretiens téléphoniques, le courrier postal et les e-mails, nous utilisons divers autres canaux de communication avec vous. Pour vous, ou pour la communication interne et externe nécessaire à votre traitement, nous utilisons également des logiciels et des outils (SaaS) de tiers.

Recours à des services d'intelligence artificielle (IA)

Pour soutenir nos processus administratifs, organisationnels et techniques internes, nous pouvons faire appel à des services basés sur l'IA, comme par exemple le service Claude du fournisseur Anthropic. Les services actuellement utilisés sont présentés ci-après.

L'utilisation des services d'IA se fait exclusivement à des fins de soutien, telles que la rédaction et la révision de textes, la structuration de contenus, la recherche technique générale sans lien avec des personnes physiques, ainsi que le soutien administratif.

Nous ne saisissons aucune donnée personnelle dans ces services, en particulier aucune donnée de santé ou autre donnée personnelle particulièrement sensible concernant nos patients.

Si des données sont traitées dans le cadre de l'utilisation de services basés sur l'IA, celles-ci se limitent à des contenus anonymisés ou abstraits, à des questions techniques générales ne présentant aucun lien direct avec une personne, ainsi qu'à des saisies techniques nécessaires à l'utilisation du service.

L'utilisation de ces services se fait dans le respect des dispositions légales applicables en matière de protection des données ainsi que des directives internes relatives à la sécurité et à la confidentialité des données. Les contenus générés par le service sont exclusivement utilisés comme support et sont vérifiés par du personnel qualifié avant toute utilisation ultérieure.

Vous trouverez de plus amples informations sur le traitement des données par le fournisseur dans la politique de confidentialité des services d'IA utilisés.

Vous trouverez ci-dessous les principaux services que nous utilisons: 

1. Gestion des dossiers de patients: Medionline

Nous utilisons l'outil de la Caisse des médecins Medionline pour les saisies en rapport avec les visites des patients. Cela concerne tous les aspects administratifs (rendez-vous, agenda, planification, visites des patients elles-mêmes, dossier du patient, etc.) et, de manière générale, toutes les fonctions d'un logiciel de cabinet médical. Tous les documents nécessaires sont déposés en ligne et des notes sont saisies.

Fournisseur: Caisse des médecins société coopérative, In der Luberzen 1, 8902 Urdorf

Protection des données: https://www.medionline.ch

Base juridique: Intérêt légitime

2. Appels vidéo

Service: Zoom

Fournisseur: Zoom Video Communications, Inc., 55 Almaden Blvd, San Jose, CA 95113, USA

Protection des données: https://www.zoom.com/fr/trust/privacy/

Base juridique: Intérêt légitime

Service: Microsoft Teams

Fournisseur: Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA

Protection des données: https://www.microsoft.com/fr-fr/privacy/privacystatement

Base juridique: Intérêt légitime

Service: Apple FaceTime

Fournisseur: Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA

Protection des données: https://www.apple.com/chfr/legal/privacy/

Base juridique: Intérêt légitime

3. Microsoft Office365

Fournisseur: Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA

Protection des données: https://www.microsoft.com/fr-fr/privacy/privacystatement

Base juridique: Intérêt légitime

4. Cloud Data Services: Google Drive Services

Fournisseur: Google, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA

Protection des données: https://policies.google.com/privacy?hl=fr-CH

Base juridique: Intérêt légitime

5. Cloud Data Services: Apple iCloud

Fournisseur: Apple Inc., One Apple Park Way, Cupertino, CA, USA (siège principal); Apple Distribution International Limited, Hollyhill Industrial Estate, Hollyhill, Cork, République d'Irlande (établissement européen, filiale)

Protection des données: https://www.apple.com/chfr/legal/privacy/

Base juridique: Intérêt légitime

6. Newsletter: Brevo

Fournisseur: Sendinblue GmbH, Köpenicker Straße 126, 10179 Berlin, Allemagne

Protection des données: https://www.brevo.com/fr/legal/privacypolicy/

Base juridique: Intérêt légitime, y compris votre droit de désinscription à tout moment 

7. Téléphonie: CTI-Client

Fournisseur: WWCOM, Schöngrund 26, 6343 Rotkreuz

Protection des données: https://wwcom.ch/home/disclaimer

Base juridique: Intérêt légitime

8. Centrale téléphonique: Nexphone

Fournisseur: Nexphone AG, Alpenstrasse 1, 8803 Rüschlikon

Protection des données: https://www.nexphone.ch/datenschutzerklaerung.html

Base juridique: Intérêt légitime 

9. Application d'entraînement individuelle pour les patients: PhysiApp

Fournisseur: Physitrack PLC, 140 Aldersgate Street, London, EC1A 4HY, Royaume-Uni

Protection des données: https://www.physitrack.com/fr/legal/privacy

Protection et gestion des données des utilisateurs de l'application: https://www.physitrack.com/fr/legal/physiapp

Base juridique: Intérêt légitime ou votre consentement, que vous pouvez révoquer à tout moment, mais vous ne pourrez alors plus utiliser PhysiApp.

Note: BodyLab n'a aucune influence sur l'étendue des données collectées par Physitrack et les sous-traitants mandatés par Physitrack lors de l'utilisation de l'application. Vous trouverez des informations plus détaillées directement sur le site web de Physitrack sous https://www.physitrack.com/fr/legal/physiapp et https://www.physitrack.com/fr/legal/data-processing-agreement ainsi que https://www.physitrack.com/fr/legal/data-retention.

10. Services d'IA: Claude

Fournisseur: Anthropic, 548 Market Street, PMB 90375, San Francisco, CA 94104, USA

Protection des données: https://www.anthropic.com/privacy

Base juridique: Intérêt légitime pour une organisation efficace des processus de travail internes ainsi que pour l'utilisation de technologies modernes en vue de soutenir les activités administratives et techniques.

Note: Claude est utilisé dans sa version Pro et exclusivement pour soutenir les processus internes (p. ex. rédaction de textes, structuration de contenus, recherche générale sans lien de personne). Aucune donnée personnelle, en particulier aucune donnée de santé ou autre donnée personnelle particulièrement sensible, n'est saisie dans Claude.

Pour l'utilisation du service d'IA Claude, il est techniquement nécessaire que des données soient transmises aux serveurs du fournisseur Anthropic. Anthropic est une entreprise basée aux États-Unis. Un transfert de données vers un pays tiers sans niveau de protection des données adéquat ne peut donc pas être exclu.

Nous n'avons aucune influence sur l'importance des données collectées et traitées par Anthropic ainsi que par d'éventuels sous-traitants mandatés. Une transmission de données vers les États-Unis ne peut pas être exclue et est même extrêmement probable. Nous veillons, par le biais de directives internes adaptées, à ce qu'aucune donnée sensible ou personnelle ne soit transmise.

6. Comment les données sont-elles traitées et utilisées

Dans le cadre de nos activités, nous pouvons traiter différentes catégories de données personnelles à des fins diverses. Nous traitons notamment les données personnelles vous concernant mentionnées au point 4 aux fins suivantes:

Communication

Nous traitons les données personnelles afin de pouvoir communiquer avec vous ou avec des tiers par e-mail, téléphone, courrier ou par un autre moyen. Cela peut également se faire, par exemple, sous la forme d'envois de newsletters ou d'autres prises de contact régulières (p. ex. par voie électronique, par courrier, par téléphone). Vous pouvez refuser cette communication à tout moment ou refuser/révoquer votre consentement à celle-ci. Dans le cadre de la communication, nous traitons en particulier le contenu et les données secondaires de la communication ainsi que vos coordonnées, mais aussi des enregistrements visuels et audio d'appels téléphones (visio). En cas d'enregistrement audio ou vidéo de la communication, nous vous en informons séparément au début de l'appel et vous êtes libre de nous faire savoir si vous ne souhaitez pas d'enregistrement, ou de mettre fin à la communication, respectivement de quitter l'appel. Si nous devons ou voulons établir votre identité, nous pouvons collecter des données supplémentaires.

Activités en rapport avec les contrats, prestations, traitements

En vue de la conclusion d'un contrat avec vous ou votre mandant ou employeur, nous pouvons notamment traiter votre nom, vos coordonnées, vos déclarations de consentement, des informations sur des tiers (p. ex. personnes de contact, tiers, participants au projet, etc.), le contenu du contrat, ainsi que toutes les autres données que vous mettez à notre disposition ou que nous collectons légitimement à partir de sources publiques ou auprès de tiers.

Gestion des contrats et traitement des patients

Nous traitons des données personnelles afin de respecter nos obligations contractuelles envers nos partenaires (p. ex. fournisseurs, prestataires de services, patients) et, en particulier, de fournir et de facturer les prestations contractuelles. Cela comprend également le traitement des données pour la gestion du dossier du patient ainsi que le traitement des données pour l'exécution des contrats, la comptabilité et la communication, tant avec nos patients qu'avec des tiers et le public. À cet effet, nous traitons en particulier les données que nous avons reçues ou collectées dans le cadre de l'acquisition et de la conclusion du contrat, ainsi que les données que nous créons dans le cadre de nos prestations contractuelles ou que nous collectons ou recevons de sources publiques ou d'autres tiers. Ces données comprennent notamment les comptes rendus d'entretien, les notes, la correspondance interne et externe, les documents contractuels, les dossiers de patients de tiers, les communications d'institutions de santé et de médecins, les documents que nous créons et recevons en rapport avec le traitement des patients, les informations d'arrière-plan vous concernant ou concernant d'autres personnes, les enregistrements d'images et de sons ainsi que d'autres informations relatives aux patients, les documents, les justificatifs de prestations, les factures ainsi que les informations financières et de paiement. Si cela s'avère nécessaire pour le traitement, nous pouvons également collecter et traiter des données personnelles particulièrement sensibles à l'occasion de ces activités. Par ailleurs, en ce qui concerne la saisie des données de base des patients, nous nous conformons aux recommandations des associations suisses des ostéopathes et des physiothérapeutes. En l'absence de recommandations de ces associations, nous nous alignons généralement sur les recommandations de la FMH, la Fédération des médecins suisses.

Objectifs de sécurité, contrôles d'accès, vidéosurveillance

Nous traitons les données personnelles afin de garantir et d'améliorer en permanence la sécurité appropriée de notre informatique et de nos autres infrastructures. Cela comprend, par exemple, la surveillance et le contrôle des accès électroniques à nos systèmes informatiques ainsi que des accès à nos locaux, les analyses et tests de nos infrastructures informatiques, les contrôles de systèmes et d'erreurs et la création de copies de sauvegarde.

À des fins de documentation et de sécurité (à titre préventif et pour élucider des incidents), nous utilisons également des systèmes de surveillance («système») dans nos locaux, en particulier pour notre propre sécurité. Nous vous signalons la présence de ces systèmes de surveillance sur les sites concernés par des panneaux appropriés.

Bien que nous utilisions un système de vidéosurveillance dans les espaces du cabinet accessibles au public, aucun enregistrement n'est effectué dans les différentes salles de traitement individuelles. Ainsi, aucun enregistrement compromettant de nos patients n'est produit. 

Les données personnelles générées par le système dans les enregistrements de nos locaux sont traitées afin d'assurer la protection des personnes et des biens contre d'éventuelles agressions, vols, brigandages, dommages, vandalisme et autres délits similaires, et servent également à la protection contre l'incendie, à la sécurité au travail ainsi qu'à la poursuite de nos intérêts légitimes par la collecte de preuves et pour d'autres exigences organisationnelles.

Les enregistrements collectés ne sont pas utilisés à des fins de contrôle des activités des employés, à l'exception de la détection de comportements illégaux ou frauduleux passibles de sanctions pénales. D'une manière générale, nous avons configuré le système de manière à minimiser autant que possible la collecte et le traitement des données et à réduire ainsi au minimum les risques potentiels pour les personnes physiques concernées. Ainsi, par l'utilisation de ce système, nous ne collectons par exemple aucune donnée statistique sur les visiteurs, pas même sous forme anonymisée.

Les enregistrements sont effectués aussi bien pendant les heures d'ouverture habituelles qu'après la fermeture et pendant les périodes où les locaux sont vides, pour les motifs mentionnés ci-dessus.

Les données sont consultées exclusivement par voie électronique par la direction de BodyLab et traitées en cas de besoin. 

Pour la vidéosurveillance, nous utilisons le logiciel du prestataire Ubiquiti Networks . Les données sont stockées physiquement sur des serveurs internes de BodyLab, qui ne sont accessibles que via VPN ou application au moyen d'une authentification à deux facteurs.

Les enregistrements de la vidéosurveillance sont conservés pendant 7 jours maximum puis supprimés, à moins qu'ils ne soient requis pour des besoins spécifiques en rapport avec des activités d'enquête ou d'autres activités prescrites par la loi ou autorisées, comme pour le travail de la police ou de la justice. Les données personnelles ne sont pas divulguées ou communiquées à des tiers, à l'exception des nécessités susmentionnées.

Gestion des risques et gouvernance d'entreprise

Nous traitons des données personnelles dans le cadre de la gestion des risques et de la gouvernance d'entreprise. Cela englobe notamment notre organisation opérationnelle (p. ex. planification des ressources, données sur les collaborateurs) et le développement de l'entreprise.

Candidature à un emploi

Si vous postulez chez nous pour un emploi, nous traitons les données correspondantes afin d'examiner et d'évaluer la candidature, de mener la procédure de recrutement et, en cas de succès, de préparer et de conclure le contrat correspondant. À cet effet, outre vos coordonnées et les données issues de la communication correspondante, nous traitons en particulier les données contenues dans vos dossiers de candidature, le cas échéant des extraits de casier judiciaire, ainsi que les données supplémentaires que nous pouvons obtenir sur vous, par exemple sur les réseaux sociaux professionnels, Internet, les médias et à partir de références (si vous consentez à ce que nous demandions des références). Le traitement des données en rapport avec les rapports de travail est réglé séparément.

Exploitation de nos sites web

Afin d'exploiter notre site web de manière sûre et stable, nous collectons des données techniques, telles que l'adresse IP, des informations sur le système d'exploitation et les paramètres de votre terminal, la région, l'heure et le type d'utilisation. De plus, nous utilisons parfois des cookies et des technologies similaires. Vous trouverez de plus amples informations à ce sujet plus bas, dans la section correspondante.

Amélioration de nos offres électroniques

Afin d'améliorer en permanence notre site web et nos offres électroniques (p. ex. newsletter), nous collectons des données sur votre comportement et vos préférences, par exemple en analysant comment vous naviguez sur nos sites web et comment vous interagissez avec nos profils de réseaux sociaux ainsi qu'avec nos autres offres électroniques (p. ex. newsletter).

S'enregistrer

Pour pouvoir utiliser certaines offres et prestations (p. ex. la newsletter), vous devez vous enregistrer. À cet effet, nous traitons les données communiquées dans le cadre de l'enregistrement correspondant. En outre, nous pouvons également collecter des données personnelles vous concernant pendant l'utilisation de l'offre ou de la prestation. Si nécessaire, nous mettrons à votre disposition des informations supplémentaires sur le traitement de ces données.

Sauvegarde des données (Backup)

Afin de protéger vos données contre toute perte et de garantir leur intégrité, nous effectuons régulièrement des copies de sauvegarde cryptées de l'ensemble des données du cabinet. La sauvegarde des données se fait à plusieurs niveaux:

1. Sauvegarde locale sur NAS dans les locaux du cabinet.
   Toutes les données du cabinet sont sauvegardées régulièrement et de manière cryptée sur un Network Attached Storage (NAS) situé physiquement dans nos locaux. L'accès à ce système est limité à la direction et au service informatique.

2. Mise en miroir sur un NAS externe de la direction.
   Afin de garantir la disponibilité des données même en cas de panne de l'infrastructure locale, les données sauvegardées sur le NAS au sein de notre cabinet sont encore copiées sous forme cryptée via une connexion réseau sécurisée (tunneling) sur un autre NAS externe de la direction de BodyLab. Ce système est également accessible exclusivement à la direction et au service informatique de BodyLab.

3. Sauvegarde Cloud sur Synology C2.
   De plus, une sauvegarde protégée par mot de passe est effectuée sur un serveur Synology externe au sein du Cloud Synology au moyen de la solution de sauvegarde Synology C2 (https://c2.synology.com/fr-fr). Synology C2 utilise un cryptage côté serveur et permet un cryptage côté client au moyen de clés privées. Les centres de données de Synology C2 sont certifiés ISO 27001 et SOC 2 Type II. Un centre de données européen (actuellement en Allemagne) a été choisi comme lieu de stockage. Pour en savoir plus sur la sécurité et la protection des données chez Synology C2, rendez-vous sur https://c2.synology.com/support.

Les mesures de sauvegarde mentionnées servent exclusivement à garantir la sécurité des données et la continuité des activités. Les tiers n'ont aucun accès aux sauvegardes. La base juridique du traitement des données dans le cadre de la sauvegarde est notre intérêt légitime à la disponibilité, à l'intégrité et à la récupérabilité des données du cabinet conformément aux exigences du droit suisse de la protection des données (nLPD) ainsi qu'à nos obligations légales de conservation.

Autres buts

Les autres buts comprennent par exemple la formation initiale et continue ainsi que des tâches administratives (p. ex. la comptabilité). De plus, nous pouvons traiter des données personnelles pour l'organisation, la réalisation et le suivi d'événements, comme en particulier les listes de participants et le contenu des exposés et des discussions, mais aussi les enregistrements visuels et audio réalisés lors de ces événements. La défense d'autres intérêts légitimes fait également partie de ces objectifs, qui ne peuvent être cités de manière exhaustive.

7. Quelles données sont collectées et traitées lors de la visite de notre site web

Paramètres généraux et directives internes

Nature et profondeur des données, liens vers les prestataires

Les conditions d'utilisation et les dispositions relatives à la protection des données des services que nous utilisons peuvent changer à tout moment, et donc aussi la nature et la profondeur des données collectées par le prestataire. C'est pourquoi nous ne détaillons pas les données éventuellement collectées par le service concerné. Pour chaque service mentionné, nous fournissons toutefois le lien vers sa propre déclaration de confidentialité. Nous vérifions périodiquement les liens vers les différents services ou leurs dispositions en matière de protection des données et nous nous efforçons de les maintenir à jour. Néanmoins, il peut arriver que certains liens ne soient plus valides. Si vous deviez rencontrer un tel lien obsolète, nous vous prions de nous en informer immédiatement.

Sélection des prestataires de services, localisation des serveurs, Data Privacy Framework

Nous choisissons en principe, dans la mesure du possible, des prestataires de services dont les données sont stockées dans des centres de données situés en Suisse ou dans l'UE, si cette option est disponible. Lorsque les données sont stockées aux États-Unis, sur des serveurs CDN (et donc à l'échelle mondiale), ou dans d'autres pays, nous sélectionnons des prestataires de services de pays offrant un niveau de protection des données adéquat, comme la Suisse (pour les prestataires américains, par exemple ceux qui relèvent du cadre de protection des données entre la Suisse et les États-Unis [«Swiss-U.S. Data Privacy Framework», «SDPF», https://www.dataprivacyframework.gov/]). Parmi les prestataires américains que nous utilisons, nous choisissons presque sans exception ceux qui relèvent du SDPF. Leur conformité avec le Privacy Framework ou avec la protection des données suisse peut être consultée via le masque de recherche sous https://www.dataprivacyframework.gov/list et les détails peuvent être vérifiés à tout moment via les entrées détaillées qui y sont accessibles.

Sous-traitants, DPA, SCC, niveau de protection

Si nécessaire, nous avons conclu un contrat de sous-traitance, le plus souvent sur la base des clauses contractuelles types de l'UE (clauses contractuelles types de la Commission européenne, Standard Contractual Clauses, «SCC»), ou un addendum sur le traitement des données («DPA») avec les sous-traitants externes (ce dernier devenant souvent partie intégrante du contrat par le biais des CGU ou des conditions générales du tiers), afin de garantir un niveau de sécurité optimal. Le prestataire y garantit généralement de traiter les données personnelles conformément aux exigences et aux niveaux de protection des lois suisses et européennes sur la protection des données, même en dehors de la Suisse et de l'UE.

Au sein de notre entreprise, seuls des collaborateurs sélectionnés ont accès à ces données, conformément au principe de nécessité. Tous les collaborateurs qui accèdent à des données personnelles doivent respecter les règles et processus internes ainsi que les éventuels règlements concernant le traitement des données personnelles, afin de les protéger et de garantir leur confidentialité.

Sécurité, cryptage (externe)

Nous avons pris des mesures de sécurité techniques et organisationnelles appropriées afin de protéger vos données personnelles, collectées lors de votre visite sur le site web, contre toute utilisation non autorisée, accidentelle ou illicite.

Pour protéger la sécurité de la transmission des données, nous utilisons le cryptage usuel (p. ex. SSL) via HTTPS.

Administration

Nous administrons nous-mêmes notre site web. CarigietSolutions, Männedorf, est chargé de la gestion de notre site web pour notre compte (www.carigiet-solution.ch).

Cookies

Lors de l'utilisation de nos sites web (y compris la newsletter), des données sont générées et enregistrées dans des journaux (en particulier des données techniques). De plus, nous pouvons utiliser des cookies et des techniques similaires (p. ex. pixels invisibles ou empreintes digitales) pour reconnaître les visiteurs du site, évaluer leur comportement et identifier leurs préférences. Un cookie est un petit fichier qui est transmis entre votre système et le serveur et qui permet de reconnaître un appareil ou un navigateur spécifique.

La plupart du temps, vous pouvez configurer votre navigateur de manière à ce qu'il refuse, accepte ou supprime automatiquement les cookies. Vous pouvez également désactiver ou supprimer les cookies au cas par cas, ou refuser de manière générale le placement de cookies pour notre site web. Pour savoir comment gérer les cookies dans votre navigateur, consultez le menu d'aide de celui-ci.

En règle générale, ni les données techniques que nous collectons ni les cookies ne contiennent de données personnelles. Toutefois, les données personnelles que nous ou les tiers que nous avons mandatés enregistrons à votre sujet (p. ex. si vous possédez un compte d'utilisateur auprès de ces prestataires ou si vous êtes toujours connecté au service du tiers pendant votre visite sur notre site web) peuvent être liées aux données techniques ou aux informations stockées dans les cookies et obtenues à partir de ceux-ci, et donc éventuellement à votre personne.

Réseaux Sociaux

Nous n'utilisons actuellement pas de plug-ins de réseaux sociaux (petits modules logiciels) qui établissent une connexion entre votre visite sur nos sites web et un prestataire tiers, mais nous intégrons uniquement des liens vers des contenus sur des plateformes de réseaux sociaux.

Le plug-in de réseau social indique au fournisseur tiers que vous avez visité nos sites web et peut lui transmettre des cookies placés auparavant sur votre navigateur web. Pour plus d'informations sur la façon dont ces tiers utilisent les données personnelles collectées via leurs plug-ins de réseaux sociaux, veuillez consulter leurs déclarations de confidentialité respectives.

Par ailleurs, nous utilisons nos propres outils ainsi que des services de tiers (qui peuvent eux-mêmes utiliser des cookies) sur nos sites web, notamment pour améliorer la fonctionnalité ou le contenu de nos sites (p. ex. intégration de vidéos ou de cartes), pour établir des statistiques ainsi que pour diffuser de la publicité.

Données personnelles sur nos pages de réseaux sociaux

Nous gérons des présences en ligne sur des réseaux sociaux et d'autres plateformes gérées par des tiers, et traitons dans ce cadre des données vous concernant. Nous recevons alors des données de votre part (p. ex. lorsque vous communiquez avec nous ou commentez nos contenus) et des plateformes (p. ex. des statistiques). Les fournisseurs des plateformes peuvent analyser votre utilisation et traiter ces données avec d'autres données dont ils disposent sur vous. Ils traitent également ces données pour leurs propres objectifs (p. ex. à des fins de marketing et d'études de marché, de gestion de leurs plateformes), et agissent à cet effet en tant que responsables propres. Pour en savoir plus sur le traitement des données par les exploitants de plateformes, veuillez consulter les politiques de confidentialité des plateformes concernées.

Services de tiers utilisés lors de l'utilisation de notre site web

1. Hébergement, CMS, Web Design, fonction de recherche, cookies

Fournisseur: Framer B.V., Rozengracht, 1016 LZ Amsterdam, Pays-Bas («Framer»)

Protection des données: https://www.framer.com/legal/privacy-statement/

Base juridique: Intérêt légitime; vous pouvez adapter votre consentement aux différentes catégories de cookies avant et pendant votre visite sur notre site web. Cookie Script est mis à disposition par le CMS Framer pour l'utilisation des sites web créés avec Framer.

2. Fonctions de calendrier, saisie de rendez-vous, fonctions de réservation 

Nous utilisons OneDoc comme outil intégré de recherche et de prise de rendez-vous. Les données échangées via OneDoc sont cryptées aussi bien lors de la transmission qu'au repos, et sont décryptées lors de la consultation. Pour les droits de consultation, ce sont les CGU de OneDoc qui s'appliquent, sur lesquelles nous n'avons aucune influence. Les données autres que celles relatives au patient, à l'adresse ainsi que celles saisies par le thérapeute ne sont pas stockées. En particulier, les données de nos patients saisies en interne concernant des données personnelles particulièrement sensibles et l'historique médical ne sont pas transmises à OneDoc. Pour les messages automatiques envoyés par OneDoc au patient, le nom, le numéro de téléphone mobile et l'adresse e-mail sont toujours enregistrés, pour autant qu'ils soient connus.

Service: OneDoc

Fournisseur: OneDoc SA, Chemin des Mines 15 bis, CH-1202 Genève

Protection des données: https://privacy.onedoc.ch/fr/privacy-policy

Base juridique: Votre consentement, que vous donnez en utilisant la fonction de réservation.

3. Google Services

Notre site Internet utilise différents services de filiales de l'entreprise américaine Alphabet Inc. (cf. tableau). Ces services renvoient tous, en règle générale, aux mêmes règles de protection des données, que l'on peut trouver sur https://policies.google.com/privacy.

Si la fonction d'anonymisation de l'IP est activée, votre adresse IP est abrégée par Google avant d'être transmise aux États-Unis. L'adresse IP complète n'est transmise à un serveur de Google aux États-Unis et abrégée là-bas que dans des cas exceptionnels. Google utilise ces informations transmises pour évaluer votre utilisation, pour concevoir des prestations d'analyse sur ces activités et pour nous fournir d'autres prestations de services, comme des services de cartographie.

Fournisseur/Siège social: Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA (sauf mention contraire et séparée)

Informations générales sur la protection des données pour les services Google: https://policies.google.com/privacy?hl=fr-CH 

(dans la mesure où d'autres informations pertinentes sur la protection des données sont mises à disposition pour le service spécifique, elles sont mentionnées séparément. Sinon, les règles générales de confidentialité de Google s'appliquent)

Service: Google Analytics

Informations sur la protection des données: https://support.google.com/analytics/topic/2919631?hl=fr&ref_topic=1008008&sjid=11159380926726341526-EU

Informations pour les comptes Google: https://policies.google.com/technologies/partner-sites?hl=fr

Base juridique: Votre consentement, que vous donnez au préalable et que vous pouvez révoquer ultérieurement. 

Service: Google Maps

Base juridique: Intérêt légitime ou votre consentement, que vous donnez au préalable et que vous pouvez révoquer ultérieurement. 

Service: Google Looker Studio

Base juridique: Votre consentement, que vous donnez au préalable et que vous pouvez révoquer ultérieurement. 

Service: Google Tag Manager

Base juridique: Votre consentement, que vous donnez au préalable et que vous pouvez révoquer ultérieurement. 

Service: Google Ads 

Base juridique: Votre consentement, que vous donnez au préalable et que vous pouvez révoquer ultérieurement. 

Service: Google Marketing Platform 

Base juridique: Votre consentement, que vous donnez au préalable et que vous pouvez révoquer ultérieurement. 

Service: Google MyBusiness

Base juridique: Intérêt légitime 

Service: YouTube

Fournisseur: YouTube, LLC, 901 Cherry Ave., San Bruno, CA 94066, USA

Base juridique: Intérêt légitime

4. Liens vers les Réseaux Sociaux

Nous permettons uniquement d'accéder à des publications liées sur différents réseaux sociaux. Les liens vers nos propres pages sur des plateformes de réseaux sociaux sont également conçus de cette manière. Ces liens sont certes présents sur notre site web et redirigent activement vers les plateformes correspondantes. Cependant, nous n'utilisons pas de cookies actifs des exploitants de plateformes ou, par exemple, le pixel Facebook. Nous ne pouvons toutefois pas garantir que les exploitants de plateformes, lorsque vous cliquez sur le lien, ne puissent pas en tirer certaines conclusions sur votre personne ou sur votre comportement d'utilisateur/de navigation.

Nous sommes en droit, mais non obligés, de vérifier les contenus avant ou après leur publication sur nos espaces en ligne, de supprimer des contenus sans préavis et, le cas échéant, de les signaler à l'exploitant de la plateforme concernée.

Service: LinkedIn

Fournisseur: LinkedIn Ireland Unlimited Company ou LinkedIn Corporation

Informations sur la protection des données: https://www.linkedin.com/legal/privacy-policy?_l=fr_FR

Base juridique: Votre consentement, que vous donnez au préalable et que vous pouvez révoquer ultérieurement.

Service: Facebook

Fournisseur: Meta Inc., 1 Meta Way, Menlo Park, CA 94025, USA

Informations sur la protection des données: https://www.facebook.com/privacy/policy

Base juridique: Votre consentement, que vous donnez au préalable et que vous pouvez révoquer ultérieurement.

Service: Instagram

Fournisseur: Meta Inc., Menlo Park, CA 94025, USA

Informations sur la protection des données: https://privacycenter.instagram.com/policy

Base juridique: Votre consentement, que vous donnez au préalable et que vous pouvez révoquer ultérieurement.

5. Polices de caractères (Fonts)

Fournisseur: Google Fonts, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA

Mis à disposition par: Framer (cf. point 1)

Protection des données: https://developers.google.com/fonts/faq/privacy?hl=fr

Base juridique: Intérêt légitime

8. A qui les données seront-elles divulguées

Dans le cadre de nos activités commerciales, nous pouvons transmettre vos données personnelles, conformément au principe de nécessité ou à votre consentement explicite, aux fins exposées et si cela s'avère opportun, à des tiers (tels que des sociétés affiliées, des autorités, des professionnels de la santé, des fournisseurs, des auxiliaires comme notamment des spécialistes indépendants et d'autres partenaires commerciaux ainsi que d'autres personnes) et à des prestataires de services qui traitent des données pour notre compte (p. ex. fournisseurs informatiques). Nous pouvons également être contraints de divulguer vos données personnelles pour répondre à des exigences légales ou réglementaires. Les destinataires peuvent avoir leur siège en Suisse, dans l'UE ou dans tout autre pays du monde.

Si nous transférons des données vers un pays ne disposant pas d'un niveau légal adéquat de protection des données, nous veillons à assurer un niveau de protection approprié (notamment sur la base de clauses contractuelles types ou d'un accord de traitement des données DPA) comme le prévoit la loi, ou nous nous basons sur les exceptions légales que sont le consentement, l'exécution du contrat, la constatation, l'exercice ou la défense de droits en justice liés au projet, ou des intérêts publics prépondérants. 

9. Comment et combien de temps stockons-nous les données

Les données personnelles que nous collectons ne sont conservées que le temps nécessaire à l'exécution de la relation contractuelle (de l'initialisation de la relation commerciale jusqu'à la fin d'un contrat ou à la durée du traitement), ou à la réalisation des autres objectifs poursuivis par le traitement, ou s'il existe une obligation légale de conservation et de documentation, ou un intérêt privé ou public prépondérant, ou encore si le stockage est dicté par des impératifs techniques (p. ex. dans le cas de sauvegardes ou de systèmes de gestion de documents). Dès que les données personnelles que nous collectons ne sont plus nécessaires aux fins mentionnées ci-dessus, elles sont supprimées ou anonymisées, conformément à nos procédures habituelles et à nos pratiques de conservation ainsi qu'au droit applicable.

10. Où les données sont-elles stockées

Généralités sur le lieu de stockage des données

Selon l'ampleur de vos interactions avec nos offres, vos données personnelles peuvent être stockées ou consultées dans plusieurs pays. Chaque fois que nous transférons des données personnelles vers d'autres pays, nous veillons, au mieux de nos connaissances, à ce que ces données soient transférées conformément à la présente déclaration de confidentialité et dans le respect des lois applicables sur la protection des données.

Pour les visiteurs de notre site web

Vos données sont stockées sur les sites de nos sous-traitants externes mentionnés ci-dessus, conformément aux services déployés, aux configurations appliquées et selon le principe de nécessité.

Pour les partenaires commerciaux et les tiers

Vos données sont stockées en partie sur les sites de nos sous-traitants externes mentionnés ci-dessus, ainsi qu'en particulier en interne chez nous. 

11. Quels sont vos droits personnels

Selon le droit suisse, vous disposez des droits suivants:

• Droit d'accès
  Droit de demander si nous détenons des données personnelles vous concernant, d'obtenir des copies de ces données ainsi que des informations sur la manière dont elles sont traitées;

• Droit de rectification
  Droit de corriger des données personnelles inexactes vous concernant;

• Droit à l'effacement
  Droit de demander l'effacement des données personnelles vous concernant qui ne sont plus nécessaires aux fins qui ont motivé leur traitement, ou traitées sur la base d'un consentement révoqué ou en violation de la législation applicable;

• Limitation du traitement
  Droit de nous demander de limiter le traitement de vos données personnelles si le traitement est inapproprié, et de vous opposer au traitement de ces données;

• Droit à la portabilité
  Droit de demander la portabilité des données personnelles que vous nous avez fournies;

Si vous le souhaitez, vous pouvez à tout moment vous adresser à l'adresse de contact que nous vous avons communiquée. Le délai de réponse à votre demande peut aller jusqu'à 30 jours.

Si vous avez consenti au traitement de vos données personnelles pour un but précis, vous pouvez retirer votre consentement à tout moment, et nous cesserons de traiter vos données à cette fin.

Réclamations et autorité de contrôle

Si vous estimez que nous n'avons pas répondu à vos réclamations ou à vos préoccupations, vous avez le droit de déposer une réclamation auprès d'une autorité compétente en matière de protection des données.

12. Dispositions complémentaires

Clause de modification

La présente déclaration de confidentialité ne fait pas partie intégrante d'un contrat conclu avec vous. Nous pouvons modifier cette déclaration à tout moment. La version publiée sur ce site web est la version actuellement en vigueur.

Validité juridique, langue applicable

Si nous mettons à disposition des dispositions relatives à la protection des données dans d'autres langues que l'allemand, celles-ci sont généralement traduites par machine; ces versions non allemandes de la déclaration de confidentialité ne sont mises à la disposition de nos utilisateurs qu'à des fins d'information et pour une meilleure compréhension. Seule la déclaration de confidentialité rédigée en langue allemande fait foi.