Politique de confidentialité de l’application CURIA

Utilisation de notre application mobile

I. Informations relatives à la collecte des données personnelles
(1) Nous mettons à votre disposition une application mobile («CURIA»), téléchargeable sur un appareil mobile. Nous fournissons dans ce qui suit des informations sur la collecte de données personnelles lors de l’utilisation de CURIA. On entend par données personnelles toutes les données qui peuvent être reliées personnellement à vous, par exemple le nom, l’adresse, les adresses électroniques, le comportement de l’utilisateur.

(2) La personne responsable conformément à l’article 4 paragraphe 7 du règlement général de l’UE sur la protection des données (RGPD) est
Innoplexus AG,
Frankfurter Str. 27, 65 760 Eschborn, Allemagne.
info@curia.app (voir nos mentions légales : www.curia.app/impressum) («Innoplexus»).

(3) Lorsque vous nous contactez par e-mail ou via un formulaire de contact, nous enregistrons votre adresse e-mail et, si vous les avez fournis, votre nom et votre numéro de téléphone pour répondre à vos questions. Nous supprimons les données générées dans ce cadre une fois que le stockage n’est plus nécessaire ou, dans le cas d’obligations légales de stockage, en limitons le traitement.

(4) Si nous faisons appel à des prestataires de services sous contrat pour certaines fonctions de notre offre ou si nous souhaitons utiliser vos données à des fins publicitaires, nous vous informerons en détail des processus respectifs ci-dessous. Nous indiquerons également les critères spécifiés pour la période de stockage.

II. Traitement des données personnelles lors de l’utilisation de CURIA
Lors du téléchargement de CURIA, les informations requises sont transférées à l’App Store, notamment le nom de l’utilisateur, l’adresse e-mail, l’heure du téléchargement et le numéro d’identification de l’appareil individuel. Nous n’avons aucune influence sur cette collecte de données et n’en sommes pas responsables. Nous traitons les données uniquement dans la mesure nécessaire au téléchargement de CURIA sur votre appareil mobile. Ce traitement a lieu sur la base de votre consentement conformément à l’article 6 paragraphe 1 lettre a du RGPD.

La désinstallation entraîne l’arrêt du traitement actif de vos données personnelles.
30 mois après la désinstallation, les données seront supprimées en raison de la cessation de la finalité, sauf si nous sommes soumis à des obligations légales de conservation. Nous acceptons la perte de finalité après cette période, car nous supposons qu’il n’est plus probable que vous utilisiez à nouveau nos services après cette période. Toutefois, afin de vous donner la possibilité de restaurer votre profil après une période plus courte, par exemple parce que vous avez supprimé l’application antérieurement par manque de nécessité, nous stockons temporairement les données pour vous.

Toutefois, si vous souhaitez révoquer votre consentement et ne pas seulement suspendre temporairement son utilisation, vous pouvez le faire en cliquant sur le bouton « Supprimer toutes mes données personnelles ».

§ 1 Lors de l’utilisation de CURIA, nous collectons les données suivantes dans les fichiers log:
Adresse IP, également dans les API de log
Date et heure de la demande
Contenu de la demande (page concrète, endpoint API concret)
Statut d’accès/Code de statut HTTP
Quantité de données transférées dans chaque cas
Dispositif final d’où provient la demande
Agent utilisateur
Système d’exploitation et son interface
Langue et version de l’agent utilisateur..

D’une part, ces données nous sont obligatoires d’un point de vue technique afin d’offrir les différentes fonctions de CURIA ainsi que pour assurer la stabilité et la sécurité de CURIA et, d’autre part, pour permettre une utilisation confortable des fonctions. Cette finalité de traitement représente également l’intérêt légitime qui, selon l’article 6 paragraphe 1 point 1 lettre f du RGPD, constitue la base juridique du traitement des données.
IP addresses in log files are deleted after 14 days.

§2 En outre, lorsque CURIA est démarré pour la première fois, nous attribuons à chaque installation un identifiant d’installation unique, qui est stocké sur un serveur Innoplexus. Il ne contient aucune donnée personnelle. Si vous supprimez CURIA et la réinstallez ensuite, un nouvel ID d’installation sera généré. Celui-ci sera attribué de telle façon qu’une connexion au serveur Innoplexus puisse être établie lors du démarrage de CURIA sur l’appareil mobile pour vérifier si la version de CURIA que vous utilisez est toujours à jour. CURIA peut être mise à jour pour implémenter de nouvelles fonctionnalités ou pour assurer la sécurité des données.

§3 Vous devez vous inscrire en indiquant vos nom et prénom, votre adresse e-mail, votre numéro de téléphone afin de pouvoir bénéficier des services gratuits de CURIA. Il en résulte un contrat d’utilisation entre Innoplexus et vous et vous recevrez votre propre compte utilisateur. La base juridique de cette démarche est l’article 6 paragraphe 1 point 1 lettre b du RGPD, car nous utilisons ces données personnelles pour l’exécution de ce contrat. Les données que vous fournissez seront transférées dans le Google Cloud et stockées sur un serveur en Allemagne. Le Google Cloud est exploité par Google inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043 États-Unis. Nous avons conclu avec Google des clauses contractuelles dites standard, qui garantissent un niveau approprié de protection des données.

Pour savoir dans quelle mesure les données personnelles que vous avez communiquées dans le cadre de l’utilisation ultérieure de CURIA seront traitées par Google, veuillez consulter la politique de confidentialité de Google.

Vous pouvez supprimer votre compte à tout moment en cliquant sur le bouton « Supprimer mes données personnelles » dans CURIA. Les données personnelles traitées par nos soins seront supprimées conformément à l’article 17 du RGPD ou bloquées ou limitées dans leur traitement conformément à l’article 18 du RGPD. Les données stockées par nos soins seront supprimées dès que la finalité du stockage ne s’applique plus et que la suppression n’est pas contredite par d’éventuelles obligations légales de stockage.

§4 Si vous souhaitez recevoir des informations sur les options de traitement possibles, les médecins et les études cliniques, vous pouvez remplir le questionnaire fourni par nos soins avec des questions sur votre tableau clinique. Des paramètres spécifiques au cancer seront demandés, tels que des informations sur les mutations génétiques, le statut du cancer concerné, etc. Les informations que vous fournissez sont volontaires et ont pour seul but de nous permettre de vous fournir des informations.

Le traitement est fondé sur votre consentement (article 6, paragraphe 1, lettre a du RGPD). Vous êtes libre de révoquer votre consentement à tout moment avec effet pour l’avenir sans donner de raisons. Cela n’affecte pas la légalité du traitement effectué jusqu’alors.

Vous avez également la possibilité de vous inscrire pour participer à des études cliniques. Pour ce faire, vous devez fournir les informations suivantes : des informations sur l’étude à laquelle vous souhaitez vous inscrire, votre localisation, vos coordonnées (numéro de téléphone ou adresse électronique), des informations sur vos critères médicaux d’inclusion et d’exclusion. La fourniture de ces données personnelles est volontaire et repose sur votre consentement (article 6 paragraphe 1 lettre a du RGPD). La finalité du traitement est de mener à bien la procédure de sélection. Vous êtes libre à tout moment de révoquer votre consentement avec effet pour l’avenir sans donner de raisons en sélectionnant l’option « Supprimer toutes mes données personnelles » dans l’application. Vous avez ainsi la possibilité de supprimer toute donnée personnelle. Après avoir cliqué sur l’option « Supprimer toutes mes données personnelles », vous recevrez un e-mail automatisé confirmant la suppression de vos données. Cela n’affecte pas la légalité du traitement qui a eu lieu jusqu’à la révocation.  

Les questionnaires remplis et les demandes de participation à des essais cliniques sont transférés vers le Google Cloud et stockés sur un serveur en Allemagne. Google Cloud est exploité par Google Inc. 1600 Amphitheatre Parkway, Mountain View, CA 94043 États-Unis. Nous avons conclu avec Google des clauses contractuelles dites standard, qui garantissent un niveau approprié de protection des données. Si vous avez rempli tous les critères d’éligibilité pour la demande d’essai clinique, les données personnelles que vous avez fournies seront transférées au tableau de bord interne des essais cliniques d’Innoplexus. Ces données peuvent être consultées par l’équipe de CURIA, qui est en partie basée en Inde au sein d’Innoplexus Pune. Ici, un niveau approprié de protection des données est assuré par la conclusion de clauses contractuelles standard.

§5 Nous utilisons Google Analytics et Google Firebase, deux services fournis par Google inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043 États-Unis, pour

  1. analyser l’utilisation générale de CURIA, notamment les installations/désinstallations de l’appli, les questionnaires sur les maladies, les activités de recherche de traitement et d’inscription à des essais cliniques, les démarrages de sessions et les oublis de mots de passe (Google Analytics).
  2. collecter des données de diagnostic pour assurer la stabilité technique de l’application (Google Firebase).

Votre adresse IP sera traitée. Nous utilisons la fonction d’anonymisation de Google, par laquelle l’adresse IP est raccourcie dans l’UE/EEE à des fins d’anonymisation et est transmise sous forme raccourcie aux serveurs de Google aux États-Unis. Nous utilisons les rapports anonymisés sur l’utilisation générale de CURIA créés par Google et qui nous sont transmis afin d’améliorer continuellement notre service et d’accroître la convivialité de CURIA. Les rapports que nous recevons ne contiennent aucune donnée personnelle. Nous traitons les informations aux fins susmentionnées sur la base de votre consentement préalablement accordé conformément à l’article 6 paragraphe 1 lettre a du RPGD.

Les données sont traitées aux États-Unis, pour lesquels nous avons des clauses contractuelles dites standard avec Google qui garantissent un niveau approprié de protection des données.

Les données seront supprimées lorsqu’elles ne seront plus nécessaires à la finalité de leur collecte, car l’option de collecte et de traitement ultérieur des informations sur le diagnostic et le comportement d’utilisation dans CURIA a été désactivée. 

Vous êtes libre de révoquer votre consentement à tout moment, avec effet pour l’avenir, sans indication de motifs. Cela n’affecte pas la légalité du traitement qui a eu lieu jusqu’alors.

III. Traitement des données à caractère personnel lors de l’utilisation de la fonctionnalité Jumeaux Curia

Un Jumeau Curia est un patient de la communauté Curia dont le diagnostic de cancer est similaire au vôtre. Les Jumeaux Curia peuvent utiliser un chat privé pour partager leurs expériences. Le chat est basé sur la technologie blockchain Ethereum. L’objectif de cette nouvelle fonctionnalité est de rapprocher les patients atteints de cancer.

§ 1 Dans le cadre d’un processus de jumelage, vous, en tant qu’utilisateur, serez mis en relation avec jusqu’à 3 autres malades du cancer, Jumeaux Curia, ayant activé cette fonctionnalité et dont le profil est similaire. Afin de trouver un Jumeau Curia correspondant, nous comparons les paramètres suivants, que nous recueillons auprès de vous pour mener à bien le processus de jumelage :

– Indication du cancer 
– Stade 
– Récepteurs hormonaux 
– Marqueurs génétiques 
– Sexe
– Âge
– Autres données de santé, selon le type de cancer 
– Distance

L’objectif de cette fonctionnalité est de réunir des patients atteints de cancer et de promouvoir l’échange d’expériences et d’informations entre les patients qui ont un diagnostic de cancer similaire. Le traitement est fondé sur votre consentement explicite (article 6, paragraphe 1, lettre a du RGPD). Vous êtes libre de révoquer votre consentement à tout moment sans donner de raisons avec effet pour l’avenir. Cela n’affecte pas la légalité du traitement effectué jusqu’alors. revoke your consent at any time without giving reasons with effect for the future. This does not affect the legality of the processing carried out up to that point. 

Si la dernière date de connexion remonte à plus de 6 mois, le profil correspondant est automatiquement supprimé de la base de données et ne peut plus être mis en relation avec de nouveaux Jumeaux Curia.

§ 2 Les Jumeaux Curia peuvent échanger dans un chat intégré à CURIA. Les patients doivent s’inscrire à cette fonctionnalité et choisir un pseudonyme avant d’être jumelés avec leur(s) Jumeau(x) Curia. Ce pseudonyme peut être modifié dans les paramètres. Lorsque les utilisateurs échangent des messages via le chat intégré, les messages cryptés de bout en bout sont stockés sur une blockchain publique Ethereum.

À cette fin, Innoplexus a fourni un nœud qui assume la fonction d’intermédiaire pour transmettre le message de chat à la blockchain Ethereum. Avant qu’un message ne soit transmis et stocké sur la blockchain, il est entièrement crypté localement sur l’appareil mobile du patient à l’aide d’un cryptage de bout en bout. La clé privée nécessaire au cryptage du message est stockée sur votre appareil physique pendant tout ce temps et n’est pas partagée avec Innoplexus ou d’autres utilisateurs. Ce n’est que lorsque le message crypté est reçu par le Jumeau Curia que ce message est décrypté avec une clé correspondante sur l’appareil mobile du Jumeau Curia qui doit recevoir le message.

L’objectif de cette fonction de chat est de permettre l’échange d’informations et d’expériences de manière simple et sans obstacle majeur, tout en offrant un niveau de sécurité élevé. Le traitement est fondé sur votre consentement (article 6, paragraphe 1, lettre a du RGPD). Vous êtes libre de révoquer votre consentement à tout moment sans donner de raisons avec effet pour l’avenir. Cela n’affecte pas la légalité du traitement effectué jusqu’alors. revoke your consent at any time without giving reasons with effect for the future. This does not affect the legality of the processing carried out up to that point.

Dans ce cas, le chat associé à votre profil sera supprimé de votre appareil. Dans ce cas, la clé privée est perdue et personne ne peut décrypter les données, pas même CURIA ou Innoplexus AG. Le pseudonyme et le contenu du chat sur l’appareil du Jumeau Curia avec lequel des messages ont été échangés disparaissent également. En outre, votre profil sera automatiquement supprimé de la base de données des Jumeaux Curia si la dernière date de connexion remonte à plus de 6 mois.

L’emplacement du serveur ne peut généralement pas être attribué à un pays spécifique en raison de l’infrastructure blockchain (blockchain publique Ethereum), mais en cryptant le contenu du chat à l’aide d’un procédé de cryptage à clé publique, les données sont hautement pseudonymisées pour tout le monde, de sorte qu’un transfert de données vers un pays tiers peut être considéré comme « sûr ».

Les métadonnées hachées ne sont pas stockées sur la blockchain Ethereum.

VI. Vos droits

(1) Vous disposez des droits suivants à notre égard concernant vos données personnelles :

– Droit d’accès — Art.15 RGPD ;
– Droit de rectification ou à l’effacement – Art.16 et 17 RGPD ;
– Droit à la limitation du traitement — Art.18 RGPD ;
– Droit d’opposition au traitement — Art.21 RGPD ;
– Droit à la portabilité des données — Art.20 RGPD ; 
– Droit de retrait conformément à l’Art. 7 paragraphe 3 du RGPD.

(2) Vous avez également le droit de porter plainte auprès de l’autorité de surveillance et de protection des données de votre choix concernant le traitement de vos données personnelles par notre association. Est responsable est ce qui nous concerne : 

Hessische Beauftragte für Datenschutz und Informationsfreiheit
Gustav-Stresemann-Ring 1
Postfach 3163
65 189 Wiesbaden, Allemagne
Téléphone : +49 (0) 611 14 080