Avis de Confidentialité pour les Patients utilisant la Plateforme de Surveillance de la Santé Empatica (EHMP)
Dernière mise à jour : v1.0 jan 2026
Cet avis de confidentialité (« Avis ») explique comment Empatica S.r.l., ayant son siège social à Via Stendhal 36, 20144 Milan, Italie (« Empatica », « nous », « notre », ou « nos »), traite les données personnelles des patients des hôpitaux ou des centres cliniques qui sont des clients d'Empatica (« Clients ») situés dans l'Union européenne (UE), dans l'Espace économique européen (EEE) et au Royaume-Uni qui utilisent la Plateforme de Surveillance de la Santé Empatica (« EHMP ») et ses composants et services connexes (ensemble, les « Services »).
Empatica fournit des technologies de santé numérique et des dispositifs médicaux qui permettent la collecte à distance, la transmission et l'analyse des données physiologiques des patients atteints de la maladie de Parkinson (« Personnes concernées », « vous » ou « vos ») sous le contrôle des Clients.
Les Clients agissent en tant que responsables du traitement en ce qui concerne le traitement des données personnelles des Personnes concernées nécessaires au diagnostic, aux soins et au traitement. Dans ce contexte, toutes les activités de traitement menées par Empatica à l'appui de ces objectifs sont effectuées par Empatica en sa capacité de sous-traitant, au nom des Clients. En conséquence, toute activité de traitement menée à des fins de diagnostic, de soins et de traitement n'est pas couverte par cet Avis.
Cependant, Empatica agit également en tant que responsable du traitement indépendant à certaines fins relatives aux Services pour lesquelles Empatica détermine les objectifs et les moyens du traitement, comme décrit dans cet Avis. En conséquence, par le biais de cet Avis, Empatica fournit aux Personnes concernées les informations relatives au traitement de leurs données personnelles, comme l'exigent les lois applicables en matière de protection des données.
1. À qui cet Avis est-il destiné ?
Cet Avis décrit comment Empatica traite les données personnelles des patients des Clients qui utilisent les Services.
Si le patient est un enfant, Empatica peut traiter des données limitées de catégories non spéciales relatives au parent, au tuteur ou au professionnel de santé autorisé du patient. En conséquence, dans de tels cas, le terme « Personnes concernées » doit être interprété comme incluant ces personnes.
Groupes d'âge
Enfants âgés de plus de 6 ans mais de moins de 18 ans : peuvent utiliser les Services . Ils ne peuvent pas s'inscrire directement en tant qu'utilisateurs des Services ; l'inscription et le consentement doivent être complétés par leur parent, tuteur ou par le chercheur ou clinicien responsable.
uniquement sous la supervision d'un parent, d'un tuteur ou d'un professionnel de santé autorisé
Enfants de moins de 6 ans : les Services ne sont pas destinés aux enfants de moins de 6 ans. Par conséquent, Empatica ne traitera aucune donnée relative aux enfants de moins de 6 ans.
2. Sources de données et catégories
Empatica collecte principalement les données personnelles des Personnes concernées par leur utilisation des Services. Cependant, Empatica peut collecter les données des Personnes concernées auprès du Client au cours de la surveillance post-commercialisation ou du support technique.
Empatica peut traiter :
Les données de contact identifiables telles que le nom, le prénom, la date de naissance, l'âge, le sexe, l'adresse e-mail ;
Les informations relatives aux appareils et les informations techniques, les identifiants en ligne et les données d'utilisation des appareils, telles que l'adresse IP, les identifiants d'appareils, les métriques opérationnelles des appareils, les rapports d'étalonnage et de validation des appareils, la version du firmware et de l'application, les horodatages, le système d'exploitation, les journaux de connectivité, les journaux techniques, les identifiants d'appareils mobiles (par exemple, IMEI/ID d'appareil) ;
Les données relatives à la santé telles que les signaux physiologiques, le temps de port, les mouvements, le sommeil, les scores liés à Parkinson (par exemple, le tremblement, la bradykinésie, les dyskinésies), les registres des médicaments et d'autres données de performance des appareils.
Cependant, les données spécifiques traitées peuvent varier en fonction de la configuration EHMP choisie par le Client et de l'appareil utilisé par les Personnes concernées.
3. Objectifs et bases légales du traitement des données personnelles
Le tableau ci-dessous énumère les objectifs des activités de traitement menées par Empatica en tant que responsable du traitement indépendant en ce qui concerne les données personnelles des Personnes concernées, ainsi que les bases légales correspondantes et d'autres détails pertinents.
Objectif du Traitement
Catégories de Données Personnelles
Exemples
Comment Collectées
Base Légale et conséquences potentielles du non-traitement des données
Sauvegarde – surveillance et évaluation des performances et de la sécurité de l'EHMP, y compris le diagnostic, la correction et la réaction aux rapports d'événements indésirables.
Informations relatives à la santé, identifiants d'appareils et métriques opérationnelles.
Données de performance des appareils, dossiers d'événements indésirables, métriques d'utilisation, informations de diagnostic.
Générées automatiquement par l'appareil ou fournies par le Client au cours de la surveillance post-commercialisation ou du support technique.
Conformité aux obligations légales en matière de sécurité et de vigilance, fondée sur l'article 6(1)(c) du RGPD pour les données de catégories non spéciales et l'article 9(2)(i) du RGPD pour les données relatives à la santé.
Conformité réglementaire et gestion de la qualité.
Informations relatives à la santé et informations sur les appareils selon les exigences des lois applicables et l'assurance qualité.
Données d'utilisation des appareils, étalonnage et rapports de validation.
Générées automatiquement ou fournies par le Client pour respecter les obligations réglementaires.
Conformité à une obligation légale à laquelle Empatica est soumise en vertu des lois applicables, fondée sur l'article 6(1)(c) du RGPD pour les données de catégories non spéciales et l'article 9(2)(i) du RGPD pour les données relatives à la santé.
Analyses et recherche (si autorisées par la Personne concernée) – Conduite d'analyses et de recherche sur des données pseudonymisées ou agrégées pour améliorer les algorithmes et soutenir les soumissions réglementaires et cliniques futures.
Données dérivées de données personnelles, d'appareils et d'activités, y compris les informations relatives à la santé, traitées sous forme pseudonymisée ou agrégée.
Ensembles de données agrégées ou désidentifiées utilisés pour valider les algorithmes ou améliorer les performances des appareils.
Dérivées de l'environnement sécurisé d'Empatica en utilisant des procédures de pseudonymisation.
Consentement de la Personne concernée, fondé sur l'article 6(1)(a) du RGPD pour les données de catégories non spéciales et l'article 9(2)(a) du RGPD pour les données relatives à la santé.
Marketing et publicité – Promotion des produits et services d'Empatica par le biais de communications de marketing via les communications électroniques. Distribution de contenu éducatif par le biais de canaux gérés par Empatica ; recherche de marché et analyse ; mesure et analyse.
Données d'identification et détails de contact, données géographiques, données démographiques, données de préférence de marketing, données d'interaction de communication.
Prénom et nom, adresses e-mail, date de naissance, âge, sexe, statut d'inscription/désinscription, pays/région de résidence, langue.
Collectées directement de la Personne concernée via les canaux Empatica (formulaire web / in-app).
Consentement de la Personne concernée, fondé sur l'article 6(1)(a) du RGPD.
Établissement, exercice ou défense de réclamations légales
Les données personnelles traitées peuvent varier au cas par cas, en fonction du sujet du différend juridique.
Prénom et nom, adresses e-mail, données d'utilisation des appareils
Les données personnelles sont collectées conformément aux méthodes de collecte de données décrites dans les lignes pertinentes de ce tableau.
Le traitement est nécessaire pour la poursuite de l'intérêt légitime d'Empatica d'établir, d'exercer ou de défendre des réclamations légales, fondée sur l'article 6(1)(f) du RGPD pour les données de catégories non spéciales et l'article 9(2)(f) où les données relatives à la santé sont impliquées.
Transactions commerciales – Évaluer la faisabilité et exécuter des transactions commerciales, telles que des fusions, des restructurations, des acquisitions de sociétés ou la vente d'actifs impliquant Empatica, et d'autres opérations connexes.
Les données personnelles traitées peuvent varier en fonction de la transaction spécifique.
Les données personnelles peuvent être transférées à l'entité acquéreur ou successeur dans le cadre de cette transaction.
Les données personnelles sont collectées conformément aux méthodes de collecte de données décrites dans les lignes pertinentes de ce tableau.
Le traitement est nécessaire pour la poursuite de l'intérêt légitime d'Empatica de mener des transactions commerciales possibles, fondée sur l'article 6(1)(f) du RGPD pour les données de catégories non spéciales et l'article 9(2)(i) où les données relatives à la santé sont impliquées.
4. Partage de vos données personnelles avec d'autres
Empatica peut partager ou divulguer des données personnelles aux destinataires de données suivants dans la mesure nécessaire pour atteindre les objectifs de traitement susmentionnés pour lesquels les données personnelles sont destinées.
a) Sociétés affiliées
Empatica peut partager des données personnelles avec ses sociétés affiliées :
Empatica Inc., située aux États-Unis ; et
Global Kinetics UK Corporation Limited, située au Royaume-Uni.
b) Prestataires de services
Empatica recourt à des prestataires de services tiers soigneusement sélectionnés qui exercent des fonctions spécifiques au nom d'Empatica et ne traitent les données personnelles que conformément aux instructions documentées d'Empatica.
Ceux-ci incluent les fournisseurs de :
infrastructure sécurisée d'hébergement en cloud et de stockage de données ;
services de connectivité et de communication des appareils ;
support de maintenance, d'étalonnage et d'assurance qualité ;
services d'audit et de certification ; et
systèmes de support client et de gestion des incidents.
surveillance de la sécurité, journalisation/observabilité et gestion des vulnérabilités ;
services de gestion des identités et des accès / authentification (pour gérer les comptes d'utilisateurs, les contrôles d'accès et la sécurité de la connexion).
Empatica s'assure que tous les prestataires de services sont liés par des accords écrits imposant des obligations appropriées en matière de confidentialité, de protection des données et de sécurité.
c) Divulgations légales, réglementaires et de sécurité
Empatica peut divulguer des données personnelles aux autorités compétentes, aux régulateurs ou à d'autres organismes publics lorsqu'il est nécessaire de :
se conformer aux obligations en vertu du Règlement (UE) 2017/745 sur les dispositifs médicaux (RDM) ou d'autres lois applicables ;
signaler ou enquêter sur les incidents de sécurité des appareils ou les événements indésirables ;
démontrer la conformité lors d'audits ou d'inspections réglementaires ;
répondre aux demandes légales des forces de l'ordre ou des autorités de surveillance ; ou
défendre ou exercer des réclamations légales.
De telles divulgations sont limitées à ce qui est strictement nécessaire pour remplir les obligations légales d'Empatica.
d) Transactions commerciales
En cas de fusion, acquisition, restructuration ou vente d'actifs impliquant Empatica, les données personnelles peuvent être transférées à l'entité acquéreur ou successeur dans le cadre de cette transaction.
Tout tel transfert n'aura lieu que dans des conditions assurant la continuité de garanties équivalentes en matière de protection des données.
5. Vos droits de Personne concernée et Responsable de la protection des données
À tout moment, vous pouvez exercer les droits qui vous sont accordés en vertu des lois sur la protection des données concernant vos données personnelles en écrivant à privacy@empatica.com ou en utilisant les coordonnées énumérées à la section 11 ci-dessous.
Conformément aux lois sur la protection des données, vous avez le droit de :
Accéder à vos données personnelles - Vous avez le droit d'obtenir une confirmation quant à savoir si ou non vos données personnelles sont traitées, et, le cas échéant, l'accès à vos données personnelles et les informations sur le traitement pertinent par Empatica ;
Rectifier ou effacer vos données personnelles - Vous avez le droit d'obtenir la rectification des données personnelles inexactes vous concernant, ou l'effacement de vos données personnelles. Cependant, Empatica n'est pas obligée de supprimer les données personnelles qui sont nécessaires pour se conformer aux lois applicables ;
Restreindre le traitement de vos données personnelles - Vous avez le droit d'obtenir la restriction du traitement lorsque l'une des conditions suivantes s'applique : (i) vous contestez l'exactitude des données personnelles, pendant une période permettant à Empatica de vérifier l'exactitude des données personnelles ; (ii) le traitement est illégal et vous vous opposez à l'effacement des données personnelles et demandez à la place la restriction de son utilisation ; (iii) Empatica n'a plus besoin des données personnelles aux fins du traitement, mais elles vous sont nécessaires pour l'établissement, l'exercice ou la défense de réclamations légales ; ou (iv) vous vous êtes opposé au traitement en attente de vérification que les motifs légitimes d'Empatica l'emportent sur les vôtres ;
Retirer votre consentement, où précédemment donné. Cependant, la légalité de tout traitement effectué avant le retrait n'en est pas affectée ;
Transférer vos données personnelles à un autre responsable du traitement (« portabilité des données ») - Vous avez le droit de recevoir vos données personnelles, que vous avez fournies à Empatica, dans un format structuré, couramment utilisé et lisible par machine et de transmettre ces données à un autre responsable du traitement, où le traitement : (i) est fondé sur votre consentement ; et (ii) est effectué par des moyens automatisés ;
Vous opposer au traitement de vos données personnelles justifié par des motifs d'intérêt légitime - Vous avez le droit de vous opposer, pour des raisons tenant à votre situation particulière, à tout moment au traitement de vos données personnelles qui est fondé sur l'article 6(1)(f) du RGPD. Empatica ne traitera plus vos données personnelles à moins qu'Empatica ne démontre des motifs légitimes impérieux pour le traitement qui l'emportent sur vos intérêts, droits et libertés ou pour l'établissement, l'exercice ou la défense de réclamations légales ;
Prise de décision automatisée - Vous avez le droit de ne pas être soumis à une décision fondée uniquement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques vous concernant ou vous affecte de manière similaire de façon importante. Cela ne s'applique pas si la décision est : (i) autorisée par la loi applicable à laquelle Empatica est soumise et qui établit également des mesures appropriées pour sauvegarder vos droits et libertés et intérêts légitimes ; ou (ii) fondée sur votre consentement explicite ;
Obtenir des informations et/ou une copie des garanties utilisées pour les transferts de données internationaux en dehors de l'UE/EEE.
Nous pouvons vous demander des informations supplémentaires pour confirmer votre identité et à des fins de sécurité avant de divulguer toute donnée personnelle. Nous nous réservons le droit de facturer des frais raisonnables si une demande est manifestement infondée ou excessive.
Vous pouvez exercer vos droits en utilisant les coordonnées énumérées à la section 11 ci-dessous. Sous réserve des considérations légales et autres autorisées, nous nous efforcerons de honorer votre demande rapidement et, en tout cas, dans les délais prévus par les lois sur la protection des données. Si des informations supplémentaires sont nécessaires pour traiter votre demande, nous vous en informerons en conséquence.
Veuillez noter que nous pourrions ne pas toujours être en mesure de répondre pleinement à votre demande, par exemple si nous sommes légalement tenus de traiter la demande différemment.
Empatica a nommé un Responsable de la protection des données (DPO) chargé de surveiller la conformité aux règlements sur la protection des données et d'agir comme point de contact pour les demandes des Personnes concernées et les autorités de surveillance. Le Responsable de la protection des données, nommé par Empatica conformément à l'article 37 du RGPD, peut être contacté à : privacy@empatica.com
Vous avez également le droit de déposer une plainte auprès de votre autorité de surveillance locale (c'est-à-dire l'Autorité de protection des données du pays de votre résidence habituelle, de votre lieu de travail ou du lieu de l'infraction présumée) si vous estimez que vos droits ont été violés. Les coordonnées des autorités de surveillance des États membres de l'UE sont disponibles à l'adresse www.edpb.europa.eu/about-edpb/about-edpb/members_en. Au Royaume-Uni, l'autorité de surveillance de la protection des données pertinente est l'ICO qui peut être contactée via ce formulaire web, par chat en direct ici, ou par téléphone au 0303 123 1113.
6. Conservation des données
Nous conservons vos données personnelles aussi longtemps que nécessaire pour remplir les objectifs pour lesquels elles ont été collectées. En particulier, les périodes de conservation suivantes s'appliquent :
Sauvegarde, conformité réglementaire et gestion de la qualité – Pour la période prescrite par la loi applicable, y compris la surveillance post-commercialisation, les diagnostics et les corrections, les rapports de vigilance et les autres activités de conformité réglementaire, qui peuvent exiger qu'Empatica conserve certaines données pseudonymisées pendant jusqu'à vingt-cinq (25) ans.
Recherche et analyses – Les données personnelles traitées à des fins de recherche ou d'analyse sont conservées jusqu'à vingt-cinq (25) ans si nécessaire pour soutenir les soumissions réglementaires et cliniques futures, conformément aux obligations applicables en matière de tenue de dossiers sur les dispositifs médicaux et la recherche.
Marketing et publicité – Jusqu'à ce que vous retiriez votre consentement à un tel traitement ou, en tout cas, pendant une période ne dépassant pas vingt-quatre (24) mois à partir de la dernière interaction liée aux communications de marketing (par exemple, événement d'adhésion).
Établissement, exercice ou défense de réclamations légales – Les données personnelles traitées à cette fin peuvent être conservées jusqu'à l'expiration du délai de prescription applicable.
Transactions commerciales – Les données personnelles traitées à cette fin sont conservées pour la période applicable aux activités de traitement spécifiques décrites ci-dessus.
Après l'expiration de la période de conservation applicable, Empatica supprime de manière sécurisée ou anonymise de manière irréversible les données conformément à ses procédures de sécurité informatique et de conservation des données. Aucune limite de conservation spécifique ne s'applique aux données qui ont été définitivement anonymisées.
7. Traitement des données personnelles des enfants
Nous sommes engagés à protéger la confidentialité des enfants qui utilisent nos Services. Cette section fournit des informations supplémentaires concernant notre traitement des données personnelles relatives aux enfants conformément aux lois applicables.
Empatica n'utilise pas les données des enfants à aucune fin indépendante, marketing ou de profilage, et applique les mêmes mesures de sécurité techniques et organisationnelles ou plus fortes aux données des enfants qu'à toutes les autres données personnelles.
8. Transferts internationaux de données personnelles
Empatica est basée aux États-Unis et a des activités, des sociétés affiliées et des prestataires de services aux États-Unis, dans l'Union européenne, au Royaume-Uni et dans d'autres juridictions du monde.
En conséquence, les données personnelles traitées via les Services peuvent être transférées vers ou accessibles depuis des lieux en dehors de l'Espace économique européen (EEE).
De tels transferts sont effectués en totale conformité avec les lois applicables en matière de protection des données, et des garanties appropriées sont appliquées pour garantir que les données personnelles restent protégées à tout moment. En particulier :
Les données personnelles ne peuvent être transférées qu'après l'exécution des Clauses contractuelles standard approuvées par la Commission européenne (Décision no 2021/914/UE) – ainsi que l'Addendum de transfert de données international du Royaume-Uni ou l'Accord de transfert de données internationales (IDTA) approuvé par le Bureau du Commissaire à l'information (ICO) du Royaume-Uni, selon le cas – ou vers des pays qui ont été reconnus par la Commission comme fournissant un niveau adéquat de protection des données (« Décisions d'adéquation »).
Les transferts vers les États-Unis peuvent s'appuyer sur le Cadre de confidentialité des données UE-É.U., le cas échéant.
Empatica met également en œuvre des garanties techniques et organisationnelles, telles que le chiffrement et les contrôles d'accès, pour protéger les données personnelles lors du transfert.
Pour plus d'informations sur les transferts de données internationales ou pour obtenir une copie des garanties pertinentes, veuillez nous contacter en utilisant les informations fournies à la section 11 ci-dessous.
9. Liens vers des tiers
Les Services peuvent contenir des liens vers des sites Web ou des applications tierces. L'accès à ces ressources liées et son utilisation ne sont pas régis par cet Avis mais plutôt par les avis de confidentialité de ces tiers. Empatica n'est pas responsable des pratiques informationnelles ou du contenu des sites Web ou services tiers.
10. Modifications apportées à cet Avis de confidentialité
Nous pouvons mettre à jour cet Avis de temps à autre pour refléter les changements dans les exigences légales ou dans la façon dont nous fournissons nos Services. Toutes les mises à jour seront affichées sur notre site Web et dans l'application mobile, et la date « Dernière mise à jour » en haut de cet Avis indiquera quand les révisions les plus récentes ont été apportées.
Si nous apportons des modifications matérielles, nous nous efforcerons de fournir un préavis, par exemple par e-mail aux Clients ou en affichant une notification importante sur notre site Web.
11. Nous contacter
Empatica accueille vos questions, commentaires ou préoccupations concernant cet Avis ou nos pratiques de confidentialité.
Vous pouvez nous contacter à :
📧 privacy@empatica.com
📍 Empatica S.r.l.
Via Stendhal 36, 20144 Milan, Italie
Le Responsable de la protection des données (DPO) d'Empatica peut également être contacté à la même adresse e-mail.
