POLITIQUE DE PROTECTION DES DONNÉES

1. PRÉAMBULE

La présente politique de protection des données (ci-après désignée « la Politique ») concerne la relation entre la société par actions simplifiée SMARTDIET, immatriculée au RCS de Paris et dont le siège social est situé 5, Rue Primo Levi - 75013 PARIS (ci-après dénommée « SMARTDIET »), et toute personne dont les données à caractère personnel sont traitées par SMARTDIET à l’occasion de sa navigation sur le site internet, de l’application ou encore lors de l’exécution des prestations de services par SMARTDIET et ses partenaires. 

SMARTDIET propose en ligne des programmes nutritionnels (ci-après « les Services »).  Les Services sont décrits et accessibles à l’URL https://smartdiet.fr/ (ci-après « le Site Web ») et sur son application mobile Android et IOS (ci-après « l’Application »).

Le Site Web est édité par SMARTDIET qui a dûment désigné un DPO (pour Délégué à la Protection des Données) joignable à l’adresse : protectiondata@smartdiet.fr.

2. DÉFINITIONS

Pour l’interprétation et l’exécution de la présente Politique, les termes employés ci-après sont définis de la façon suivante : 

« Collaborateur/Adhérent » : désigne le personnel de l’entreprise qui conclut avec SMARTDIET dans le cadre de la formule SMARTDIET Entreprise ;

« Délégué à la Protection des Données » ou « DPO » : désigne la personne en charge de conseiller et de contrôler le Responsable du traitement en matière de protection des Données à caractère personnel. En l’espèce, le DPO de SMARTDIET est joignable à l’adresse : protectiondata@smartdiet.fr;

« Diététicien » : personne physique réalisant les prestations en tant que professionnel de santé pour le compte de SMARTDIET ;

« Données à caractère personnel » ou « Données » : désigne toute information permettant d’identifier directement ou indirectement une personne physique, telles que nom, prénom, mail, adresse postale, téléphone, etc., incluant les données de santé des Utilisateurs et Patients susceptibles de révéler l’état de santé de ces derniers ; 

« Entreprise/Acteur de la protection sociale » : désigne les clients professionnels ou potentiels clients professionnels de SMARTDIET qui souhaitent proposer à leurs Collaborateurs/Adhérents les services de SMARTDIET ;

« Patient » : désigne la personne bénéficiant ou souhaitant bénéficier des services proposés par SMARTDIET, le terme de Patient incluant le Patient potentiel et étant aussi un Utilisateur par définition ;

« Responsable du traitement » : désigne la personne, le service ou l’organisme qui détermine les finalités et les moyens du traitement de Données à caractère personnel, en l’occurrence SmartDiet ; 

« Services » : désigne l’ensemble des services, produits et prestations accessibles via le Site Web et/ou l’Application ;

« Sous-Traitant » : désigne la personne physique ou morale qui traite des Données à caractère personnel pour le compte du Responsable du traitement, sur ses instructions et sous son autorité ;

« Traitement » : désigne toute opération sur les Données, et notamment l’enregistrement, la collecte, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, sans que cette liste soit exhaustive ;

 « Utilisateur » : désigne toute personne se connectant et naviguant sur le Site Web et/ou l’Application, qu’il bénéficie ou non des Services.

3. FINALITES ET BASES LÉGALES POUR LA COLLECTE ET LE TRAITEMENT DES DONNÉES 

3.1 Les Données relatives aux Utilisateurs sont traitées afin de leur donner accès aux contenus du Site et de l’Application et de répondre à leurs demandes éventuelles s’agissant des services de coaching et de toute sollicitation relative aux Services. 

 Les bases légales de ces traitements correspondent aux informations précontractuelles et à l’intérêt légitime de SMARTDIET qui doit connaître      un certain nombre d’informations personnelles des Utilisateurs afin de leur communiquer, à leur demande, du contenu personnalisé et des projections relatives aux Services payants qu’ils envisagent      de souscrire. 

3.2 Les Données à caractère personnel des Patients sont collectées et traitées par le Responsable de traitement sur la base de l’exécution du contrat permettant la réalisation de la prestation paramédicale par le Diététicien qui lie SMARTDIET et le Patient et dont l’objet est la commande et la réalisation des Services. 

Les Données sont donc traitées en vue de l’exécution du contrat et sur le fondement de celui-ci.

Si les Patients ne fournissent pas les Données requises par SMARTDIET, cette dernière ne pourra pas traiter les demandes des Patients et ceux-ci ne pourront pas bénéficier des prestations proposées.

SMARTDIET traite les données relatives à ses Patients sur le fondement l’article 9.2.a, après avoir recueilli leur consentement lors de leur inscription sur l’Application.

SMARTDIET traite les données relatives à ses Patients à travers le Site sur le fondement l’article 9.2.h (traitement aux fins de la médecine préventive et de diagnostic médicaux) du RGPD, et ce pour les finalités suivantes : 

• Prise de rendez-vous pour une consultation et gestion des séances ;
• Etablissement d’un espace personnel sécurisé illimité ;
• Diagnostics nutritionnels et mise en œuvre des programmes alimentaires et coachings ;
• Gestion des dossiers et suivi des Patients ;
• Prise en charge des Patients ;
• Établissement de statistiques relatives aux prestations.

Lors du suivi nutritionnel, le Patient pourra être amené à fournir des informations concernant son régime alimentaire en lien avec sa religion. Ces informations sont nécessaires et légitimes au regard de la finalité du Traitement des Données qui consiste en la fourniture de Services de nature paramédicale. 

Dans ce cadre contractuel, les Données demandées aux Patients sont nécessaires à la conclusion et à l’exécution du contrat entre SMARTDIET et les Patients, et l’absence de communication de ces Données peut empêcher la formation du contrat.

Enfin, SMARTDIET traite certaines Données aux fins de respect d’obligations légales ou réglementaires (en matière de comptabilité) ou des intérêts légitimes qu’elle poursuit (dans le cadre de l’amélioration de ses produits et services et d’enquêtes de satisfaction, de démarches d’évaluation de services, de sa communication et de sa prospection commerciale). 

Concernant les Données relatives aux mineurs de moins de 15 ans, les titulaires de l'autorité parentale doivent consentir au traitement de leurs Données dans le cadre des Services. Pour les mineurs de plus de 15 ans, un seul titulaire de l'autorité parentale peut consentir, en plus du consentement du mineur lui-même.

4. DESTINATAIRES DES DONNÉES

Les Données à caractère personnel collectées par SMARTDIET peuvent être destinées aux personnes suivantes en fonction des traitements : 

•  Au personnel habilité de SMARTDIET ; 
• Aux Diététiciens collaborateurs de SMARTDIET.

Dans le cas où le client est une Entreprise/Acteur de la protection sociale qui donne accès à SMARTDIET à ses Collaborateurs/Adhérents, SMARTDIET informe les Patients et Utilisateurs que leurs Données ne sont pas communiquées aux Entreprises/ Acteurs de la protection sociale  et que seules les données d’usage (non identifiantes telle que le taux de fréquentation du site avec des accès entreprises) seront communiquées à l’Entreprise/ Acteur de la protection sociale.  

Dans des cas très précis, et toujours dans l’intérêt du Patient, certaines des Données sont susceptibles d’être communiquées à des autorités légalement habilités conformément à des dispositifs légaux ou réglementaires. C’est le cas notamment de la sécurité sociale (art. L. 161-29 du code de la sécurité sociale) et des autorités sanitaires auxquelles il peut être obligatoire de déclarer certaines maladies infectieuses. 

5. DURÉE DE CONSERVATION DES DONNÉES

SMARTDIET ne conserve les Données que pour la durée strictement nécessaire à la réalisation des finalités du Traitement, ce délai de conservation relève de circonstances propres au Traitement et des instructions du Patient. 

S’agissant des Données relatives aux Utilisateurs (hors Traitements mis en œuvre pour le compte d'Acteurs de la protection sociale), elles pourront être conservées à des fins de prospection pour une durée de trois (3) ans à compter de la fin de la relation ou du dernier contact à l’initiative de l’Utilisateur. 

Conformément à l’article R.1112-7 du Code de la santé publique, les Données collectées par SMARTDIET lors de la prise en charge des Patients sont conservées comme suit :

• En base active, pendant une durée de cinq (5) ans à compter de la dernière intervention      sur le dossier du Patient,
• Puis à l’issue de cette période, sous la forme d’archive sur un support distinct pendant quinze (15) ans.

Si le Patient était mineur à la date de la consultation et que ladite durée de conservation s’achève avant son vingt-huitième (28^e) anniversaire, la conservation du dossier paramédical est prorogée jusqu'à cette date. 

Concernant les Données relatives aux Patients et Utilisateurs confondus, les Données de nature commerciale et comptable peuvent être conservées 10 ans concernant les informations nécessaires à la facturation, et ce en vertu d’une obligation légale incombant à SMARTDIET. 

6. CONFIDENTIALITE ET SECURITE DES DONNÉES

SMARTDIET s’attache à garantir la sécurité des Traitements opérés sur les Données à caractère personnel.

À cette fin, SMARTDIET prend des mesures techniques et organisationnelles afin de garantir un niveau de sécurité adapté aux risques liés aux Traitements.

Les Données collectées et traitées par SMARTDIET sont hébergées par un hébergeur certifié Hébergeur de Données de Santé HDS : Amazon Web Services est répertorié par l’ASIP Santé : https://esante.gouv.fr/labels-certifications/hds/liste-des-herbergeurs-certifies et bénéficie de l’ISO 27001:2013.

Afin de procéder au paiement de sa commande, il sera demandé à l’Utilisateur de communiquer le numéro et la date d’expiration de sa carte bancaire ainsi que le cryptogramme de sécurité. Les paiements en ligne sont sécurisés par le protocole HTTPS afin de garantir le chiffrage des données de l’Utilisateur lors de la transmission de ses informations bancaires.

La sécurité des transactions ainsi que celle de la collecte et du traitement des données bancaires de l’Utilisateur est assurée par MANGOPAY qui traite seul les données bancaires.

7. SITES WEB TIERS

Le Site Web peut contenir des liens, notamment hypertextes, et/ou des offres de partenaires renvoyant vers un site web tiers. 

SMARTDIET n’exerce aucun contrôle sur le contenu des sites web tiers ou sur les pratiques de ces tiers en matière de protection des Données à caractère personnel qu’ils pourraient recueillir et décline toute responsabilité relative à ces contenus. Il est de votre responsabilité de vous renseigner sur les politiques de protection des Données à caractère personnel de ces tiers.

8. DROITS DES PERSONNES

Les Patients et Utilisateurs peuvent adresser à SMARTDIET leurs demandes d’exercice de droits : protectiondata@smartdiet.fr

Conformément à la réglementation      en vigueur, les Patients et les Utilisateurs disposent des droits suivants sur leurs Données qu’ils peuvent exercer dans les conditions prévues ci-dessous : 

• Droit d’accès 

Les Patients et les Utilisateurs disposent d’un droit d’accès permettant d’obtenir des informations sur l’existence d’un Traitement et de ses modalités. 

Ils disposent également du droit d’obtenir une copie de leurs Données. 

• Droit de rectification 

Les Patients et les Utilisateurs peuvent solliciter SMARTDIET afin de procéder à la rectification de leurs Données, notamment lorsque celles-ci ne sont plus à jour.

• Droit d’opposition

Les Patients et les Utilisateurs ont le droit de s'opposer à tout moment, pour des raisons tenant à leur situation particulière, à un Traitement des Données à caractère personnel les concernant. Ce droit s’applique sauf si SMARTDIET a un motif légitime et impérieux lui permettant de poursuivre le Traitement.

• Droit à l’effacement des Données 

Sous réserve de la réglementation      en vigueur, et des exceptions (par exemple, en matière de conservation nécessaire au respect d’une obligation légale), les Patients et les Utilisateurs peuvent réclamer l’effacement des Données à caractère personnel qui leur sont relatives :

• Lorsque les Données à caractère personnel ne sont pas ou ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou autrement traitées ;
• Lorsque le Patient ou l’Utilisateur retire le consentement sur lequel est fondé le traitement et qu’aucun autre fondement juridique au traitement n’existe ;
• Lorsque le Patient ou l’Utilisateur estime que le traitement de ses Données à caractère personnel constitue un traitement illicite ; 
• Lorsque les Données à caractère personnel doivent être effacées en vertu d’une obligation légale prévue par le droit de l’Union ou le droit de l’     Etat membre auquel SMARTDIET est soumise, soit la France ;
• Lorsque le Patient ou l’Utilisateur s’est opposé au Traitement des Données et que SMARTDIET n’a pas de motif légitime ou impérieux pour refuser la demande. 

• Droit à la limitation du Traitement   

Les Patients et les Utilisateurs peuvent obtenir de SMARTDIET la limitation du Traitement lorsque l’un des éléments suivants s’applique :

• Lorsque l’exactitude des Données à caractère personnel est contestée, et ce pendant une durée permettant à SMARTDIET de vérifier l’exactitude des Données ;
• Lorsque le Traitement est illicite et que le Patient ou l’Utilisateur s’oppose à l’effacement de ses Données et qu’il exige, en lieu et place, la limitation du Traitement ;
• Lorsque les Données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées mais que le Patient ou l’Utilisateur en a besoin pour la constatation, l’exercice ou la défense de droits en justice ;
• Lorsque le Patient ou l’Utilisateur s’oppose au Traitement qui serait fondé sur l’intérêt légitime de SMARTDIET, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par SMARTDIET prévalent sur ceux de la personne concernée. 

• Droit d’introduire une réclamation auprès d’une autorité de contrôle 

Si les Patients et les Utilisateurs estiment que leurs droits ne sont pas respectés, ils bénéficient de la faculté d’introduire une réclamation auprès de la Commission Nationale Informatique et Libertés (CNIL) en France. 

• Droit de décider du sort des Données après la mort

Les Patients et les Utilisateurs disposent du droit d’organiser le sort de leurs Données post-mortem par l’adoption de directives générales ou particulières.

9. TRANSFERTS INTERNATIONAUX DE DONNÉES

Les Données à caractère personnel collectées et traitées sont conservées en France. 

Toutefois, il est possible que, dans le cadre de certaines de ses missions, des Données de SMARTDIET soient transférées à des Sous-Traitants situés hors de l‘Union européenne. Soucieuse de protéger la vie privée et les Données à caractère personnel des Utilisateurs et des Patients, SMARTDIET fait ses meilleurs efforts pour sélectionner des partenaires offrant des garanties de sécurité et de confidentialité et mettre en place des relations contractuelles correspondant aux standards réglementaires     , notamment au niveau européen. 

10. MODIFICATIONS DE LA PRÉSENTE POLITIQUE

SMARTDIET se réserve le droit de modifier la présente Politique. En cas de modification de la Politique, SMARTDIET informera les Patients et Utilisateurs par tout moyen qu’elle jugera approprié. 

En tout état de cause, il est recommandé de consulter régulièrement la Politique. 

Dernière mise à jour le 25 mai 2023