POLITIQUE DE CONFIDENTIALITÉ
Introduction
Chez UnPatient, nous sommes amenés à traiter vos données personnelles, y compris des données de santé.
Nous y accordons une attention particulière, car elles sont parmi les plus sensibles. Leur sécurité et leur confidentialité sont au cœur de notre fonctionnement.
La présente Politique de Confidentialité a pour objet de vous expliquer concrètement, traitement par traitement, quelles données sont collectées, dans quel but, sur quelle base légale, qui y a accès et combien de temps UnPatient les conserve. Nous avons pour cela choisi une structure répétée et prévisible pour que vous puissiez naviguer facilement dans ce document et trouver rapidement l'information qui vous concerne.
Ce document s'applique à l'ensemble des Services UnPatient, quel que soit le support utilisé pour y accéder (application mobile, site internet ou toute autre interface). Il doit être lu conjointement avec nos Conditions Générales d'Utilisation (CGU), disponibles à l'adresse www.unpatient.ai/cgu.
Une politique de confidentialité, c'est aussi un engagement. Le nôtre : ne collecter que ce qui est strictement nécessaire, protéger vos données avec les mesures techniques les plus adaptées, et vous donner les moyens d'exercer vos droits simplement. Pour toute question, notre Délégué à la Protection des Données (DPO) est joignable à privacy@unpatient.fr.
Nous la mettons à jour régulièrement pour refléter les évolutions de nos services ou de la réglementation. En cas de changement important, nous vous en informerons.
Article 1 - Qui sommes-nous et comment lire ce document ?
1.1 Identité du responsable de traitement
Le responsable de traitement au sens de l'article 4 §7 du RGPD est :
UnPatient SAS — Société par actions simplifiée
Siège social : Bureau 326, 59 Rue de Ponthieu, 75008 Paris
RCS Paris : 980 874 895
Contact DPO : privacy@unpatient.fr
1.2 Les acteurs impliqués dans vos données
Comprendre qui traite vos données chez UnPatient nécessite de distinguer plusieurs acteurs, dont les rôles sont définis par le RGPD :
UnPatient agit en qualité de responsable de traitement pour la gestion de votre Compte, de votre Abonnement et de la relation client. Pour les données de santé traitées dans le cadre des Prestations Médicales, UnPatient agit en qualité de sous-traitant pour le compte des Médecins Partenaires.
Les Médecins Partenaires sont des professionnels de santé indépendants, liés à UnPatient par un contrat de prestation de services. Ils sont responsables de traitement autonomes pour les données de santé qu'ils traitent dans le cadre des Prestations Médicales qu'ils réalisent. Les droits relatifs à ces traitements s'exercent directement auprès d'eux.
Les Chargés de Parcours de Santé sont des membres de l'équipe UnPatient. Ils accèdent à certaines de vos données dans le strict cadre du mandat que vous leur confiez pour l'organisation de votre Conciergerie Médicale, sur prescription ou recommandation exclusive d'un Médecin Partenaire.
1.3 Comment lire ce document
Chaque article de traitement (articles 2 à 8) suit la même structure, pour que vous puissiez trouver rapidement ce qui vous intéresse :
Données concernées : quelles données nous traitons dans ce cadre
Finalité : pourquoi nous traitons ces données
Base légale : le fondement juridique du traitement au sens du RGPD
Destinataires : qui a accès à ces données
Durée de conservation : combien de temps nous les conservons
Article 2 - Gestion du compte et de l'abonnement
Ce traitement couvre toutes les données que nous collectons pour créer et gérer votre Compte, gérer votre Abonnement et assurer la relation client.
Données concernées
Données d'identification : nom, prénom, date de naissance, adresse postale, adresse e-mail, numéro de téléphone ;
Données de connexion : logs de connexion, support utilisé, actions réalisées sur la Plateforme ;
Données de paiement : traitées directement par notre prestataire de paiement sécurisé — UnPatient ne stocke pas vos coordonnées bancaires.
Finalité
Création et gestion de votre Compte, gestion de votre Abonnement (souscription, renouvellement, résiliation), facturation, réponse à vos demandes et réclamations, gestion du droit de rétractation.
Base légale
Exécution du contrat d'Abonnement (art. 6 §1 b RGPD).
Destinataires
Le personnel habilité d'UnPatient (équipe administrative, service client), dans la stricte limite de leurs attributions. Le prestataire de paiement sécurisé pour les données de paiement.
Durée de conservation
Données du Compte et de l'Abonnement : pendant la durée de l'Abonnement, puis trois (3) ans à compter de la résiliation, au titre de la prescription de droit commun (art. 2224 du Code civil). Données de facturation : dix (10) ans à compter de la clôture de l'exercice comptable.
Article 3 - Prestations Médicales
Ce traitement couvre les données collectées et traitées dans le cadre des Prestations Médicales réalisées par les Médecins Partenaires via la Plateforme. Il s'agit du traitement le plus sensible : il porte sur des données de santé au sens de l'article 9 du RGPD.
Données concernées
Données de santé renseignées par l'Abonné dans son Dossier de Santé : antécédents médicaux, traitements en cours, allergies, symptômes, résultats d'examens, documents médicaux ;
Données relatives aux échanges avec les Médecins Partenaires : messages, comptes-rendus de Prestations Médicales.
Finalité
Réalisation des Prestations Médicales par les Médecins Partenaires, constitution et mise à jour du Dossier de Santé, suivi longitudinal de l'état de santé de l'Abonné dans le cadre des Prestations Médicales.
Base légale
Exécution du contrat d'Abonnement (art. 6 §1 b RGPD) pour les données non sensibles. Consentement explicite de l'Abonné (art. 9 §2 a RGPD) pour les données de santé.
Qualification des rôles RGPD
Pour ce traitement, UnPatient agit en qualité de sous-traitant au sens de l'article 28 du RGPD pour le compte des Médecins Partenaires, lesquels sont responsables de traitement. UnPatient ne traite ces données que sur instruction des Médecins Partenaires et conformément aux stipulations du contrat de prestation de services conclu avec chacun d'eux.
UnPatient et les Médecins Partenaires agissent conjointement en qualité de co-responsables de traitement au sens de l'article 26 du RGPD pour la phase de collecte et de transmission des données de santé vers les outils d'analyse intégrés à la Plateforme.
Hébergement
Les données de santé sont hébergées exclusivement auprès d'un prestataire certifié Hébergeur de Données de Santé (HDS) conformément à l'article L.1111-8 du Code de la santé publique. L'identité de l'hébergeur est disponible sur simple demande à privacy@unpatient.fr.
Destinataires
Les Médecins Partenaires en charge du suivi de l'Abonné. Le personnel technique habilité d'UnPatient, dans le strict cadre de la maintenance et de la sécurité de la Plateforme, sous obligation de confidentialité renforcée. L'hébergeur HDS certifié.
Durée de conservation
Vingt (20) ans à compter de la dernière Prestation Médicale, conformément à l'article R.1112-7 du Code de la santé publique.
Article 4 - Conciergerie Médicale
Ce traitement couvre les données utilisées dans le cadre de la prestation de Conciergerie Médicale, assurée par les Chargés de Parcours de Santé d'UnPatient. Cette prestation intervient exclusivement sur prescription ou recommandation d'un Médecin Partenaire, lorsque la situation médicale de l'Abonné nécessite une orientation vers un Opérateur de Santé du système de soins physique en France.
Données concernées
Données d'identification de l'Abonné : nom, prénom, adresse e-mail, numéro de téléphone, adresse postale ;
Données médicales strictement nécessaires à la coordination : nature de la prise en charge requise, priorité médicale définie par le Médecin Partenaire, disponibilités de l'Abonné ;
Données de coordination : historique des contacts avec les Opérateurs de Santé sollicités, créneaux proposés, confirmations et annulations.
Finalité
Identification des Opérateurs de Santé adaptés à la situation de l'Abonné, prise de contact et organisation des orientations, suivi de la coordination du parcours de soins.
Base légale
Exécution du contrat d'Abonnement (art. 6 §1 b RGPD). Pour les données de santé strictement nécessaires à la coordination : consentement explicite de l'Abonné (art. 9 §2 a RGPD), recueilli lors de l'activation de la prestation.
Mandat et indépendance des Opérateurs de Santé
Les Chargés de Parcours de Santé agissent dans le cadre d'un mandat de l'Abonné. Ils communiquent aux Opérateurs de Santé les seules informations strictement nécessaires à l'organisation de la prise en charge, dans la limite de ce que le Médecin Partenaire a prescrit ou recommandé. Les Opérateurs de Santé vers lesquels l'Abonné est orienté sont des tiers indépendants. UnPatient ne détient aucun lien financier avec eux et n'est pas responsable des actes qu'ils réalisent.
Destinataires
Les Chargés de Parcours de Santé d'UnPatient habilités, dans le cadre de leur mission. Les Opérateurs de Santé sollicités, pour les seules informations nécessaires à l'organisation de la prise en charge, sur prescription ou recommandation du Médecin Partenaire.
Durée de conservation
Données de coordination : trois (3) ans à compter de la dernière action de coordination, au titre de la prescription de droit commun. Les données de santé transmises dans ce cadre suivent la durée de conservation applicable aux données de santé (vingt ans, art. R.1112-7 CSP).
Article 5 - Objets connectés et applications tierces
Ce traitement est facultatif. Il n'est activé que si vous choisissez de connecter vos dispositifs de mesure de santé ou vos applications tierces à la Plateforme, et uniquement après recueil de votre consentement explicite.
Données concernées
Données de mesure physiologique issues des Objets Connectés et applications tierces (notamment Apple Santé / HealthKit) : fréquence cardiaque, activité physique, sommeil, glycémie, et toute autre mesure que vous choisissez de partager.
Finalité
Enrichissement de votre Dossier de Santé, mise à disposition des données au Médecin Partenaire en charge de votre suivi dans le cadre des Prestations Médicales.
Base légale
Consentement explicite, libre, spécifique, éclairé et univoque de l'Abonné (art. 9 §2 a RGPD), recueilli via la Plateforme préalablement à toute collecte. Vous pouvez retirer ce consentement à tout moment depuis les paramètres de votre Compte, sans que ce retrait n'affecte la licéité des traitements antérieurement réalisés.
Destinataires
Le Médecin Partenaire en charge de votre suivi. Le personnel technique habilité d'UnPatient, dans le strict cadre de la maintenance et de la sécurité. L'hébergeur HDS certifié.
Durée de conservation
Vingt (20) ans à compter de la collecte, selon les mêmes règles que les données de santé (art. R.1112-7 CSP).
Article 6 - Intelligence Artificielle (IA)
La Plateforme est susceptible d'intégrer des outils d'Intelligence Artificielle destinés à améliorer la qualité et la personnalisation des Services. Le principe fondamental qui gouverne ces traitements est le suivant : aucun outil IA ne traite de données de santé identifiées.
Données concernées
Exclusivement des données préalablement et irréversiblement anonymisées, au sens des lignes directrices du Comité Européen de la Protection des Données (CEPD, avis WP216). Cette anonymisation est réalisée en amont de tout traitement IA, rendant techniquement impossible la réidentification d'un Abonné.
Finalité
Analyse statistique des parcours de soins à des fins d'amélioration des Services. Amélioration des algorithmes d'aide à la décision mis à disposition des Médecins Partenaires.
Base légale
Intérêt légitime d'UnPatient (art. 6 §1 f RGPD). Les données étant anonymisées de manière irréversible, elles ne constituent plus des données à caractère personnel au sens du RGPD et sont exclues de son champ d'application. Les exigences du Règlement (UE) 2024/1689 sur l'Intelligence Artificielle sont par ailleurs respectées.
Destinataires
L'équipe technique habilitée d'UnPatient, dans le cadre du développement et de la maintenance des outils IA.
Durée de conservation
Les données anonymisées ne sont pas soumises aux durées de conservation du RGPD. Elles peuvent être conservées pour les besoins du développement des Services.
Vos droits spécifiques
Vous disposez du droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets significatifs à votre égard. Pour toute question sur l'utilisation des outils IA : privacy@unpatient.fr.
Article 7 - Navigation sur le site et formulaires de contact
Ce traitement couvre les données collectées lors de votre navigation sur le site www.unpatient.ai et de l'utilisation de nos formulaires de contact ou d'inscription, indépendamment de tout Abonnement.
Données concernées
Données de navigation : adresse IP, type et version du navigateur, système d'exploitation, pages visitées, date, heure et durée de connexion ;
Données de formulaire de contact : nom, prénom, adresse e-mail, numéro de téléphone, pays, objet et contenu du message ;
Données d'inscription sur liste d'attente : nom, prénom, adresse e-mail, numéro de téléphone, pays, parrain éventuel.
Finalité
Fonctionnement et sécurisation du site, réponse à vos demandes de contact, gestion de la liste d'attente et de l'onboarding des futurs Abonnés, mesure d'audience (sous réserve de votre consentement pour les cookies non strictement nécessaires).
Base légale
Intérêt légitime d'UnPatient pour les données de navigation strictement nécessaires au fonctionnement du site (art. 6 §1 f RGPD). Consentement pour les cookies de mesure d'audience (art. 6 §1 a RGPD). Exécution de mesures précontractuelles pour les formulaires d'inscription (art. 6 §1 b RGPD).
Destinataires
Le personnel habilité d'UnPatient. Les prestataires techniques d'hébergement et d'analyse d'audience, agissant en qualité de sous-traitants.
Durée de conservation
Données de navigation et cookies de mesure d'audience : treize (13) mois. Données de formulaire de contact : trois (3) ans à compter du dernier contact.
Article 8 - Paiement
Le traitement des données de paiement est confié à un prestataire de paiement sécurisé. UnPatient ne stocke pas vos coordonnées bancaires.
Données concernées
Données nécessaires à la transaction (numéro de carte, date d'expiration, cryptogramme) traitées directement et exclusivement par le prestataire de paiement. UnPatient ne reçoit en retour qu'un identifiant de transaction et la confirmation du paiement.
Finalité
Encaissement de l'Abonnement et des renouvellements, gestion des échecs de paiement.
Base légale
Exécution du contrat d'Abonnement (art. 6 §1 b RGPD).
Destinataires
Le prestataire de paiement sécurisé, agissant en qualité de responsable de traitement autonome pour les données de paiement. Les conditions d'utilisation du prestataire de paiement sont accessibles sur son site.
Durée de conservation
Selon les règles propres au prestataire de paiement et les obligations légales applicables en matière de lutte contre le blanchiment et de tenue des registres comptables.
Article 9 - Hébergement des données de santé
Conformément à l'article L.1111-8 du Code de la santé publique, toutes les données de santé à caractère personnel collectées dans le cadre des Services sont hébergées exclusivement auprès d'un prestataire certifié Hébergeur de Données de Santé (HDS) par l'Agence du Numérique en Santé (ANS).
Cette certification garantit que l'hébergement des données de santé respecte les exigences de sécurité, de confidentialité et de disponibilité imposées par la réglementation française. Les accès à ces données sont strictement contrôlés et limités aux personnes habilitées dans le cadre de leur mission.
Aucune donnée de santé n'est hébergée en dehors de l'infrastructure certifiée HDS, ni transférée en dehors de l'Union européenne. L'identité de l'hébergeur certifié est disponible sur simple demande à privacy@unpatient.fr.
Article 10 - Sous-traitants et destinataires tiers
UnPatient recourt à des prestataires techniques agissant en qualité de sous-traitants au sens de l'article 28 du RGPD. Ces prestataires n'accèdent à vos données que dans le cadre strictement nécessaire à leurs missions et sont liés à UnPatient par des contrats garantissant un niveau de protection conforme au RGPD.
Les catégories de sous-traitants concernés sont notamment :
Hébergement des données de santé : prestataire certifié HDS (identité disponible sur demande) ;
Hébergement technique de la Plateforme ;
Traitement des paiements : prestataire de paiement sécurisé ;
Outils de mesure d'audience et d'analyse, sous réserve de votre consentement.
En cas de communication à des autorités judiciaires, administratives ou réglementaires, UnPatient ne communique que les données strictement requises par la demande légale ou réglementaire.
UnPatient s'engage à ne pas transférer vos données hors de l'Union européenne sans s'assurer au préalable que le pays destinataire offre un niveau de protection adéquat ou sans avoir mis en place les garanties appropriées (clauses contractuelles types de la Commission européenne, décision d'adéquation, etc.).
Article 11 - Vos droits
Conformément au RGPD et à la loi n° 78-17 du 6 janvier 1978 modifiée, vous disposez des droits suivants sur vos données à caractère personnel. Ces droits s'exercent en adressant une demande écrite accompagnée d'un justificatif d'identité à privacy@unpatient.fr. UnPatient s'engage à répondre dans un délai d'un (1) mois, prolongeable de deux (2) mois supplémentaires en cas de demande complexe.
11.1 Droit d'accès (art. 15 RGPD)
Vous pouvez obtenir la confirmation que des données vous concernant sont traitées, en obtenir une copie et connaître les modalités de traitement.
11.2 Droit de rectification (art. 16 RGPD)
Vous pouvez demander la correction de données inexactes ou incomplètes vous concernant.
11.3 Droit à l'effacement (art. 17 RGPD)
Vous pouvez demander la suppression de vos données, sous réserve des obligations légales de conservation. En particulier, les données de santé doivent être conservées vingt (20) ans conformément à l'article R.1112-7 du Code de la santé publique : ce délai ne peut être abrégé.
11.4 Droit à la limitation (art. 18 RGPD)
Vous pouvez demander la limitation du traitement de vos données dans les cas prévus par le RGPD.
11.5 Droit à la portabilité (art. 20 RGPD)
Vous pouvez recevoir vos données dans un format structuré et lisible par machine, et les transmettre à un autre responsable de traitement.
11.6 Droit d'opposition (art. 21 RGPD)
Vous pouvez vous opposer au traitement de vos données fondé sur l'intérêt légitime d'UnPatient, pour des raisons tenant à votre situation particulière.
11.7 Droit de retrait du consentement
Pour les traitements fondés sur votre consentement (données des Objets Connectés, suivi longitudinal), vous pouvez retirer ce consentement à tout moment depuis les paramètres de votre Compte, sans effet rétroactif.
11.8 Droits relatifs aux données de santé traitées par les Médecins Partenaires
Pour les données de santé dont les Médecins Partenaires sont responsables de traitement, vos droits s'exercent directement auprès du Médecin Partenaire concerné. UnPatient assiste les Médecins Partenaires dans le traitement de ces demandes.
11.9 Droit de saisir la CNIL
En cas de réclamation non satisfaite, vous pouvez saisir la Commission Nationale de l'Informatique et des Libertés (CNIL) :
3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07 — www.cnil.fr
Article 12 - Sécurité des données
UnPatient met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD. Ces mesures incluent notamment : chiffrement des données en transit et au repos, contrôle des accès par authentification forte, traçabilité des accès aux données de santé, audits de sécurité réguliers, et formation des personnels habilités.
En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour vos droits et libertés, UnPatient notifie la Commission Nationale de l'Informatique et des Libertés (CNIL) dans les soixante-douze (72) heures suivant la prise de connaissance de l'incident, conformément à l'article 33 du RGPD. Vous êtes informé sans délai si cette violation est susceptible d'engendrer un risque élevé pour vos droits et libertés.
Article 13 - Cookies et traceurs
Les supports d'accès aux Services (site internet, application mobile) sont susceptibles d'utiliser des cookies et traceurs. Les cookies strictement nécessaires au fonctionnement des Services sont déposés sans consentement préalable. Les autres cookies sont déposés sous réserve de votre consentement, recueilli lors de votre première visite.
La politique détaillée en matière de cookies, précisant leur nature, leurs finalités, leur durée de vie et les modalités de gestion de vos préférences, est accessible à l'adresse www.unpatient.ai/cookies.
Article 14 - Modifications de la présente Politique
UnPatient se réserve le droit de modifier la présente Politique à tout moment, notamment en cas d'évolution des Services, de la réglementation applicable ou de nos pratiques de traitement. Toute modification substantielle est notifiée aux Abonnés par e-mail et par affichage sur la Plateforme, avec un préavis raisonnable avant son entrée en vigueur.
La version en vigueur est consultable à tout moment à l'adresse www.unpatient.ai/politique-de-confidentialite. La date de dernière mise à jour figure en pied du présent document.
Article 15 - Droit applicable
La présente Politique est soumise au droit français et aux dispositions du Règlement (UE) 2016/679 (RGPD). Tout litige relatif à son interprétation ou à son application relève de la compétence des juridictions françaises compétentes.