AdhérerAdhérer

    Politique de confidentialité du site Prevenir.fr

    Version mise à jour le 5 janvier 2025

    Dans le cadre de ses activités et via son site prevenir.fr, Prévenir est amenée à collecter et traiter des données personnelles (par exemple lorsque vous naviguez sur le site ou nous écrivez via un formulaire). 

    L’objectif de cette politique de confidentialité est de vous informer sur la manière dont nous traitons les données, conformément aux dispositions du RGPD et aux recommandations de la CNIL, en attachant une grande importance à leur sécurité et confidentialité.

    Cette politique peut être mise à jour et enrichie régulièrement, selon nos besoins ou si la loi l’exige. Nous vous invitons à prendre connaissance régulièrement de ces mises à jour et vous informerons des changements majeurs.

    1. Qui est le responsable de traitement ? 

    Prévenir, association de loi 1901, dont le siège social est situé au 117 Quai de Valmy, 75010 Paris, immatriculée sous le numéro RNA W751273223, est responsable des traitements de données décrits au sein de cette politique de confidentialité.

    2. J’ai une question, une réclamation, ou je veux exercer mes droits? 

    Pour toute question sur la confidentialité ou pour exercer vos droits d’accès, de rectification, d’effacement, de limitation, d’opposition, de portabilité, ou de retrait du consentement, vous pouvez contacter notre DPO en nous écrivant à l’adresse suivante [email protected]

    Nous vous répondrons dans les meilleurs délais.

    Vous pouvez également introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD.

    3. Quelles données personnelles traitons-nous? 

    3.1 Formulaires de contact et gestion des demandes 

    Afin de répondre aux demandes d’information des utilisateurs de notre site, Prévenir traite les données suivantes :  

    • nom et prénom;
    • adresse email;
    • nom de l'entreprise;
    • département du siège social;
    • nom du SPTI actuel;
    • messages et pièces jointes éventuelles. 

    Sur quelles bases légales ? 

    Ces données sont traitées sur la base de l’intérêt légitime de notre association à répondre à vos demandes d’informations ainsi qu’à assurer le suivi et la qualité de nos réponses. 

    Que faisons-nous avec ? 

    Nous utilisons vos données pour: 

    • analyser et répondre à vos demandes;
    • vous recontacter si nécessaire;
    • analyser la qualité du service (de manière agrégée et non-identifiante); 
    • améliorer la qualité du service.

    Combien de temps conservons-nous ces données ? 

    Ces données sont conservées jusqu’à 3 ans à compter du dernier contact émanant de l’utilisateur. 

    Puis-je demander de supprimer mes données ? 

    Oui, en envoyant un email à [email protected]

    3.2 Dossier médical en santé au travail et suivi médical des salariés

    Dans le cadre de notre mission de service de prévention et de santé au travail (SPST), Prévenir collecte et traite les données personnelles suivantes concernant les salariés des entreprises adhérentes :

    • données d'identité et médico-administratives (nom, prénom, date de naissance, numéro de sécurité sociale, coordonnées, médecin traitant);
    • informations sur les postes occupés, secteurs d'activité, et expositions professionnelles (actuelles et passées);
    • données relatives à l'état de santé recueillies lors des visites médicales (visites d'information et de prévention, examens médicaux d'aptitude, visites de pré-reprise ou de reprise);
    • résultats d'examens complémentaires et mesures d'exposition aux risques;
    • correspondances entre professionnels de santé;
    • avis et propositions des professionnels de santé (avis d'aptitude/inaptitude, préconisations d'aménagement de poste);
    • consentements relatifs à la téléconsultation, au partage du dossier médical partagé (DMP) et aux échanges entre professionnels de santé.

    Sur quelles bases légales ?

    Vos données de santé sont traitées car le traitement est nécessaire aux fins de la médecine préventive, de la médecine du travail, de l'appréciation de la capacité de travail du salarié et de l'obligation légale pesant sur Prévenir en tant que SPST.

    Vos données personnelles autres que les données de santé (données d'identité, coordonnées, informations professionnelles) sont traitées car le traitement est nécessaire au respect de l'obligation légale pesant sur Prévenir en tant que Service de Prévention et de Santé au Travail (SPST) conformément au Code du travail (articles L.4622-2 et suivants) et à l’exécution du contrat souscrit par votre employeur. 

    Que faisons-nous avec ?

    Ces données sont utilisées pour :

    • constituer et gérer le dossier médical en santé au travail (DMST);
    • assurer le suivi individuel de l'état de santé des salariés et prévenir toute altération de leur santé du fait de leur travail;
    • évaluer les risques professionnels et proposer des mesures de prévention;
    • rédiger des avis d'aptitude ou d'inaptitude et des propositions d'aménagement de poste;
    • établir la fiche d'entreprise recensant les risques professionnels et les effectifs exposés (de manière collective et non-identifiante);
    • assurer la coordination et la continuité des soins avec les autres professionnels de santé (avec votre consentement);
    • répondre aux obligations réglementaires et déclaratives.

    L'accès aux données du DMST est strictement limité et contrôlé :

    • les membres de l'équipe pluridisciplinaire de Prévenir (médecins du travail, infirmiers en santé au travail, collaborateurs médecins, internes, IPRP, ASST) dans le cadre de leurs missions et selon leur rôle;
    • le Groupe d'alerte en santé travail (GAST);
    • le médecin inspecteur du travail;
    • les professionnels de santé externes (médecin traitant, spécialistes) uniquement avec votre consentement explicite.

    Votre employeur ne peut en aucun cas accéder à votre dossier médical. Il reçoit uniquement les avis d'aptitude/inaptitude et les propositions d'aménagement de poste, sans accès aux informations médicales qui les justifient.

    Combien de temps conservons-nous ces données ?

    Conformément à la réglementation applicable (Code du travail), les données du DMST sont conservées :

    • pendant au moins 40 ans après la dernière visite médicale;
    • jusqu'à ce que le salarié atteigne ou aurait atteint l'âge de 75 ans;
    • pendant au moins 50 ans en cas d'exposition à certains risques spécifiques (amiante, agents CMR, rayonnements ionisants).

    Puis-je demander de supprimer mes données ?

    Compte tenu de la nature des obligations légales de Prévenir et de la finalité de santé publique du traitement, le droit à l'effacement ne peut s'appliquer. Vous disposez toutefois d'un droit d'accès (exercé par l'intermédiaire d'un médecin) que vous pouvez exercer en contactant [email protected] ou le médecin du travail en charge de votre suivi.

    3.3 Données de navigation (lors de vos visites sur prevenir.fr

    Lorsque vous visitez notre site web prevenir.fr, nous pouvons collecter les données suivantes : 

    • adresse IP;
    • type de navigateur;
    • pages visitées;
    • durée de visite;
    • provenance de la visite.

    Sur quelles bases légales ? 

    Lorsque cela s’applique, la collecte est soumise au consentement explicite de l’utilisateur (bandeau cookie sur le site). Ce consentement est valide pour 13 mois à compter de son enregistrement.

    Sinon, ces données sont traitées sur la base de notre intérêt légitime à analyser l’utilisation de notre site afin de l’améliorer ou sur la nécessité d’utiliser ces données pour la fourniture de nos services. 

    Que faisons-nous avec ? 

    Ces données sont utilisées à des fins : 

    • d’exécution des dispositions légales, réglementaires et administratives applicables ; 
    • de sécurisation de notre site ; 
    • d’analyse d’utilisation, de statistiques de fréquentation et d’amélioration de notre site. 

    Combien de temps conservons-nous ces données ? 

    Les données sont conservées pendant 2 ans. 

    Puis-je demander de supprimer mes données ? 

    Oui, en envoyant un email à [email protected]

    4. Qui sont les destinataires de vos données? 

    Lorsque cela est strictement nécessaire à l’exécution des finalités listées au sein de cette politique, vos données personnelles peuvent être transmises aux destinataires suivants:

    4.1 Destinataires internes

    Aux services internes de l'association Prévenir et à ses équipes autorisées dans le cadre de leurs missions. 

    Seuls les professionnels de santé et certains autres membres de l’équipe pluridisciplinaire de Prévenir, placés sous la supervision du médecin du travail, peuvent consulter et alimenter le DMST dans le respect du secret médical (article L.4624-8 du code du travail). Les niveaux d’accès des membres de l’équipe pluridisciplinaire sont limités à certaines catégories de données.

    4.2 Prestataires techniques et sous-traitants

    Nous faisons appel à des prestataires de services tiers pour nous aider à fournir et améliorer nos services. Ces prestataires agissent en qualité de sous-traitants au sens du RGPD et sont soumis à des obligations contractuelles strictes garantissant la confidentialité et la sécurité de vos données.

    Hébergement et infrastructure

    • Amazon Web Services (AWS) Europe : Hébergement des données et infrastructure technique (certification HDS pour les données de santé)
    • Microsoft Azure : Hébergement et traitement des données
    • Snowflake : Stockage et journalisation des données

    Gestion des opérations

    • Alan:  dans le cadre de la gestion opérationnelle de services et de la fourniture des moyens humains et techniques nécessaires à la gestion, la gouvernance, la maintenance technique et l’opération des services de Prévenir.

    Gestion des rendez-vous et téléconsultations

    • Doctolib Pro : Plateforme de prise de rendez-vous et de téléconsultation médicale

    Communication avec les utilisateurs

    • Intercom : Support client et messagerie en ligne
    • Customer.io : Envoi d'emails transactionnels et de communications personnalisées
    • Tally.so : Formulaires en ligne pour la collecte de demandes d'information
    • Sendgrid : Envoi d'emails transactionnels
    • My Sending Box : Envoi de courriers recommandés électroniques

    Outils de productivité et collaboration interne

    • Google Workspace (Drive, Docs) : Stockage et partage de documents
    • Notion : Documentation et gestion de projet
    • Slack : Communication interne des équipes

    Paiements

    • Stripe : Traitement sécurisé des paiements en ligne
    • Revolut : Gestion des remboursements et paiements sortants

    Analyse et amélioration du service

    • Segment : Centralisation et analyse des données d'utilisation (données pseudonymisées)
    • Amplitude : Analyse de l'expérience utilisateur et des parcours
    • Piwik Pro : Mesure d'audience du site web (solution exemptée de consentement)
    • Hotjar : Analyse du comportement des visiteurs sur le site public

    Surveillance technique et sécurité

    • Sentry : Détection et suivi des erreurs techniques de l'application
    • Datadog : Surveillance des performances et journalisation des applications
    • Cloudflare : Protection contre les attaques DDoS et sécurité réseau

    Marketing et acquisition (site web uniquement)

    • Google Ads : Campagnes publicitaires (avec Consent Mode)
    • Bing Ads : Campagnes publicitaires (avec Consent Mode)
    • LinkedIn Insights : Analyse marketing (après consentement explicite)
    • HubSpot : Gestion de la relation client (CRM) et automation marketing
    • Branch : Gestion de la navigation dans l'application (liens profonds)
    4.3 Autorités compétentes

    Par ailleurs, en vue de satisfaire nos obligations légales et réglementaires, nous pouvons être amenés à communiquer vos données aux autorités compétentes (par exemple : DRIEETS, Inspection du travail, CNIL, autorités judiciaires).

    5. Garanties de protection des données

    Localisation des données :

    Tous nos prestataires assurent le traitement des données au sein de l'Union européenne ou disposent de garanties appropriées conformément au RGPD.

    L'hébergement des données de santé est assuré par des hébergeurs certifiés HDS (Hébergeur de Données de Santé).

    Transferts hors Union européenne :

    Aucune donnée personnelle n'est transférée en dehors de l'Union européenne sans garanties appropriées.

    Lorsque certains prestataires disposent d'infrastructures situées aux États-Unis ou dans d'autres pays hors UE, les transferts sont strictement encadrés par :

    • Les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne, et/ou
    • La certification Data Privacy Framework (DPF), et/ou
    • D'autres mécanismes de transfert conformes au RGPD

    Dans tous les cas, les données sont traitées prioritairement au sein de l'Union européenne.

    Engagements contractuels :

    Tous nos prestataires sont liés par des accords de sous-traitance (Data Processing Agreements - DPA) qui garantissent :

    • La confidentialité et la sécurité de vos données
    • L'absence d'utilisation des données à des fins autres que celles prévues
    • Le respect des droits des personnes concernées
    • La mise en œuvre de mesures de sécurité appropriées

    La liste exhaustive et actualisée de nos sous-traitants est disponible sur demande en nous écrivant à [email protected].

    6. Et les cookies du site? 

    Lorsque vous naviguez sur notre site, nous pouvons être amenés à utiliser des cookies contenant des données vous concernant. Nous obtenons votre consentement avant de déposer des cookies lorsqu’il est requis via le bandeau cookie sur notre site. 

    Par ailleurs, vous pouvez à tout moment supprimer ou limiter le stockage des cookies dans les paramètres de votre navigateur. 

    Quelles sont les finalités des cookies du site Internet ? 

    Ces cookies ont les finalités suivantes : 

    • Les cookies techniques et fonctionnels sont nécessaires au fonctionnement du site. Ils assurent des fonctionnalités essentielles comme la sécurité de vos données ou la maintenance de vos données de session. Ces cookies sont obligatoires. 
    • Les cookies analytiques nous permettent de connaître l’utilisation et les performances de notre site afin d’en améliorer le fonctionnement et l’ergonomie. 

    Puis-je refuser? 

    Bien sûr. Lors de votre première visite sur notre site web (ou si vous utilisez la navigation privée ou incognito de votre navigateur), une bannière cookies s’affiche pour vous demander l’autorisation d’utiliser des cookies non essentiels. 

    Il suffit de refuser et aucun cookie non essentiel (autres que ceux nécessaires au fonctionnement du site) ne sera déposé. 

    Si vous acceptez, votre consentement sera valable 13 mois à compter de son enregistrement.

    7. Quelles sont les mesures de sécurité mises en œuvre? 

    L'association Prévenir met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre la perte, l'utilisation abusive, l'accès non autorisé, la divulgation, l'altération ou la destruction.

    Prévenir met en œuvre des mesures de sécurité strictes, notamment :

    Mesures techniques :

    • Chiffrement des données sensibles (en transit et au repos)
    • Contrôles d'accès stricts avec authentification renforcée
    • Sauvegardes régulières et sécurisées
    • Pare-feu et systèmes de détection d'intrusion
    • Hébergement certifié [ISO 27001 / HDS lorsqu’applicable]

    Mesures organisationnelles :

    • Formation régulière du personnel à la sécurité des données
    • Politique de gestion des accès (principe du moindre privilège)
    • Procédures de gestion des incidents de sécurité
    • Audits de sécurité réguliers

    Ces mesures sont régulièrement réévaluées et mises à jour.

      A propos

      Politique de confidentialité
      CGU

      Prévenir est une association de loi 1901 (Numéro RNA : W751273223) déclarée en Préfecture de police de Paris, dont le siège social est au 117 quai de Valmy 75010 Paris. Prévenir opère un SPSTI, conformément à la décision d'agrément du 03/10/2025 accordée par la DRIEETS.

      Le site prevenir.fr est hébergé par la société Amazon Web Services (AWS) Europe.

      Directeur de la publication : Williams Josse • Editeur : Ce site est produit par Alan Tech. Pour toute question concernant l’utilisation du site prevenir.fr vous pouvez nous contacter via [email protected] 

      Tous les contenus présents sur le site prevenir.fr (textes, images, vidéos, logos, etc.) sont protégés par les dispositions du Code de la propriété intellectuelle et demeurent la propriété exclusive de l'association Prévenir, sauf mention contraire.

      Conformément à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés et au Règlement général sur la protection des données (RGPD), vous bénéficiez d'un droit d'accès, de rectification, d'effacement, de portabilité, de limitation du traitement et d'opposition relatif aux données vous concernant. Ces droits peuvent être exercés en adressant une demande par courriel à l'adresse : [email protected]