Politique de protection des données
Objet
La présente politique de confidentialité a pour objet d’informer les utilisateurs du logiciel Gastroptim édité par IEROMED SAS sur la manière dont leurs données personnelles sont collectées, utilisées et protégées, conformément :
- au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD),
- à la loi n°78-17 du 6 janvier 1978 modifiée (Informatique et Libertés).
Cette politique s’adresse principalement aux professionnels de santé utilisateurs du logiciel, ainsi qu’aux personnes concernées par les données de santé traitées via celui-ci.
Identité du responsable de traitement
Le responsable de traitement est IEROMED, société par actions simplifiée, inscrite au RCS de Marseille sous le numéro 989 067 483, ayant son siège social au 394 bis avenue du Prado, 13008 Marseille, France.
La société agit en qualité de responsable de traitement au sens de l’article 4 du RGPD.
Le référent interne en charge du respect de la politique de confidentialité est joignable à l’adresse contact@gastroptim.com.
Définitions
- “Abonné” : toute personne physique Acteur de santé exerçant à titre libéral, toute personne morale de droit privé regroupant des Acteurs de santé pour l’exercice de leur profession et toute personne morale de droit public regroupant des Acteurs de santé pour l’exercice de leur profession, ayant souscrit aux Services en signant les Conditions d’Abonnement et en payant l’Abonnement ;
- “Abonnement” : souscription payante aux Services ;
- “Acteur de santé” : toute personne physique ou morale participant, directement ou indirectement, à la prise en charge d’un patient. Il peut s’agir de professionnels exerçant à titre libéral ou salarié, individuellement ou au sein d’une structure, qu’ils aient ou non la qualité de Professionnel de santé, et qui sont éligibles à l’utilisation des Services ;
- “Données à Caractère Personnel” : toute information concernant une personne physique identifiée ou identifiable telle que définie par le Règlement Général sur la Protection des Données (RGPD) ;
- “Données de base patient” : ensemble des données relatives aux Patients incluant des Données à caractère personnel, des Données de santé ainsi que des Documents ;
- “Données de santé” : données concernant la santé telles que définies par le RGPD.
Rôles au sens du RGPD
Conformément au Règlement Général sur la Protection des Données (RGPD), il existe deux principaux rôles dans le traitement des Données personnelles :
- Le Responsable du traitement détermine les finalités (raisons) et les moyens (façons) du traitement des Données à Caractère Personnel.
- Le Sous-traitant traite les Données à Caractère Personnel pour le compte du Responsable du traitement, sous son autorité et conformément à ses instructions.
IEROMED peut intervenir sous l’un ou l’autre de ces rôles :
- IEROMED est Responsable du traitement lorsqu’elle agit pour son propre compte et détermine les finalités de l’utilisation des Données à Caractère Personnel — par exemple, lors de la création et gestion des Comptes Utilisateur.
- Le Professionnel de santé est Responsable du traitement lorsqu’il détermine les finalités du traitement des Données à Caractère Personnel des patients — par exemple, lorsqu’il utilise IEROMED pour transmettre des documents. Dans ce cas, IEROMED agit comme Sous-traitant, pour le compte du Professionnel de santé.
Quel que soit son rôle, IEROMED met en œuvre toutes les mesures techniques et organisationnelles appropriées pour garantir la sécurité, la confidentialité et la conformité des traitements de Données à Caractère Personnel, conformément aux dispositions du RGPD et à la législation applicable en matière de protection des données.
Données personnelles traitées
Données relatives aux utilisateurs professionnels
Dans le cadre de l’utilisation du logiciel, la société traite notamment les données suivantes :
- identité : nom, prénom ;
- coordonnées professionnelles : adresse email, numéro de téléphone ;
- information relative au compte utilisateur : rôle, profil ;
- journaux de connexion et d’activité (logs) liés à l’utilisation du logiciel .
Données relatives aux patients
Le logiciel permet aux professionnels de santé de saisir et consulter des données relatives à leurs patients, notamment :
Ces données sont saisies et utilisées sous la responsabilité des professionnels de santé dans le cadre de leur pratique médicale et des finalités qu’ils déterminent.
Finalités des traitements
Les données personnelles sont traitées pour les finalités suivantes :
- fourniture et fonctionnement du logiciel médical,
- gestion des comptes utilisateurs et des abonnements,
- traitement des comptes rendus médicaux,
- traitement des résultats histologiques,
- Production de statistiques de performance relatives aux prises en charge réalisées par le professionnel de santé.
- gestion et suivi des dossiers patients,
- assistance et support technique,
- maintenance, sécurité et traçabilité des accès,
- amélioration et évolution du logiciel,
- respect des obligations légales et réglementaires applicables.
Aucune décision produisant des effets juridiques significatifs pour les personnes concernées n’est prise sur le seul fondement d’un traitement automatisé, y compris le profilage (cf. le règlement général sur la protection des données, chapitre 3, article 22 du 23 mai 2016 relatif aux décisions individuelles automatisées CHAPITRE III - Droits de la personne concernée ).
Bases légales des traitements
Les traitements mis en œuvre reposent sur les bases légales suivantes :
- exécution du contrat liant la société à ses clients (article 6.1.b RGPD),
- respect d’obligations légales (article 6.1.c RGPD),
- intérêt légitime de la société (article 6.1.f RGPD), notamment pour assurer la sécurité, la continuité et l’amélioration du service, ainsi que la bonne gestion de ses relations commerciales avec les professionnels de santé utilisateurs de la solution GastrOptim
- pour les données de santé : article 9.2.h du RGPD, relatif à la prise en charge médicale et à la gestion des systèmes et services de santé.
Le traitement des données ne repose pas principalement sur le consentement. Autrement dit :
- nous considérons que, pour faire fonctionner notre solution, respecter la loi et gérer la relation avec les professionnels de santé, nous pouvons traiter les données sans demander systématiquement un accord explicite, car les autres bases (exécution du contrat, respect d’obligations légales, intérêt légitime) sont suffisantes et appropriées au regard du RGPD ;
- le consentement ne disparaît pas totalement : il pourra être demandé pour certains usages particuliers qui ne rentrent pas dans ces bases (par exemple certaines opérations marketing ou certains traceurs), mais ce n’est pas le socle principal qui rend le traitement licite.
Destinataires des données
Les données personnelles sont accessibles uniquement :
- aux membres du personnel de la société dûment habilités,
- à l’hébergeur de données de santé certifié HDS,
- aux prestataires techniques agissant en sous‑traitants (maintenance, sécurité, hébergement, support), liés à IEROMED par des contrats imposant des obligations strictes de confidentialité et de sécurité ;
- aux autorités compétentes, uniquement en cas d’obligation légale.
Aucune donnée n’est transmise à des tiers à des fins commerciales.
Hébergement et sécurité des données
Les données de santé sont hébergées auprès d’un prestataire disposant de la certification Hébergeur de Données de Santé (HDS) conformément à la réglementation française.
IEROMED met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir la sécurité et la confidentialité des données, notamment en matière de :
- contrôle strict des accès et gestion des habilitations ;
- authentification des utilisateurs ;
- chiffrement et pseudonymisation des données ;
- sauvegardes régulières et sécurisées ;
- journalisation et traçabilité des accès ;
- procédures internes de gestion des incidents de sécurité et des violations de données.
Transferts de données hors Union européenne
Les données personnelles sont hébergées et traitées au sein de l’Union européenne.
En cas de recours à des prestataires situés hors de l’Union européenne, des garanties appropriées conformes au RGPD seraient mises en place (clauses contractuelles types, mesures complémentaires).
Durées de conservation
Les données sont conservées pour des durées limitées, proportionnées aux finalités poursuivies et, le cas échéant, aux obligations légales applicables. À titre indicatif :
- données utilisateurs : pendant la durée de la relation contractuelle, puis archivées pendant 10 ans après la fin du contrat ;
- données patients : conservées 10 ans conformément aux obligations légales et réglementaires applicables aux professionnels de santé ;
- journaux de connexion et traces techniques : 12 mois ;
- données liées au support et à la maintenance : 3 ans.
Droits des personnes concernées
Conformément au RGPD, les personnes concernées disposent des droits suivants :
- droit d’accès,
- droit de rectification,
- droit à l’effacement (dans les limites légales),
- droit à la limitation du traitement,
- droit d’opposition,
- droit à la portabilité.
- droit de retirer le consentement à tout moment (pour les traitements fondés sur le consentement)
L’abonné peut exercer ces droits en contactant par courrier : IEROMED – 394 bis avenue du Prado, 13008 Marseille – France ou par email : contact@gastroptim.com
En cas de litige, l’abonné peut saisir la CNIL (www.cnil.fr) ou toute autorité compétente.
Obligations des professionnels de santé clients
Les professionnels de santé utilisateurs du logiciel demeurent responsables :
Mise à jour de la politique
La présente politique peut être modifiée à tout moment afin de refléter les évolutions légales, réglementaires, techniques ou organisationnelles.
La date de dernière mise à jour figure ci‑dessous. En cas de modification substantielle, les Utilisateurs en seront informés par tout moyen approprié.
Dernière mise à jour : 6 janvier 2026.