Politique relative à la protection des données à caractère personnel de iHealthLabs Europe

Dernière mise à jour de la politique : 07/08/2024

iHealthLabs Europe SAS, ci-après « iHealthLabs », est une entreprise qui a pour activité la vente et la distribution de produits de santé connectés et non-connectés comprenant des dispositifs médicaux cliniquement validés, des produits de bien-être et des applications pour le suivi des données de santé. iHealthLabs fait partie du Groupe Andon Health Co., Ltd, ci-après « Andon Health », éditeur des applicatifs iHealth et fabricant des produits connectables fonctionnant avec nos applications.

Le présent document constitue la Politique relative à la protection des données à caractère personnel (ci-après la « Politique ») d’iHealthLabs au titre du Règlement européen (UE) 2016/679 sur la protection des données à caractère personnel (ci-après « RGPD » ou le « Règlement ») ainsi que de la loi Informatique et libertés modifiée. La Politique est accessible de manière permanente sur le site Internet www.ihealthlabs.eu afin d’en assurer la plus large diffusion, de même qu’elle peut être remise à première demande à toute personne qui le souhaite. iHealthLabs se tient à la disposition de l’utilisateur pour apporter tout complément d’information pour la bonne compréhension de la présente politique. Veuillez utiliser les coordonnées mentionnées dans la partie V de cette politique.

S’inscrivant dans le cadre de l’exigence de transparence du RGPD, cette Politique a été rédigée pour être compréhensible et aisément accessible aux personnes concernées par des traitements de données à caractère personnel afin de décrire :

  1. Exigences du RGPD applicables aux traitements des données à caractère personnel réalisés par iHealthLabs
  2. Description des activités de traitements
  3. Transfert de données hors de l’Union Européenne
  4. Droits reconnus aux personnes physiques
  5. Joindre iHealthLabs au sujet de la protection des données ainsi que pour l’exercice des droits

La présente politique étant susceptible d’évoluer, il convient de s’y référer régulièrement.



I. Exigences du RGPD applicables aux traitements de données à caractère personnel réalisés par iHealthLabs

Au sens du RGPD, les données à caractère personnel sont définies comme toutes informations relatives à une personne physique identifiée ou identifiable directement ou indirectement. iHealthLabs procède à des traitements de données à caractère personnel dans le cadre de la gestion de son activité d’entreprise et de la gestion de la relation avec ses clients. Les traitements de données réalisés sont décrits dans la partie II de la présente Politique.

Au sein de iHealthLabs, prenant en compte les exigences du RGPD à l’occasion des traitements de données à caractère personnel :

  • Nous veillons à ce que des données soient collectées et traitées dans le périmètre strict des activités de l’entreprise, pour des objectifs et des finalités licites, explicites, légitimes, selon des procédés loyaux ;
  • Nous veillons à assurer la transparence des traitements avec une information appropriée des personnes dans tous les cas de collecte, lorsque les données sont reçues des personnes elles-mêmes ou proviennent éventuellement de tiers ou des technologies ;
  • Ainsi, lorsqu’il est procédé à la collecte de données à caractère personnel directement auprès des personnes, nous précisons la base légale du traitement et si la fourniture revêt un caractère réglementaire ou contractuel et conditionne notamment le bénéfice d’une prestation ou la conclusion d'un contrat, nous indiquons si la personne concernée est tenue de fournir les données à caractère personnel ; de même que nous précisons les conséquences éventuelles de la non-fourniture de données et apportons aux personnes une information permettant de comprendre les circonstances des traitements et les droits qui leur sont reconnus ;
  • Dans le cas où les données à caractère personnel ne seraient pas collectées directement auprès de la personne concernée, nous nous efforçons de veiller à ce qu’il soit apporté aux personnes, par notre intermédiaire ou par celui des interlocuteurs pour lesquels nous agirions, des éléments d’information similaires de ceux qui doivent être communiqués en cas de collecte directe précité, ainsi que pour préciser la source des données ; cette information devant au titre du RGPD être apportée dans un délai raisonnable, mais également lors de la première communication avec les personnes lorsque les données sont destinées à cet usage, ou au plus tard lorsque les données à caractère personnel sont communiquées pour la première fois à un autre destinataire si cela était envisagé ;
  • Dans l’hypothèse où le cas se présenterait, nous indiquons l’existence d'une prise de décision automatisée, y compris le cas échéant un profilage, nous indiquons les informations utiles concernant la logique sous-jacente, ainsi que l'importance et les éventuelles conséquences prévues de cet éventuel traitement ;
  • En cas d’intention d'effectuer un éventuel traitement ultérieur de données à caractère personnel pour une finalité autre que celle pour laquelle les données ont été initialement collectées, nous fournissons préalablement aux personnes des informations au sujet de cette autre finalité et toute autre information permettant de comprendre la finalité de manière transparente ;
  • Nous communiquons des données restreintes aux destinataires en fonction de leurs habilitations, comprenant les services de iHealthLabs ainsi que le cas échéant les intervenants concernés ;
  • Nous nous engageons :
    • À minimiser les traitements de données au regard des activités de traitements de données conduites par iHealthLabs décrites dans la partie II de la présente politique,
    • À assurer la mise à jour régulière des données,
    • À procéder à une conservation proportionnée des données en fonction de critères déterminés au regard notamment de la finalité des traitements, des exigences contractuelles ou opérationnelles ou pour répondre le cas échéant à nos obligations réglementaires et ce, dans le respect du droit applicable,
    • À encadrer les relations avec les destinataires de données et sous-traitants par tous moyens propres à assurer le respect de nos obligations légales ainsi que pour préserver la confidentialité,
    • En cas d’éventuel transfert de données à destination d’un pays situé hors de l’Union européenne, à prendre toutes mesures possibles, conformément aux exigences du RGPD, garantissant le respect de la réglementation applicable en Europe,
    • À sensibiliser nos collaborateurs à l’exigence de protection des données à caractère personnel et à leur confidentialité,
    • À assurer la sécurité des traitements et des données,
    • À prendre en compte l’ensemble des droits reconnus aux personnes physiques en vertu de la réglementation applicable rappelée dans la partie IV de la présente politique.

La prise en compte des principes et exigences du droit de la protection des données à caractère personnel s’accompagne de mesures organisationnelles et techniques afin d’appliquer de manière effective les dispositions du RGPD et d’apporter des garanties opérationnelles.



II. Description des activités de traitement

iHealthLabs conduit des activités de traitement de données à caractère personnel dans les domaines suivants :

  1. Applications et produits connectables iHealth, support client, applications tierces
  2. Relation commerciale avec les utilisateurs
  3. Relation commerciale avec les professionnels
  4. Cookies et traceurs



1. Applications et produits connectables iHealth, support client, applications tierces

1.1 Applications et produits connectables iHealth

Des données à caractère personnel sont traitées par iHealthLabs lors de l’utilisation des applications* installées par l’utilisateur sur un smartphone ou une tablette et de l’usage des produits et services ainsi que des produits connectables**.

Les différents traitements de données à caractère personnel ont une base légale contractuelle au regard des conditions générales applicables à la relation des utilisateurs avec iHealthLabs. Les finalités des traitements poursuivies sont nécessaires pour atteindre les différents résultats attendus par l’utilisateur en fonction de son usage.

Les traitements de données permettent la gestion du compte utilisateur, l’affichage d’indicateurs agrégés dans les interfaces graphiques avec un smartphone ou une tablette ou au travers d’une interface web, l’enregistrement et la sauvegarde des données, leur mise à jour en fonction des éléments renseignés dans le compte utilisateur et de ceux qui sont issus de l’utilisation des différents produits connectables et de la gestion du support client.

Les données sont exclusivement destinées à l’usage de iHealthLabs et sont utilisées dans le seul cadre de la gestion de la relation avec les personnes concernées.

Les données systèmes et celles qui sont liées aux applications iHealth sont hébergées de manière sécurisée en France auprès d’un prestataire sous-traitant disposant d’un certificat d’hébergeur certifié de données de santé (Hébergeur HDS) au titre du Code de la santé publique.

* iHealth MyVitals, iHealth MyVitals Legacy, iHealth Gluco-Smart, iHealth CardioPro

** Tensiomètres iHealth Track, Ease, Feel, Sense, View, Clear, Push, Neo et CardioMed ; Glucomètres iHealth Gluco, Gluco+ et Align ; Oxymètre de pouls iHealth Air ; Balances iHealth Lite, Core, Lina et Fit ; Trackers d’activité iHealth Wave et Vital

Les données traitées lors de l’utilisation de l’application iHealth MyVitals sont :

Catégories de données à caractère personnel

Description

Données d'identification

Date de naissance, genre
Nom, prénom, photographie (optionnels)

Coordonnées

Adresse e-mail

Données d'identité corporelle

Taille, poids (optionnels)

Habitudes de vie

Sportif : Oui / Non (optionnel)
Activité journalière : Sédentaire / Actif / Très actif (optionnel)

Données géographiques

Pays, langue

Données techniques

Type de téléphone mobile, version du système d'exploitation mobile, codes d'erreur,
modèle de l'appareil de mesure, Adresse MAC de l'appareil de mesure, date et heure
de la mesure, mesure effectuée en ligne ou hors ligne

Données sensibles

Données concernant la santé

Selon les produits utilisés :
Tensiomètres : Tension artérielle, Pouls, Arythmies
Oxymètre de pouls : Saturation pulsée en oxygène, Pouls, Indice de perfusion
Bracelet d'activité : Données du niveau d’activité (nombre de pas, distance parcourue, mouvements,
calories dépensées, distance en nage), données relatives au sommeil (durée et indications de qualité)
Balance : Poids, masse graisseuse, IMC, masse hydrique, masse maigre, taux de graisse viscérale, masse osseuse, masse musculaire, apport calorique quotidien

Les données traitées lors de l’utilisation de l’application iHealth MyVitals Legacy sont :

Catégories de données à caractère personnel

Description

Données d'identification

Nom, prénom, genre, date de naissance, photographie (optionnel)

Coordonnées

Adresse e-mail

Données d'identité corporelle

Taille, poids

Habitudes de vie

Sportif : Oui / Non (optionnel)
Activité journalière : Sédentaire / Actif / Très actif (optionnel)

Données géographiques

Pays, langue

Données techniques

Type de téléphone mobile, version du système d'exploitation mobile, codes d'erreur,
modèle de l'appareil de mesure, Adresse MAC de l'appareil de mesure, date et heure
de la mesure, mesure effectuée en ligne ou hors ligne

Données sensibles

Données concernant la santé

Selon les produits utilisés :
Tensiomètres : Tension artérielle, Pouls, Arythmies
Oxymètre de pouls : Saturation pulsée en oxygène, Pouls, Indice de perfusion
Bracelet d'activité : Données du niveau d’activité (nombre de pas, distance parcourue, mouvements,
calories dépensées, distance en nage), données relatives au sommeil (durée et indications de qualité)
Balance : Poids, masse graisseuse, IMC, masse hydrique, masse maigre, taux de graisse viscérale, masse osseuse, masse musculaire, apport calorique quotidien

Les données traitées lors de l’utilisation de l’application iHealth Gluco-Smart sont :

Catégories de données à caractère personnel

Description

Données d’identification

Date de naissance, genre
Optionnel : Nom, prénom, photographie

Coordonnées

Adresse e-mail

Données d'identité corporelle

Taille, poids

Habitudes de vie

Plages cibles, Heures des repas

Données géographiques

Pays, langue

Données techniques

Type de téléphone mobile, version du système d'exploitation mobile, codes d'erreur,
modèle de l'appareil de mesure, Adresse MAC de l'appareil de mesure, date et heure
de la mesure, mesure effectuée en ligne ou hors ligne

Données sensibles

Données concernant la santé

Glycémie

Période de la mesure (Jeûne, avant le petit déjeuner, après le petit déjeuner, avant le déjeuner, après le déjeuner, avant le dîner, après le dîner, heure du coucher, après snacks, aléatoire)

Prise médicament par voie orale (nom du médicament, dosage, nombre d'unités)

Activité (durée)

Glucides (nombre de grammes)

Les données traitées lors de l’utilisation de l’application iHealth CardioPro sont :

Catégories de données à caractère personnel

Description

Données d’identification

Utilisateurs (Professionnels de santé) :
Nom
Prénom
Genre (H/F)

Patients :
Nom
Prénom
Genre (H/F)
Date de naissance

Coordonnées

Utilisateurs :
Identifiant
Mot de passe
Téléphone
Adresse
Adresse e-mail

Patients :
Téléphone (optionnel)
Adresse (optionnel)
Adresse e-mail (optionnel)

Données géographiques

Utilisateurs :
Pays
Langue
Latitude, longitude (pour calcul heure lever et coucher du soleil)

Données techniques

Type de téléphone mobile, version du système d'exploitation mobile, codes d'erreur,
modèle de l'appareil de mesure, Adresse MAC de l'appareil de mesure, date et heure
de la mesure, mesure effectuée en ligne ou hors ligne

Données sensibles

Données concernant la santé

Patients :

Taille (optionnel)

Poids (optionnel)

Durée de l’examen (25 ou 49h) ;

Mesures de tensions et de pouls (à intervalle régulier pendant la durée de l’examen)

Posture et niveau d’activité

Heure de coucher et de lever, éventuelles heures de sieste, le (ou les 2) jour(s) de l’examen

Prise d’un traitement antihypertenseur (oui/non)

Si examen 49h changement de circonstances entre les jours 1 et 2 (oui/non)

Calculs dérivés de ces mesures



1.2 Support client

Dans le cadre du support client, le traitement de données à caractère personnel a pour finalité de conduire les différentes opérations permettant de résoudre des problèmes techniques et de répondre aux questions à la suite de la demande d’un utilisateur. iHealthLabs fournit à l’utilisateur un support de premier et deuxième niveau. Dans certains cas rares et spécifiques, iHealthLabs doit recourir à l’intervention d’Andon Health (support de troisième niveau) situé en Chine pour résoudre le problème et garantir le bon fonctionnement du traitement des données. Cela peut impliquer que l'équipe d'assistance d'Andon Health accède aux données des clients pour garantir le bon fonctionnement des comptes utilisateurs. iHealthLabs informe toujours le client et demande son autorisation avant de faire une demande d’intervention à Andon Health. En l’absence d’autorisation de l’utilisateur, Andon Health n’intervient pas.

L’utilisateur peut bénéficier d’une assistance personnalisée en complétant un questionnaire ou en utilisant l’outil conversationnel (chat) accessibles au sein des sites Internet Assistance iHealth ou Assistance Start by iHealth.

Les différents traitements de données à caractère personnel ont une base légale contractuelle au regard des conditions générales applicables à la relation des utilisateurs avec iHealthLabs.

Les finalités des traitements poursuivies sont nécessaires pour atteindre les différents résultats attendus par l’utilisateur dans le cadre du recours au service d’assistance.

Les données traitées dans le cadre du formulaire de contact du support client sont :

Catégories de données à caractère personnel

Description

Contact

Adresse e-mail

Données techniques

Date et heure des connexions

Adresse IP

Données de communication (fournies par l’utilisateur)

Raison du contact (menu déroulant)

Sujet

Description

 

Selon le problème rencontré :

Numéro de commande (optionnel)

Produit

Identifiant application iHealth

Application iHealth utilisée

Système d’exploitation du smartphone

Type de problème

Navigateur web

 

Les données traitées dans le cadre du chat du support client sont :

Catégories de données à caractère personnel

Description

Données d’identification

Nom (optionnel)

Coordonnées

Adresse e-mail (optionnel)

Données de communication

Messages échangés avec l’utilisateur



1.3 Applications tierces

iHealthLabs offre la possibilité à l’utilisateur de synchroniser les données à caractère personnel le concernant avec des applications tierces dont il serait l’utilisateur auprès d’autres fournisseurs de produits ou services.

Le transfert de données s’effectue avec l’autorisation préalable de l’utilisateur. L’utilisateur peut à tout moment supprimer cette autorisation dans les paramètres des applications. iHealthLabs invite ses utilisateurs à vérifier attentivement les dispositions de protection des Données Personnelles mises en place par les applications tierces avant d’accepter le partage de leurs données.



2- Relation commerciale avec les utilisateurs

Dans le cadre de la relation commerciale avec l’utilisateur, le traitement de données à caractère personnel a pour finalité de conduire les différentes opérations liées à la création et à la gestion du compte de l’utilisateur sur le site Internet www.ihealthlabs.eu, ce qui inclut notamment la commande de produits et leur paiement, la prise en compte des demandes issues du formulaire de contact.

La base légale du traitement dans ces différentes circonstances est constituée par le contrat passé avec l’utilisateur lors de la création du compte sur le site internet, le traitement étant nécessaire pour atteindre le résultat attendu par l’utilisateur. Les données sont exclusivement destinées à l’usage de iHealthLabs et sont utilisées dans le seul domaine de la gestion commerciale.

Les données traitées lors de la création d’un compte sur le site www.ihealthlabs.eu sont :

Catégories de données à caractère personnel

Description

Données d’identification

Civilité (optionnel)

Prénom

Nom

Date et heure de la création du compte

Coordonnées

Adresse e-mail

Données techniques

Date et heure des connexions

Adresse IP

Les données traitées lors d’une commande de produits sur le site sont :

Catégories de données à caractère personnel

Description

Données de transaction

Panier abandonné

Référence de la commande

Produits dans la commande

Moyen de paiement

Statut de la commande

Montant total payé

Date et heure de la commande

Données de livraison

Adresse de livraison

Numéro de téléphone

Les données traitées lors d’une demande par le biais du formulaire de contact sont :

Catégories de données à caractère personnel

Description

Données d'identification

Nom, prénom

Coordonnées

Adresse e-mail

Données techniques

Date et heure des connexions

Adresse IP

Données de communication (fournies par l’utilisateur)

Sujet (menu déroulant)

Message



3- Relation commerciale avec les professionnels

Des traitements de données sont réalisés concernant les partenaires professionnels d’iHealthLabs Europe afin de faciliter et d’assurer la gestion des relations commerciales.

La base légale du traitement dans ces circonstances est constituée par l’intérêt légitime de d’iHealthLabs.

Les données traitées dans le cadre de la gestion des partenaires professionnels sont :

Catégories de données à caractère personnel

Description

Données collectées sur l'entreprise

Nom de l'entreprise, numéro d’enregistrement de l’entreprise, adresse de l'entreprise, adresse du site internet, numéro EORI, numéro TVA, adresse de livraison, contact (nom, prénom, téléphone, e-mail), mode de paiement



4- Durée de conservation des données

Applications et produits connectables iHealth

Les données à caractère personnel sont conservées tant que le compte de l’utilisateur existe. Au bout de 3 ans sans connexion à une application iHealth, le compte est considéré comme inactif. Un courriel est alors envoyé à l’utilisateur pour lui expliquer que son compte et les données à caractère personnel associées seront définitivement supprimées sans action de sa part 60 jours après l’envoi de ce courriel.

Support client

Les données à caractère personnel collectées par les différents canaux du support client (formulaire de contact support du site internet, chat du site internet, rubrique contact de l’application) sont conservées 7 ans.

Relation commerciale avec les utilisateurs

Les données relatives à la création d’un compte sur le site www.ihealthlabs.eu et aux commandes passées sur le site sont conservées 10 ans. Les données relatives au formulaire de contact général du site sont conservées 7 ans.

Relation commerciale avec les professionnels

Les données relatives aux partenaires professionnels sont conservées tant que la relation commerciale est active.



5- Cookies et traceurs

iHealthLabs utilise la technologie des cookies dans le cadre de la mise à disposition du site Internet www.ihealthlabs.eu. Un cookie est un petit fichier texte déposé sur l’ordinateur de l’utilisateur lors de la visite du site. Le traitement mis en œuvre a pour finalité de collecter des informations non nominatives relatives à la consultation des pages du site, ainsi que pour faciliter l’identification en cas d’accès au compte utilisateur, ainsi qu’au cours d’une consultation du site pour conserver le contenu d’un panier de commande et mémoriser les produits consultés. Nous vous invitons à consulter la rubrique Cookies pour obtenir des informations complémentaires sur l’utilisation des cookies par iHealthLabs et les possibilités de choix dont dispose l’utilisateur dans le cadre de l’exercice de ses droits.



III. Transfert de données hors de l’Union Européenne

Comme indiqué précédemment, le service support client pouvant nécessiter l’intervention des ingénieurs d’Andon Health situés en Chine, le transfert de données est garanti au titre du RGPD sur la base des clauses contractuelles types signées entre iHealthLabs Europe et Andon Health. Ces dernières décrivent la mise en œuvre de mesures techniques et organisationnelles pour garantir le maintien d’un niveau approprié de sécurité et de confidentialité des données lors des interventions à distance sécurisées sans téléchargement de données du client situé en Europe.



IV. Les droits reconnus aux personnes physiques

Les personnes physiques disposent d’un ensemble de droits dans le cadre du RGPD qui s’appliquent en tenant compte des circonstances des traitements de données à caractère personnel.

Les personnes physiques disposent des droits suivants :

  • Droit à la fourniture d’une information en cas de collecte directe ou indirecte de données à caractère personnel ;
  • Droit d’accès, permettant d'obtenir du responsable du traitement la confirmation que des données à caractère personnel les concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données à caractère personnel ;
  • Droit de rectification et d’effacement permettant d'obtenir, dans les meilleurs délais, la rectification des données à caractère personnel qui sont inexactes et, compte tenu des finalités du traitement, le droit d'obtenir que les données soient complétées, y compris en fournissant une déclaration complémentaire, ainsi que le droit à l’effacement, permettant d'obtenir l'effacement, dans les meilleurs délais, de données à caractère personnel lorsque certains motifs sont réunis. L’utilisateur a la possibilité de supprimer ses données personnelles (suppression du compte depuis l’application ou en faisant une demande au support) : aucune donnée n’est conservée après la suppression du compte ;
  • Droit à la limitation du traitement pendant une certaine durée lorsque certains éléments s'appliquent, tels qu’une éventuelle contestation de l’exactitude de données à caractère personnel, de traitement illicite auquel s’opposerait une personne, ou encore en cas de nécessité de traitements de données de la personne concernée pour la constatation, l'exercice ou la défense de droits en justice, ou encore en cas de vérification de l’éventuelle prévalence des motifs légitimes poursuivis par le responsable du traitement sur ceux de la personne concernée ;
  • Droit à la portabilité des données lorsqu’un traitement est notamment fondé sur le consentement d’une personne ou un contrat ; Possibilité de télécharger une archive de l’ensemble des données à caractère personnel liées à l’utilisateur ;
  • Droit d’opposition, dans une certaine mesure au regard des textes applicables, en cas d’éventuelle prise de décision individuelle automatisée reposant sur la situation particulière d’une personne ;

Les personnes physiques disposent par ailleurs du droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) en tant qu’autorité de contrôle de la protection des données, notamment en suivant les indications figurant sur son site internet accessible à l’adresse suivante : www.cnil.fr.



V. Joindre iHealthLabs au sujet de la protection des données ainsi que pour l’exercice des droits

iHealthLabs s’engage à examiner toute demande afin de répondre à toute question liée à l’application du RGPD dans le cadre de ses activités.

En cas de demande portant sur l’exercice des droits reconnus par le RGPD, iHealthLabs s’efforce d’apporter des réponses concises, transparentes, compréhensibles et aisément accessibles, en des termes clairs et simples.

De plus, les informations pourront être fournies par écrit ou par d'autres moyens y compris par voie électronique si cela est approprié ou si votre demande est présentée sous cette forme.

À la demande des personnes, les informations peuvent être fournies oralement, à condition que votre identité soit démontrée par d'autres moyens. Afin de s’assurer de l’identité des personnes, il pourra vous être demandé de fournir des informations ou documents justificatifs.

iHealthLabs ayant désigné un délégué à la protection des données auprès de la Commission antinationale de l’informatique et des libertés. Dans le cadre de sa fonction et des missions définies par le RGPD, ce dernier intervient dans l’ensemble des projets de traitement, de même que pour veiller à la prise en compte des droits des personnes et contribuer à la diffusion d’une culture de la protection des données au sein de iHealthLabs.

Les demandes portant sur l’exercice des droits peuvent être adressées de la manière suivante :

  • Par courriel à l’adresse suivante : dpo@ihealthlabs.eu
  • Par courrier postal à l'adresse suivante : DPO – iHealthLabs Europe, 36 rue de Ponthieu, 75008 Paris, France.

Comme indiqué dans la partie IV de la politique, les personnes physiques disposent du droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL).