Color Telecom
FonctionnalitésAvantagesPricingFAQBlog

Politique Générale de Protection des Données

Date d'entrée en vigueur : 02/12/2024

Préambule

La présente Politique Générale de Protection des Données (ci-après la "Politique") a pour objet de décrire les engagements et les mesures techniques et organisationnelles mis en œuvre par CareCall SAS (ci-après "CareCall") pour assurer la protection, la sécurité et la confidentialité des données à caractère personnel qui lui sont confiées par ses clients dans le cadre de la fourniture de ses services.

En sa qualité de sous-traitant au sens du Règlement (UE) 2016/679 (Règlement Général sur la Protection des Données ou "RGPD"), CareCall s'engage à traiter les données à caractère personnel conformément aux instructions documentées de ses clients (les Responsables de Traitement) et aux exigences légales et réglementaires applicables. Ce document atteste de notre engagement à maintenir un niveau de sécurité et de conformité élevé, adapté aux enjeux de nos activités.

Article 1 : Rôle et Engagements Fondamentaux de CareCall

  • Qualification de Sous-traitant : CareCall agit en qualité de sous-traitant. À ce titre, CareCall ne traite les données à caractère personnel que pour le compte et sur instruction de ses clients, les Responsables de Traitement, pour les finalités définies dans les contrats de service.
  • Registre des Activités de Traitement : Conformément à l'article 30.2 du RGPD, CareCall tient à jour un registre de toutes les catégories d'activités de traitement effectuées pour le compte de ses clients.
  • Devoir de Conseil et d'Alerte : Si une instruction d'un client semble constituer une violation du RGPD ou d'autres dispositions du droit de l'Union ou du droit des États membres relatives à la protection des données, CareCall en informera immédiatement le client.

Article 2 : Mesures de Sécurité Techniques et Organisationnelles

CareCall a mis en œuvre un ensemble de mesures de sécurité robustes visant à protéger les données contre la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé.

2.1. Gouvernance de la Sécurité

  • Référent Sécurité (RSSI) : Un Référent pour la Sécurité des Systèmes d'Information (RSSI) a été formellement désigné. Pour toute question, contactez Jean Baptiste Debize à l'adresse suivante : jean-baptiste@carecall.ai
  • Politiques Internes : CareCall dispose d'une politique de sécurité interne formalisée et d'un document de gouvernance de la sécurité. Ces documents sont disponibles pour consultation par nos clients sur demande.
  • Audits : Des audits internes de conformité sont réalisés sur une base régulière. De plus, des audits indépendants sont effectués annuellement par un prestataire externe.
  • Assurance Cyber-risques : CareCall est couverte par une police d'assurance spécifique aux cyber-risques.

2.2. Sécurité du Personnel

  • Confidentialité : L'ensemble des collaborateurs de CareCall est contractuellement lié par une clause de confidentialité stricte.
  • Formation : Un programme de formation obligatoire à la sécurité de l'information et à la protection des données est dispensé à chaque membre de l'équipe et renouvelé sur une base annuelle.

2.3. Sécurité des Données et des Infrastructures

  • Hébergement Sécurisé : Les données sont hébergées en France sur l'infrastructure de Microsoft Azure, partenaire certifié ISO 27001 et Hébergeur de Données de Santé (HDS).
  • Mesures Spécifiques : Bien que CareCall ne stocke aucune donnée de santé relative aux patients, nous appliquons par défaut des mesures de sécurité renforcées, incluant une gestion rigoureuse des habilitations, un accès restreint et une surveillance active de notre infrastructure certifiée HDS.
  • Sécurisation des Flux : Tous les échanges de données sont sécurisés par un chiffrement TLS 1.3. L'accès aux infrastructures est restreint via VPN et authentification à deux facteurs (2FA).
  • Maintenance : La maintenance et la sécurité de l'infrastructure (systèmes d'exploitation, bases de données) sont assurées par notre RSSI, M. Jean Baptiste Debize.

2.4. Développement Sécurisé (Secure by Design)

  • Nos pratiques de développement (CI/CD) intègrent la sécurité à chaque étape : revues de code, tests automatisés, contrôle des dépendances et gestion fine des accès.
  • Des tests de sécurité et de vulnérabilité sont conduits régulièrement. Le dernier test a été réalisé il y a moins de 4 mois.

Article 3 : Continuité d'Activité et Sauvegardes

  • Sauvegardes : CareCall dispose d'un système de sauvegardes automatiques quotidiennes. Ces sauvegardes sont chiffrées et répliquées sur un datacenter secondaire pour garantir la redondance.
  • Plan de Reprise d'Activité (PRA) : Un plan de reprise après sinistre et un plan de continuité d'activité sont formalisés et régulièrement testés pour garantir leur efficacité.

Article 4 : Traçabilité et Journalisation

  • Système de Traçabilité : Un système de journalisation (Audit Logs) enregistre de manière horodatée les actions et événements de sécurité, avec des alertes en cas d'anomalie.
  • Conservation des Logs : Les journaux d'accès et d'actions sont conservés pour une durée de trois (3) ans, puis archivés ou supprimés.
  • Accès aux Registres : L'accès aux registres par nos clients peut être fourni sur demande, dans un délai de cinq (5) jours ouvrés.

Article 5 : Sous-traitants Ultérieurs

CareCall fait appel à un nombre limité de sous-traitants ultérieurs, rigoureusement sélectionnés pour leur conformité au RGPD et leur niveau de sécurité :

  • Microsoft Azure : Hébergement et déploiement. Localisation : France (UE).
  • Twilio : Services de téléphonie. Localisation : Irlande (UE).

Tous nos sous-traitants ultérieurs sont liés par des clauses contractuelles strictes en matière de confidentialité, de sécurité et de conformité au RGPD.

Article 6 : Transferts de Données Hors UE

Aucune donnée n'est transférée en dehors de l'Union Européenne. L'intégralité de nos infrastructures et de celles de nos sous-traitants ultérieurs sont situées au sein de l'UE.

Article 7 : Gestion des Incidents et Violations de Données

En cas de violation de données avérée, CareCall s'engage à notifier le client concerné (Responsable de Traitement) dans les meilleurs délais, et au plus tard 24 heures après en avoir pris connaissance, en fournissant tous les détails nécessaires.

Article 8 : Gestion des Droits des Personnes Concernées

CareCall s'engage à aider ses clients à répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, etc.). Une procédure interne formalisée permet de traiter ces demandes de manière efficace et coordonnée.

Article 9 : Réversibilité et Fin de Contrat

À la fin de la relation contractuelle, CareCall s'engage à assurer la réversibilité des données confiées. Sur demande du client, nous procéderons à un export des données dans un format standard et interopérable, conformément à notre procédure de réversibilité définie contractuellement.

Article 10 : Contact

Pour toute question relative à cette Politique ou à la sécurité des données chez CareCall, veuillez contacter notre Référent Sécurité :