Politique de confidentialité

La présente politique de confidentialité décrit la manière dont EXPANSI, éditeur de l'application mobile OdysséeMed (ci-après « l'Application »), collecte, traite et conserve les données à caractère personnel de ses utilisateurs. Elle est rédigée en application du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (ci-après « RGPD ») et de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.

L'éditeur s'engage à mettre en œuvre les principes de protection des données dès la conception et par défaut (article 25 du RGPD), à limiter la collecte aux seules données strictement nécessaires aux finalités poursuivies (principe de minimisation, article 5.1.c du RGPD), et à assurer la transparence de ses traitements vis-à-vis des utilisateurs.

Le responsable de traitement au sens de l'article 4.7 du RGPD est : EXPANSI, SAS au capital de 1 500 000 euros, dont le siège social est situé 8 Chemin des Floralies, 13090 Aix-en-Provence, immatriculée au registre du commerce et des sociétés d'Aix-en-Provence sous le numéro 827 509 027, représentée par Mme Aurélia Farine, Présidente.

Toute demande relative au traitement de vos données peut être adressée à : contact@expansi.fr.

L'éditeur n'a pas désigné de délégué à la protection des données, la désignation n'étant pas requise au regard des critères posés par l'article 37 du RGPD. Toute question relative au traitement des données peut être adressée à contact@expansi.fr.

L'éditeur traite les catégories de données suivantes, dans le strict respect du principe de finalité et sur les bases légales précisées ci-après :

Les données collectées au titre de la création du compte (adresse email, identifiants) revêtent un caractère obligatoire ; leur absence empêche l'utilisation de l'Application. Les autres données (photographies, localisation, contenu des messages) sont collectées sur une base purement volontaire et leur fourniture relève du libre choix de l'utilisateur.

Les données à caractère personnel sont accessibles, dans la stricte limite de leurs habilitations respectives, aux personnes suivantes : les équipes internes de l'éditeur dûment habilitées (administration, support utilisateur, modération) ; les autres utilisateurs de l'Application, pour les seules données que vous choisissez de leur rendre accessibles ; les sous-traitants intervenant pour le compte de l'éditeur en application de l'article 28 du RGPD ; le cas échéant, les autorités administratives ou judiciaires compétentes, sur réquisition régulière.

Les sous-traitants intervenant à ce jour sont les suivants : OVH SAS (hébergeur des serveurs applicatifs et de la base de données, siège à Roubaix, France) ; Amazon Web Services EMEA SARL (stockage de fichiers via Amazon S3, région eu-north-1, Stockholm, Suède — au sein de l'Espace économique européen). Le cas échéant, tout nouveau sous-traitant intervenant pour la fourniture de services de notifications ou d'analyse d'audience fera l'objet d'une mise à jour de la présente politique préalablement à son entrée en service.

L'ensemble des données traitées est hébergé au sein de l'Espace économique européen (serveurs applicatifs OVH, France ; stockage de fichiers AWS S3, eu-north-1, Stockholm, Suède) et ne fait l'objet d'aucun transfert vers un pays tiers.

Les données sont conservées pendant les durées suivantes :

• Données du compte utilisateur : pendant toute la durée d'utilisation de l'Application, puis supprimées ou anonymisées au terme d'une période d'inactivité de 3 ans
• Photographies et messages : conservés tant que le compte est actif, supprimés définitivement lors de la suppression du compte
• Données de localisation : non conservées au-delà de la session de partage — aucune persistance en base de données
• Journaux techniques (logs) : 12 mois au maximum, conformément aux recommandations de la CNIL

À l'expiration de ces durées, les données sont supprimées ou anonymisées de manière irréversible.

L'éditeur met en œuvre les mesures techniques et organisationnelles appropriées au regard du risque, conformément à l'article 32 du RGPD, et notamment :

• Le chiffrement des communications entre l'Application et les serveurs (TLS)
• Le chiffrement des données sensibles au repos
• La gestion stricte des habilitations d'accès
• La journalisation des accès aux bases
• Les procédures internes de gestion des incidents et de notification de violation de données (articles 33 et 34 du RGPD)

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

• Droit d'accès à vos données
• Droit de rectification
• Droit d'effacement (« droit à l'oubli ») dans les conditions de l'article 17 du RGPD
• Droit à la limitation du traitement
• Droit à la portabilité de vos données
• Droit d'opposition au traitement fondé sur l'intérêt légitime
• Droit de retirer à tout moment votre consentement
• Droit de définir des directives relatives au sort de vos données après votre décès (article 85 de la loi du 6 janvier 1978)

Ces droits peuvent être exercés depuis l'Application via les fonctionnalités prévues (suppression du compte, modification du profil, export des données), ou par e-mail à : contact@expansi.fr, ou par courrier à : EXPANSI — 8 Chemin des Floralies, 13090 Aix-en-Provence.

L'éditeur s'engage à répondre dans le délai d'un mois, susceptible d'être prolongé de deux mois en raison de la complexité ou du nombre de demandes (article 12.3 du RGPD).

Vous pouvez à tout moment demander la suppression de votre compte ainsi que des données associées. Conformément aux exigences du Google Play Store, deux canaux indépendants vous sont ouverts.

Depuis l'Application — vous pouvez initier la suppression de votre compte via la fonctionnalité dédiée accessible dans les paramètres de votre profil.

Depuis un navigateur web — vous pouvez également formuler cette demande à l'adresse suivante : odysseemed.fr/supprimer-mon-compte, y compris si vous avez désinstallé l'Application.

Lorsque l'éditeur fait droit à une demande de suppression, l'ensemble des données associées (profil, photographies, messages, contenus partagés) est supprimé de manière définitive, sous réserve des données dont la conservation est imposée par une obligation légale ou un motif légitime au sens de l'article 17.3 du RGPD.

L'Application sollicite, via les fenêtres natives du système d'exploitation, les permissions strictement nécessaires à son fonctionnement :

• Accès à l'appareil photo et à la photothèque — aux fins de partage de photographies dans votre profil ou la messagerie
• Accès à la localisation — exclusivement lors du partage volontaire de localisation dans la messagerie
• Accès aux notifications — aux fins d'information sur les nouveaux messages et événements du Forum

Vous pouvez à tout moment révoquer ces permissions depuis les paramètres de votre appareil. La révocation peut entraîner une dégradation des fonctionnalités correspondantes.

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous disposez du droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL), située 3, Place de Fontenoy — TSA 80715 — 75334 PARIS Cedex 07, ou via le site internet de la Commission (www.cnil.fr).

L'Application est destinée à des étudiants en médecine et à des membres d'équipes pédagogiques, en principe majeurs. Si l'éditeur entend ouvrir l'Application à des utilisateurs mineurs, les conditions d'accès, d'information et de consentement seront adaptées conformément à l'article 7-1 de la loi du 6 janvier 1978 modifiée. Pour le mineur âgé de moins de quinze ans, le traitement fondé sur le consentement suppose le consentement conjoint du mineur et du ou des titulaires de l'autorité parentale.

La présente politique est susceptible d'évoluer. Toute modification substantielle vous sera notifiée par l'Application ou par courrier électronique, dans un délai raisonnable préalable à son entrée en vigueur. La date de dernière mise à jour figure ci-dessous.