BH Team
Politique de confidentialité — Interface LBM (Laboratoires de biologie médicale)
Brouillon — à valider par un juriste. Champs
[À COMPLÉTER]à renseigner. Périmètre : interface professionnelle B2B destinée aux SEL / laboratoires de biologie médicale.
Dernière mise à jour : [À COMPLÉTER : date]
1. Préambule et rôle des parties
L'interface LBM est un outil de gestion documentaire qualité (gestion des documents, versions, workflows de validation, lecture, archivage) mis à disposition des laboratoires.
Dans ce cadre :
- Le laboratoire / la SEL cliente est responsable de traitement des données qu'il dépose et gère via le service (documents qualité, données de ses utilisateurs, etc.).
- [À COMPLÉTER : raison sociale] (l'« Éditeur ») agit en qualité de sous-traitant au sens de l'article 28 du RGPD, et traite ces données uniquement sur instruction du client.
Les engagements respectifs du client et de l'Éditeur sont précisés dans un accord de traitement des données (DPA) annexé au contrat. [À COMPLÉTER : référence du DPA]
2. Données traitées
| Catégorie | Exemples | Origine |
|---|---|---|
| Données de compte | nom, prénom, e-mail professionnel, rôle, interface | Client / utilisateur |
| Données d'usage | journaux de connexion, activité, sécurité (anti-bruteforce) | Système |
| Contenus déposés | documents qualité, versions, métadonnées | Client / utilisateurs |
| Données techniques | adresse IP, logs applicatifs | Système |
L'interface LBM n'a pas vocation à traiter des données de santé de patients. Si de telles données figuraient dans les documents déposés, elles relèvent de la responsabilité du client et des obligations HDS. [À COMPLÉTER : préciser politique]
3. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Fourniture du service (comptes, documents, workflows) | Exécution du contrat (client) |
Sécurité, prévention de la fraude (détection bruteforce, security_key) | Intérêt légitime |
| Amélioration et support | Intérêt légitime |
| Obligations légales et comptables | Obligation légale |
4. Destinataires et sous-traitants ultérieurs
Les données peuvent être traitées par des prestataires techniques agissant pour le compte de l'Éditeur :
- Hébergement / stockage : Scaleway (France,
fr-par) - Supervision / observabilité : Sentry, New Relic, BetterStack [À COMPLÉTER : confirmer + localisation]
Chaque sous-traitant ultérieur est soumis à des garanties contractuelles conformes au RGPD. Aucune donnée n'est vendue à des tiers.
5. Transferts hors UE
Les données sont hébergées dans l'Union européenne (France). En cas de transfert hors UE par un sous-traitant, des garanties appropriées (clauses contractuelles types) sont mises en place. [À COMPLÉTER : vérifier la localisation effective de chaque prestataire]
6. Durées de conservation
- Compte utilisateur : pendant la durée du contrat, puis suppression / anonymisation.
- Documents et contenus : selon les instructions du client et les obligations de conservation qualité applicables. [À COMPLÉTER : durées précises]
- Journaux de connexion / sécurité : [À COMPLÉTER : ex. 6 à 12 mois].
7. Sécurité
L'Éditeur met en œuvre des mesures techniques et organisationnelles : authentification JWT
avec invalidation (security_key), détection des tentatives de connexion frauduleuses,
cloisonnement multi-tenant, chiffrement des échanges (HTTPS), hébergement en France.
8. Cookies et traceurs
Le service utilise uniquement des cookies/stockage strictement nécessaires à son fonctionnement (session, authentification, préférence de langue). Ils ne nécessitent pas de consentement. [À COMPLÉTER : ajouter une politique cookies si des traceurs de mesure d'audience étaient ajoutés]
9. Droits des personnes
Les utilisateurs exercent leurs droits (accès, rectification, effacement, limitation, opposition, portabilité) auprès du client responsable de traitement. L'Éditeur, en tant que sous-traitant, assiste le client dans la prise en charge de ces demandes.
Contact DPO de l'Éditeur : [À COMPLÉTER : dpo@neoka.bio] — Réclamation : CNIL (cnil.fr).