POLITIQUE DE CONFIDENTIALITÉ
Table des matières
1. PRÉAMBULE
2. DÉFINITIONS
3. PERSONNES CONCERNÉES
4. FINALITES ET BASES LÉGALES POUR LA COLLECTE ET LE TRAITEMENT DES DONNÉES
5. DESTINATAIRES DES DONNÉES
6. DURÉE DE CONSERVATION DES DONNÉES
7. CONFIDENTIALITE ET SECURITE DES DONNÉES
8. SITES WEB TIERS
9. DROITS DES PERSONNES
10. EXERCICE DES DROITS
11. TRANSFERTS INTERNATIONAUX DE DONNÉES
12. MODIFICATIONS ET DE LA PRÉSENTE POLITIQUE
13. COORDONNÉES
1. PRÉAMBULE
La présente politique de confidentialité concerne la relation entre la société par actions simplifiée MYBRAIN TECHNOLOGIES, immatriculée au registre du commerce et des sociétés de Nanterre et dont le siège social est situé 28 allée Hoche, 92130 Issy-Les-Moulineaux (ci-après dénommée « myBrain Technologies »), et toute personne bénéficiant ou souhaitant bénéficier des services proposés par myBrain Technologies dans le cadre des produits et services Q+ Acquisier/Q+ Médical et la Plateforme myBrain Tech.
myBrain Technologies propose les services et produits Q+Acquisier/Q+ Médical et la Plateforme myBrain Technologies (ci-après « les Services »), basés sur le procédé d’analyses EEG en vue de créer des représentations virtuelles de comportements humains dans des conditions de vie réelles. Les services sont décrits et accessibles à l’URL https://mybraintech.com (ci-après « le Site Web ») et sur son application mobile Acquisier Android et IOS (ci-après « l’Application »).
Le Site Web est édité par myBrain Technologies.
myBrain Technologies a dûment désigné un DPO qui peut être contacté selon les modalités détaillées ci-dessous :
Service DPO
50 avenue Claude Vellefaux,
75010 Paris
2. DÉFINITIONS
Pour l’interprétation et l’exécution de la présente Politique, les termes employés ci-après sont définis de la façon suivante :
« Client » : désigne la personne bénéficiant ou souhaitant bénéficier des services proposés par myBrain Technologies, le terme de Client incluant le Client potentiel ;
« Données à caractère personnel » ou « Données » : désigne toute information permettant d’identifier directement ou indirectement une personne physique, telles que nom, prénom, mail, adresse postale, téléphone, etc. ;
« Données de santé » : désigne les données à caractère personnel concernant la santé physique ou mentale, passée, présente ou future, d’une personne physique qui révèlent des informations sur l’état de santé de cette personne. Entrent dans cette catégorie de données : celles qui sont des données de santé par nature (antécédents médicaux, maladies, prestations de soins réalisés, résultats d’examens, traitements, handicap, etc.), celles qui du fait de leur croisement avec d’autres données, deviennent des données de santé en ce qu’elles permettent de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne (ex : l’aptitude à l’exercice d’une activité sportive), et enfin celles qui deviennent des données de santé en raison de leur destination, c’est-à-dire de l’utilisation qui en est faite au plan médical.
Cette définition comprend par exemple les données relatives à l’état physiologique ou biomédical d’une personne ;
« Délégué à la Protection des Données » ou « DPO » : désigne la personne en charge de conseiller et de contrôler le Responsable du traitement en matière de protection des Données à caractère personnel. En l’espèce, le DPO de myBrain Technologies est joignable à l’adresse legal@mybraintech.com ;
« Expérimentateur » : désigne une personne désignée par le Client en charge de la collecte et de certains traitements de Données dans le cadre des Services ;
« Projet » : désigne un ensemble de prestations et de Traitements commandés par le Client à myBrain Technologies dans le cadre des Services auxquels il a souscrit ;
« Responsable du traitement » : désigne la personne, le service ou l’organisme qui détermine les finalités et les moyens du traitement de Données à caractère personnel ;
« Services » : désigne l’ensemble des services, produits et prestations accessibles via le Site Web et/ou l’Application ;
« Site Web » : désigne le site accessible à l’adresse URL suivante https://mybraintech.com ;
« Sous-Traitant » : désigne la personne physique ou morale qui traite des Données à caractère personnel pour le compte du Responsable du traitement, sur ses instructions et sous son autorité ;
« Sujets » : désigne les personnes volontaires pour participer à un Projet commandé par le Client ;
« Traitement » : désigne toute opération sur les Données à caractère personnel, et notamment l’enregistrement, la collecte, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction, sans que cette liste soit exhaustive ;
« Utilisateur » : désigne toute personne utilisant les Services.
3. PERSONNES CONCERNÉES
MyBrain Technologies, en qualité de Responsable de traitement, est susceptible d’effectuer des traitements sur les Données à caractère personnel des catégories de personnes physiques suivantes :
- Internautes navigants sur le Site Web ;
- Utilisateurs ;
- Clients et personnel/collaborateurs du Client ;
- Sujets.
4. FINALITES ET BASES LÉGALES POUR LA COLLECTE ET LE TRAITEMENT DES DONNÉES
Les Données à caractère personnel des Clients, Utilisateurs et Expérimentateurs sont collectées et traitées par le Responsable de traitement sur la base de l’exécution du contrat qui lie myBrain Technologies et le Client et dont l’objet est la commande de Projets et la réalisation des Services.
Ces Données sont traitées pour la réalisation de l’objet du contrat, la création des comptes Utilisateurs/Expérimentateurs, la gestion et le suivi du contrat.
L’Utilisateur et l’Expérimentateur peuvent à tout moment retirer leur consentement et exercer leurs droits sur leurs Données en s’adressant au Client ou au DPO de myBrain dans les conditions prévues dans la présente Politique.
Dans ce cadre contractuel, les Données demandées aux Clients sont nécessaires à la conclusion et à l’exécution du contrat entre myBrain Technologies et les Clients, et l’absence de communication de ces Données peut empêcher la formation du contrat.
4.2 Les Données à caractère personnel des Sujets sont utilisées par myBrain Technologies pour des finalités déterminées, explicites et légitimes et elles sont collectées par les Expérimentateurs auprès des Sujets avec le consentement de ces derniers (base légale des Traitements de Données des Sujets).
Les Finalités des Traitements de Données des Sujets sont déterminées par le Client à chaque Projet. L’expérimentateur communique aux Sujets ces finalités et toutes les informations utiles sur les modalités des Traitements et l’exercice des droits des Sujets sur leurs Données.
myBrain Technologies conserve et traite les données EEG des Sujets à l’issue du contrat avec le Client à des fins exclusives d’entrainement des algorithmes/de l’intelligence artificielle de myBrain Technologies et dans un format ne permettant pas l’identification des Sujets.
Les Données des Sujets collectées par l’Expérimentateur et traitées par myBrain Technologies dans le cadre des Services sont des Données Pseudonymes et ne sont pas directement identifiantes.
Certains Traitements sont mis en œuvre dans le cadre de recherches scientifiques. Ces Traitements reposent sur le consentement des personnes et des protocoles de recherches conformes à la réglementation.
Le Sujet peut à tout moment retirer son consentement et exercer ses droits sur ses Données en s’adressant au Client/à l’Expérimentateur, s’agissant des données détenues et traitées par le Client.
S’agissant des données traitées par myBrain Technologies, cette dernière ne détient aucune Donnée identifiante relative aux Sujets et ne peut donc donner suite à leurs demandes d’exercice de droits. Elle n’est donc pas tenue de traiter des données complémentaires aux seules fins de réponse aux demandes d’exercice des droits des personnes concernées.
Enfin, myBrain Technologies traite certaines Données aux fins de respect d’obligations légales ou réglementaires (en matière de comptabilité) ou des intérêts légitimes qu’elle poursuit (dans le cadre de l’amélioration de ses produits et services et d’enquêtes de satisfaction, de démarches d’évaluation de produits, de sa communication et de sa prospection commerciale).
5. DESTINATAIRES DES DONNÉES
Les Données à caractère personnel collectées par myBrain Technologies peuvent être destinées aux personnes suivantes en fonction des traitements :
- Au Client et à son personnel habilité ;
- Aux personnes désignées Expérimentateurs si distinctes du personnel du Client ;
- Au personnel de myBrain Technologies habilité à opérer un traitement de Données ;
- Aux Sous-Traitants de myBrain Technologies ;
- Aux partenaires de recherche et responsables conjoints de traitement éventuels de myBrain Technologies.
- Aux partenaires et ou prestataires de recherche et responsables conjoints de traitement du Client.
Certaines Données personnelles sont susceptibles d’être communiquées aux autorités légalement habilitées pour satisfaire aux obligations légales ou réglementaires.
6. DURÉE DE CONSERVATION DES DONNÉES
myBrain Technologies ne conserve les Données que pour la durée strictement nécessaire à la réalisation des finalités du Traitement, ce délai de conservation relève de circonstances propres au Traitement et des instructions du Client.
Concernant les Données relatives aux Utilisateurs, aux Expérimentateurs et au Client, lorsqu’elles sont traitées à des fins de gestion de fichiers clients et de prospection commerciale : elles pourront être conservées à des fins de prospection commerciale pour une durée de trois (3) ans à compter de la fin de la relation commerciale ou du dernier contact avec le Client.
Concernant les Données relatives aux Sujets, elles peuvent être conservées jusqu’à 10 ans à compter de la fin du contrat avec le Client à des fins exclusives d’entrainement des algorithmes et dans un format ne permettant pas d’identifier les Sujets.
Les Données de nature commerciale et comptable peuvent être conservées 10 ans concernant les informations nécessaires à la facturation, et ce en vertu d’une obligation légale incombant à myBrain Technologies.
7. CONFIDENTIALITE ET SECURITE DES DONNÉES
myBrain Technologies s’attache à garantir la sécurité des Traitements opérés sur les Données à caractère personnel.
À cette fin, myBrain Technologies prend des mesures techniques et organisationnelles afin de garantir un niveau de sécurité adapté aux risques liés aux Traitements.
Les Données collectées et traitées par myBrain Technologies sont hébergées (N. certificat d’agrément LNE pour OVH : 35608-2).
8. SITES WEB TIERS
Le Site Web peut contenir des liens, notamment hypertextes, et/ou des offres de partenaires renvoyant vers un site web tiers.
myBrain Technologies n’exerce aucun contrôle sur le contenu des sites web tiers ou sur les pratiques de ces tiers en matière de protection des Données à caractère personnel qu’ils pourraient recueillir et décline toute responsabilité relative à ces contenus. Il est de votre responsabilité de vous renseigner sur les politiques de protection des Données à caractère personnel de ces tiers.
9. DROITS DES PERSONNES
Les droits des Sujets sur leurs Données doivent être exercés directement auprès du Client concerné dans la mesure où myBrain Technologies ne traite aucune Donnée identifiante concernant les Sujets.
Conformément aux articles 11.2 et 12.2 du Règlement Général sur la Protection des Données (RGPD), les finalités pour lesquelles myBrain Technologies traite les Données des Sujets n’imposent pas d’identifier les personnes concernées. Les articles du RGPD relatifs à l’exercice des droits des personnes ne s’appliquent donc pas à myBrain Technologies.
Néanmoins, les Sujets peuvent adresser à myBrain Technologies leurs demandes d’exercice de droits : Service DPO, 50 avenue Claude Vellefaux, 75010 Paris ou legal@mybraintech.com. myBrain Technologies les transmettra au Client concerné dans les meilleurs délais.
Conformément à la règlementation en vigueur, les Clients, les Utilisateurs et les Expérimentateurs disposent des droits suivants sur leurs Données qu’elles peuvent exercer dans les conditions prévues ci-dessous :
- Droit d’accès
Les Clients, les Utilisateurs et les Expérimentateurs disposent d’un droit d’accès permettant d’obtenir des informations sur l’existence d’un Traitement et de ses modalités.
Ils disposent également du droit d’obtenir une copie de leurs Données.
- Droit de rectification
Les Clients, les Utilisateurs et les Expérimentateurs peuvent solliciter myBrain Technologies afin de procéder à la rectification de leurs Données, notamment lorsque celles-ci ne sont plus à jour.
- Droit d’opposition
Les Clients, les Utilisateurs et les Expérimentateurs ont le droit de s’opposer à tout moment, pour des raisons tenant à leur situation particulière, à un Traitement des Données à caractère personnel les concernant. Ce droit s’applique sauf si myBrain Technologies ou le Client a un motif légitime et impérieux lui permettant de poursuivre le Traitement.
Les Clients, les Utilisateurs et les Expérimentateurs ont le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques les concernant ou les affectant de manière significative de façon similaire.
- Droit à l’effacement des Données (ou « droit à l’oubli »)
Sous réserve de la règlementation en vigueur, et notamment des exceptions (par exemple, en matière de conservation nécessaire au respect d’une obligation légale), les Clients, les Utilisateurs et les Expérimentateurs peuvent réclamer l’effacement des Données à caractère personnel qui leur sont relatives :
- Lorsque les Données à caractère personnel ne sont pas ou ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou autrement traitées ;
- Lorsque le Client, l’Utilisateur ou l’Expérimentateur retire le consentement sur lequel est fondé le traitement et qu’aucun autre fondement juridique au traitement n’existe ;
- Lorsque le Client, l’Utilisateur ou l’Expérimentateur estime que le traitement de ses Données à caractère personnel constitue un traitement illicite ;
- Lorsque les Données à caractère personnel doivent être effacées en vertu d’une obligation légale prévue par le droit de l’Union ou le droit de l’Etat membre auquel myBrain Technologies est soumise, soit la France ;
- Lorsque le Client, l’Utilisateur ou l’Expérimentateur s’est opposé au Traitement des Données et que myBrain Technologies n’a pas de motif légitime ou impérieux pour refuser la demande.
- Droit à la limitation du Traitement
Les Clients, les Utilisateurs et les Expérimentateurs peuvent obtenir de myBrain Technologies la limitation du Traitement lorsque l’un des éléments suivants s’applique :
- Lorsque l’exactitude des Données à caractère personnel est contestée, et ce pendant une durée permettant à myBrain Technologies de vérifier l’exactitude des Données ;
- Lorsque le Traitement est illicite et que le Client, l’Utilisateur ou l’Expérimentateur s’oppose à l’effacement de ses Données et qu’il exige, en lieu et place, la limitation du Traitement ;
- Lorsque les Données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées mais que le Client, l’Utilisateur ou l’Expérimentateur en a besoin pour la constatation, l’exercice ou la défense de droits en justice ;
- Lorsque le Client, l’Utilisateur ou l’Expérimentateur s’oppose au Traitement qui serait fondé sur l’intérêt légitime de myBrain Technologies, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par myBrain Technologies prévalent sur ceux de la personne concernée.
- Droit d’introduire une réclamation auprès d’une autorité de contrôle
Si Les Clients, les Utilisateurs et les Expérimentateurs estiment que leurs droits ne sont pas respectés, ils bénéficient de la faculté d’introduire une réclamation auprès de la Commission Nationale Informatique et Libertés (CNIL) en France.
- Droit de décider du sort des Données après la mort
Les Clients, les Utilisateurs et les Expérimentateurs disposent du droit d’organiser le sort de leurs Données post-mortem par l’adoption de directives générales ou particulières.
10. EXERCICE DES DROITS
Pour les demandes d’exercice de droits, Les Clients, les Utilisateurs et les Expérimentateurs sont invités à contacter directement le service concerné du Client ou à défaut le DPO de myBrain Technologies qui transmettra au Client les demandes :
Service DPO, 50 avenue Claude Vellefaux, 75010 Paris ou
legal@mybraintech.com.
myBrain Technologies s’engage à transmettre les demandes dans les meilleurs délais.
11. TRANSFERTS INTERNATIONAUX DE DONNÉES
Les Données à caractère personnel collectées et traitées sont conservées en France.
Toutefois, il est possible que, dans le cadre de certaines de ses missions, des Données de myBrain Technologies soient transférées à des Sous-Traitants situés hors de l‘Union européenne. Soucieuse de protéger la vie privée et les Données à caractère personnel des Utilisateurs et des Clients, myBrain Technologies fait ses meilleurs efforts pour sélectionner des partenaires offrant des garanties de sécurité et de confidentialité et mettre en place des relations contractuelles correspondant aux standards règlementaires, notamment au niveau européen.
12. MODIFICATIONS ET DE LA PRÉSENTE POLITIQUE
myBrain Technologies se réserve le droit de modifier la présente Politique. En cas de modification de la Politique, myBrain Technologies adressera un courrier électronique d’information aux Clients pour les en avertir.
En tout état de cause, il est recommandé de consulter régulièrement la Politique de confidentialité.
13. COORDONNÉES
myBrain Technologies peut être contacté selon les modalités de contact indiquées dans les Mentions légales du Site Web (https://mybraintech.com/mentions-legales/).
Le DPO peut être joint à l’adresse postale suivante Service DPO, 50 avenue Claude Vellefaux, 75010 Paris et à l’adresse électronique suivante legal@mybraintech.com.
Document mis à jour le 23 juin 2022