Version mise à jour le 14/01/2021
La politique de protection des données à caractère personnel de l'ADIPh se décline en deux volets :
- Politique générale
- Registre des activités de traitement, qui détaille le traitement des données pour chaque activité de l'ADIPh.
Si l’utilisateur a des questions ou des réclamations concernant notre respect de la présente politique de confidentialité des données, ou s’il souhaite nous faire part de recommandations ou de commentaires visant à améliorer sa qualité, il peut le faire via le formulaire de contact ou en adressant un mail à administration@adiph.biz.
Politique générale
Les membres de l’équipe de l’ADIPh (dont la composition se trouve sur le site www.adiph.org)
- s’engagent à garantir la confidentialité des données à caractère personnel traitées dans le cadre de l’association
- reçoivent la formation nécessaire en matière de protection des données à caractère personnel.
Conformément à l’article 37 du règlement européen sur la protection des données, l’ADIPh a nommé la présidente Agnès BOBAY-MADIC en tant que déléguée à la protection des données. Elle répond aux questions adressées via le formulaire de contact ou par mail adressé à administration@adiph.biz..
L’ADIPh s’est assurée auprès de ses sous-traitants (OCTOPOOS et OVH), que ceux-ci respectent les RGPD.
L’ADIPh certifie que :
- aucun de ses contacts n’a été extrait d’une autre base de données.
- les mots de passe sont encryptés dans sa base de données.
- un lien de désabonnement, à défaut un mail à contacter pour se désabonner est disponible dans chaque newsletter envoyée.
- les données récoltées sont minimisées au maximum.
- qu’un consentement systématique est demandé à ses utilisateurs et qu’une trace en est gardée.
Données personnelles recueillies par l’ADIPh
Le terme "données personnelles", tel qu'il est utilisé dans la présente politique, fait référence aux informations suivantes :
- Pour la création d’un compte : nom et prénom, adresse mail, mot de passe, statut professionnel (actif ou retraité), téléphone personnel, profession (pharmacien hospitalier, interne en pharmacie, pharmacien d’officine ou non pharmacien), photo (facultatif)
- Pour la création d’un compte adhérent, en plus des données précédemment citées (possible seulement si l’utilisateur est pharmacien hospitalier, pharmacien d’officine ou interne en pharmacie) : la volonté de devenir adhérent, l’adresse professionnelle (ou personnelle si en recherche d’emploi), le téléphone professionnel.
Aucune coordonnée bancaire ne fait partie de ces données : en cas de paiement en ligne, le client est dirigé vers le site sécurisé bancaire de la BNP.
Des données personnelles supplémentaires peuvent être recueillies lors de l’utilisation des différents services proposés par l’ADIPh (Annuaire des adhérents, Petites annonces, Listes de discussion et forum de logiciels, Formulaire de contact, Outils de simulation en réalité virtuelle). Leur traitement est décrit dans le registre des activités de traitement (cf. infra).
En règle générale, les données personnelles sont traitées selon la procédure décrite dans cette politique. Nous nous réservons le droit de procéder à des traitements supplémentaires qui seraient requis par la loi, ou dans le cadre d'une enquête notamment pénale.
Utilisation des données personnelles
Le site adiph.org propose
- des pages publiques, consultables sans connexion,
- des pages accessibles après identification (ex : petites annonces),
- des pages réservées aux adhérents (ex : WikiADIPh), l’adhésion étant réservée à une certaine catégorie professionnelle.
Les éléments permettant de créer un compte utilisateur ou de s’identifier à partir de ce compte sont demandés afin d'éviter la création de comptes parallèles qui aurait des conséquences négatives sur le suivi des adhésions. Selon la réglementation en vigueur, les données personnelles permettent de fournir aux utilisateurs les services et de communiquer avec eux selon leurs choix d'abonnement aux newsletters, aux petites annonces et aux listes de discussion.
Non-communication des données personnelles
Les données personnelles ne seront jamais vendues, ni partagées ou communiquées à des tiers, sauf agissant pour notre compte dans le cadre d'un traitement spécifique conformément aux finalités pour lesquelles elles ont été recueillies initialement, et pour lesquelles l’utilisateur a donné son accord. Ces tiers se sont engagés par contrat à n'utiliser les données personnelles qu'aux fins convenues, et à ne pas les vendre ou divulguer à d'autres tiers sauf si la loi le requiert.
Par ailleurs, les données personnelles pourront être divulguées à un tiers si nous y sommes contraints dans le cadre d'une loi en ou d'une disposition réglementaire en vigueur, d'une ordonnance judiciaire ou d'une réglementation gouvernementale, ou si cette divulgation est nécessaire dans le cadre d'une enquête, ou d'une procédure pénale, sur le territoire national ou à l'étranger.
Droits des utilisateurs
L’utilisateur dispose d'un droit d'accès et d'un droit d’opposition au traitement de ses données personnelles pour des raisons légitimes, c'est-à-dire si ce traitement n'est pas raisonnablement nécessaire à la poursuite de notre intérêt légitime tel que décrit dans la présente politique, ou au respect de la loi.
L’utilisateur a accès à ses données personnelles une fois connecté au site, et peut les modifier à tout moment.
Si un utilisateur souhaite effacer son compte et ses données, ou encore faire une demande d’opposition, de limitation de traitement, de portabilité des données, de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage), merci d'envoyer une demande à administration@adiph.biz. Cette demande sera traitée dans un délai maximum d’1 mois.
Droit à l’oubli : Les données personnelles des personnes inactives depuis 3 ans sont supprimées de notre base de données.
Sécurité et confidentialité
Le site de l’ADIPh répond aux dispositions légales de la France.
Pour assurer la sécurité et la confidentialité des données personnelles que nous recueillons en ligne, nous utilisons des accès protégés par des dispositifs standards tels que pare-feu et mots de passe. Lors du traitement des données personnelles, nous prenons toutes les mesures raisonnables visant à les protéger contre toute perte, utilisation détournée, accès non autorisé, divulgation, altération ou destruction.
Le site adiph.org et ses sauvegardes sont hébergés sur des serveurs qui sont la propriété de l’association.
Les mises à jour et la sécurisation des serveurs est assurée par notre sous-traitant, la société OCTOPOOS, qui respecte les RGPD, conformément au contrat que nous avons co-signé le 28 mai 2018.
Notification des violations de données à caractère personnel
Si l’utilisateur constate une violation de données à caractère personnel, il doit en notifier le responsable de l’ADIPh dans un délai maximum de 48 heures après en avoir pris connaissance et par courrier électronique à administration@adiph.biz. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente. L’ADIPh s’engage à répondre à l’utilisateur dans un délai maximum d’un mois.
En cas de violation de données à caractère personnel, l’ADIPh notifie la violation en question à l'autorité de contrôle compétente (la CNIL) dans les meilleurs délais.
Conformément au contrat de sous-traitance, Octopoos notifie à l’ADIPH toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.
Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.
L’ADIPh communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais, lorsque cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique.
La notification et la communication à la personne concernée décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins :
- la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
- le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
- la description des conséquences probables de la violation de données à caractère personnel ;
- la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Cookies
Un "cookie" est un petit fichier d'information envoyé sur le navigateur de l’utilisateur et enregistré au sein de son terminal (ex : ordinateur, smartphone). Les RGPD stipulent qu'il est obligatoire de demander le consentement de l'utilisateur lors du dépôt d'un cookie sur son terminal.
Depuis le 30/11/2021, le site de l'ADIPh a remplacé Google Analytics par Matomo Analytics, qui nous permet de récolter des informations générales de navigation à fins de statistiques. Grâce à sa conception Full-RGPD, nous n'utilisons plus aucun cookie lorsque vous visitez notre site. C'est pourquoi aucun consentement ne vous est plus jamais demandé : Nous ne recueillons plus aucune information personnalisée concernant la visite de notre site.
Newsletters et mails envoyés aux personnes ayant créé un compte
A la création du compte, il est proposé à l’utilisateur de s'abonner aux lettres d’information de l’ADIPh (Adiph-news et WikiNews). Il peut modifier à tout moment ses abonnements en allant dans son profil : https://www.adiph.org/mon-profil/modification#Inscriptions ou encore en cliquant sur le lien de désabonnement disponible sur chaque newsletter.
Par ailleurs, après la création du compte, des mails peuvent être envoyées de façon personnelle ou automatisée aux occasions suivantes :
- Compte bloqué
- Justificatif permettant de valider la demande d’adhésion absent ou non valable
- Non-paiement ou non renouvellement de l’adhésion
- Inscription en tant que pharmacien hospitalier ou interne sans demande d’adhésion
Si l’utilisateur ne souhaite pas recevoir ce type de mails, il peut en faire la demande à tout moment en écrivant à administration@adiph.biz.
Registre des activités de traitement
Ce chapitre détaille le traitement des données à caractère personnel recueillies lors de l’utilisation des différents services de l’ADIPh :
1- Services proposés au grand public
- Petites annonces
- Formulaire de contact
2- Services réservés aux adhérents
- Annuaire des adhérents
- Listes de discussion et forum de logiciels
- Outils de simulation en réalité virtuelle
Toutes ces données répondent aux exigences de la politique générale, auxquelles s’ajoutent les précisions suivantes.
Services proposés au grand public
Formulaire de contact
Les données recueillies sont :
- Les coordonnées de l’internaute (nom, prénom, mail, téléphone, adresse pro)
- L’objet de la demande
L’utilisation du formulaire de contact ne nécessite pas la création d’un compte. Cependant, si l’utilisateur a créé un compte et est connecté, les coordonnées se remplissent automatiquement.
Le message est ensuite transmis par mail aux différentes personnes concernées pour traitement de la demande. Le contenu des messages est conservé pendant 1 an puis détruit.
Les données peuvent faire l’objet d’une étude statistique.
Petites annonces
Ce service est soumis à la création d’un compte.
Deux volets sont étudiés dans ce chapitre : le dépôt et la réponse à une petite annonce.
Dépôt d’une petite annonce
Les données recueillies sont :
- Type de contrat
- Texte de l’annonce d’emploi
- Géolocalisation (uniquement pour le dépôt d’une offre d’emploi)
- Pièces jointes (les CV ne sont pas admis en pièces jointes et sont refusés avant publication)
Ces données sont archivées sur notre serveur et disponibles dans le profil de l’utilisateur, dans mon compte > mes annonces d’emploi. Elles sont conservées le temps de vie du compte utilisateur.
L’utilisateur peut à tout moment modifier (pour la republier par exemple) ou supprimer la petite annonce en cliquant sur la croix rouge en bout de ligne. Après cette manipulation, aucune copie de ces données n’est conservée sur nos serveurs.
Réponse à une petite annonce
Aucune donnée n’est stockée dans notre base : Le lien entre les deux parties s’effectue directement via des mails (mise à disposition du mail de l’auteur) ou par téléphone.
Services proposés aux adhérents
Ces services sont soumis à la création d’un compte de type « adhérent », dont la validité est liée au paiement d’une cotisation annuelle. Lors de l’expiration de l’adhésion, l’utilisateur n’a plus accès à ces services.
Annuaire des adhérents
Lors de la demande d’adhésion, il est proposé à l’utilisateur s’il souhaite s’inscrire à l’annuaire des adhérents : https://www.adiph.org/annuaires/pharmaciens.
Cette inscription est facultative et peut être modifiable à tout moment par l’utilisateur. Elle est prise en compte immédiatement.
Listes de discussion et forums de logiciels
Les données recueillies sont :
- Les inscriptions aux différentes listes :
- données recueillies à un instant t, pas de sauvegarde d’historique.
- L’utilisateur peut modifier son choix à tout moment en allant dans Mon compte > mes abonnements : https://www.adiph.org/mon-profil/modification#Inscriptions. Les modifications sont prises en compte immédiatement.
- Un mail est envoyé systématiquement à l’utilisateur (un mail par liste de discussion ou forum de logiciel):
- Lors de son inscription à une liste. Ce mail explique les modalités d’utilisation de la liste et l’adresse à laquelle envoyer les messages.
- Lors de son désabonnement volontaire à une liste
- Lors de son désabonnement lié à l’expiration de son adhésion
- Les messages publiés sur les différentes listes :
- Ceux-ci sont conservés sur le serveur de mail (sécurisé) pendant 3 ans puis détruits.
- Ces mails sont ensuite envoyés aux adhérents abonnés à la liste de discussion choisie par l'auteur. L'ADIPh n'est pas responsable de la conservation des dits-mails dans les boites personnelles de ses adhérents
- Le contenu des messages publiés peut être utilisé pour la rédaction des fiches Wiki. Dans ce cas, l’auteur du message n’est jamais cité.
Les données d’inscription aux listes de discussion, le nombre de messages échangés, la nature et le contenu des messages peuvent faire l’objet de recueil à visées statistiques.
Outils de simulation en réalité virtuelle
Lors de l’utilisation des outils de simulation en réalité virtuelle, l’apprenant peut remplir en ligne deux questionnaires : recueil des réponses et recueil de satisfaction.
Ces données sont confidentielles. Elles sont visibles et exploitables uniquement par l’équipe « simulation en santé » de l’ADIPh (dont la composition se trouve sur le site www.adiph.org).
Ces données peuvent faire l’objet d’un traitement a posteriori, avec pour objectifs :
- Publication des résultats statistiques dans des revues scientifiques : taux de bonnes réponses, satisfaction des apprenants.
- Amélioration du serious game (amélioration de la qualité pédagogique et des prises de vues)
Aucun traitement des données à caractère personnel n’est effectué : les données sont anonymisées.
Questionnaire de recueil de réponses :
Ce questionnaire, réalisé sur googleforms, permet le recueil :
- Du mail de l’apprenant
- De sa catégorie professionnelle
- Des erreurs découvertes au cours du serious game.
Caractère obligatoire du remplissage de ce questionnaire :
- Dans le cadre d’une utilisation personnelle :
- Lorsqu’un adhérent souhaite tester ses connaissances avec le serious game, il doit remplir le questionnaire dédié à ses réponses afin d’accéder à la correction.
- Si l’adhérent ne souhaite pas accéder à la correction, il n’est pas obligé de remplir ce questionnaire
- Dans le cadre d’une convention entre l’ADIPh et un organisme de formation : Il appartient à l’organisme de formation de décider s’il souhaite un recueil des réponses de ses apprenants sur papier ou via le questionnaire électronique proposé. Dans ce dernier cas, l’apprenant doit remplir le questionnaire et l’ADIPh s’engage à fournir à l’établissement de formation l’ensemble des données brutes recueillies uniquement pour ses apprenants.
Les données recueillies via ce questionnaire sont conservées par l’ADIPh pendant un maximum de 10 ans.
Questionnaire de recueil de satisfaction
Ce questionnaire, réalisé sur googleforms, permet le recueil :
- De la catégorie professionnelle de l’apprenant
- De sa satisfaction sur l’outil.
Le remplissage de ce questionnaire est facultatif.
Les données recueillies via ce questionnaire sont conservées par l’ADIPh pendant un maximum de 10 ans.