Dans le cadre de notre activité, Kor est amené à traiter des données à caractère personnel vous concernant. Cette politique vous permet d’être informé sur la manière dont nous utilisons vos données, pourquoi nous les utilisons et ce que nous en faisons.
1. Objectifs et champ d’application de la politique
La société KOR dont le siège social est situé 1 impasse du Palais 37000 Tours (« KOR »), est une entreprise engagée dans le domaine de la santé proactive et entend notamment faciliter la réalisation de bilans de santé. Dans cette optique, KOR a développé une plateforme permettant la gestion et le suivi de bilans de santé, y compris la gestion des dossiers médicaux informatisés de patients (la « Plateforme KOR »). KOR est soucieux d’assurer la protection des données personnelles et de la vie privée des utilisateurs de la Plateforme KOR.
Cette politique de protection des données de KOR (la « Politique ») définit les conditions dans lesquelles KOR traite vos données à caractère personnel (ci-après désignées « les Données Personnelles ») en tant que patient utilisateur de la Plateforme KOR (« l’Utilisateur » ou « Vous ») en sa qualité de responsable de traitement. KOR se conforme aux dispositions du Règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (le « RGPD »), à la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, telle qu’amendée (la « LIL »), et à la présente Politique.
Cette politique de protection des données de KOR (la « Politique ») définit les conditions dans lesquelles KOR traite les données à caractère personnel (ci-après désignées « les Données Personnelles ») des utilisateurs de la Plateforme KOR en tant que responsable de traitement. Cette Politique s’applique aux utilisateurs professionnels de santé (par exemple: médecin, infirmier) et patients, (ci-après ensemble les « Utilisateurs »).
Les professionnels de santé intervenant au travers de la Plateforme KOR demeurent responsables du traitement de vos Données Personnelles traitées dans le cadre de toute acte médical réalisé par eux.
2. Collecte des données personnelles
Les données personnelles collectées au sein de la Plateforme KOR proviennent:
- De Vous, par exemple lorsque Vous répondez aux questionnaires mis à disposition sur la Plateforme KOR;
- Des professionnels de santé impliqués dans votre prise en charge dans le cadre de son parcours au sein de la Plateforme KOR;
- Du personnel du centre ou tout autre établissement où des examens médicaux sont réalisés en vue du bilan de santé, soit directement lors d’un accueil physique, soit lors d’un accueil téléphonique, ou par le module de prise de rendez-vous en ligne, Doctolib, lorsque le patient est pris en charge par le centre.
3. Données traitées, finalités et bases légales
KOR traite les Données Personnelles des Utilisateurs :
- pour l’exécution du contrat conclu avec l’Utilisateur (en particulier les CGU de la Plateforme KOR) (Art. 6(1) b) du RGPD) ;
- pour satisfaire à ses obligations légales et réglementaires (Art. 6(1) b) du RGPD) ;
- pour poursuivre ses intérêts légitimes (Art. 6(1) f) du RGPD) ;
- sur la base de leur consentement (Art. 6(1) b) et 9(2) a) du RGPD) ;
- pour l’aide à la réalisation de bilans de santé (Art. 9(2) h) du RGPD).
La fourniture des Données Personnelles n’est pas obligatoire, mais sans certaines d’entre elles, l’Utilisateur ne sera pas en mesure d’utiliser l’ensemble des fonctionnalités de la Plateforme KOR.
a. KOR traite les Données Personnelles suivantes en qualité de responsable de traitement indépendant:
| Finalité |
Données Personnelles traitées |
Base légale du traitement |
| Création et gestion du compte utilisateur patient |
Nom, prénom, adresse email, mot de passe, identité de l’employeur. |
Exécution du contrat |
| Recueil d'informations de santé à des fins de suivi, de prévention et d'amélioration des habitudes de santé |
Réponses aux questionnaires, résultats d’examens précédents, comptes rendus d’examens cliniques données qualitatives et quantitatives suite aux examens cliniques réalisés lors du checkup (e.g., examen cardiaque et respiratoire, palpation abdominale, impédancemétrie, constantes, etc.), compte rendu suite aux consultations réalisées par l’équipe médicale de Kor et partenaires, les professionnels de santé en physique ou en téléconsultation, plan d’actions de santé.
|
Consentement de l’Utilisateur au traitement de ses données, y compris ses données de santé.
|
|
Amélioration de l’expérience Utilisateur et analyse de l’utilisation de la Plateforme KOR à l’aide de cookies ou autres traceurs
|
Adresse IP, type de navigateur, taille d’écran, historique de navigation entre pages |
Consentement de l’Utilisateur lorsque celui-ci est requis par la loi |
| Répondre aux demandes d’information sur la Plateforme KOR |
Adresse email |
Intérêt légitime de KOR à informer ses utilisateurs ou futurs utilisateurs |
| Assurer le support et la sécurité de la Plateforme KOR |
Nom, prénom, adresse email, adresse IP |
Intérêt légitime de KOR d’assurer le support de la Plateforme KOR
et d’assister les Utilisateurs
|
| Usages du bilan de santé : mesurer l’usage du bilan de santé par l’utilisateur |
Qualité de l’utilisateur (invité ou inscrit), statut du bilan (démarré, en cours, terminé) |
Intérêt légitime de KOR à mesurer l’usage du bilan de santé.
Des données agrégées (nombre d’utilisateurs invités, nombre d’utilisateurs inscrits, nombre d’utilisateurs ayant réalisé le bilan) peuvent être partagées avec l’entité ayant souscrit le service. En aucun cas les données agrégées ne permettent de Vous identifier. |
| Recueil de retours d'expérience des utilisateurs sur la Plateforme KOR et les services proposés (questionnaires de satisfaction et de feedback général) |
Uniquement les résultats des réponses aux questionnaires de satisfaction |
Intérêt légitime de KOR à améliorer la qualité de ses services et l'expérience de ses utilisateurs |
| Organisation de consultations de télé-expertise par les professionnels de santé |
Tout ou partie des questionnaires complétés par le patient, du profil médical et/ou des analyses biologiques du patient, dans la mesure des éléments nécessaire à la réalisation de la télé-expertise. |
Consentement de l’Utilisateur au traitement de ses données, y compris ses données de santé |
KOR traite les Données Personnelles suivantes en qualité de sous-traitant:
| Finalité |
Données Personnelles traitées |
Base légale du traitement |
| Production de rapports épidémiologiques anonymisés afin d’éclairer les problématiques de santé préventive susceptibles de faire l’objet d’actions collectives de prévention primaire ou secondaire par l’employeur. |
Données agrégées issues du bilan automatisé. Les rapports épidémiologiques générés ne permettent pas votre identification |
Exécution du contrat |
| Optionnel sur demande - mise à disposition d'une fonctionnalité de création et sélection d'un groupe de patient |
Données agrégées par le professionnels de santé |
Exécution du contrat |
Kor s’engage à ce que les données à caractère personnel (y compris les données de santé) qu’il héberge ne seront pas utilisées à d’autres fins que l’exécution de la prestation décrite, et s’engage à s’interdire toute utilisation de ces données à des fins marketings ou publicitaires.
Dans l’hypothèse exceptionnelle où un professionnel de santé identifie un risque pour la santé du patient, celui-ci peut solliciter KOR afin d’obtenir les coordonnées de contact, dans le seul but de joindre le patient directement et sans délai. Cette démarche intervient sous la responsabilité exclusive du professionnel de santé concerné, qui juge seul de l’urgence d’un tel traitement de données, et en dehors du cadre de la Plateforme.
Dans ce cadre, KOR s’engage à s’assurer que le professionnel de santé demandeur a participé à la prise en charge du patient sur la Plateforme, et à transmettre de manière traçable les informations.
Par ailleurs, dans le cadre des téléconsultations et de la télé-expertise, les données personnelles des utilisateurs sont traitées à des fins de soins médicaux et assurer une prise en charge médicale appropriée sous la responsabilité professionnelle du médecin. Ce traitement est légal en vertu de l’exécution du contrat avec l’utilisateur (Art. 6.1.b du RGPD) et sur le fondement du consentement (Art. 9.2.a du RGPD). Le médecin peut ainsi accéder aux informations identifiables uniquement dans le cadre de ses missions sous son obligation de secret médical sur le fondement juridique relatif à la médecine préventive, de diagnostics médicaux etc.(Art. 9.2.h du RGPD). Toute demande de ce type fait l'objet d'une traçabilité interne. Pour toute question ou pour exercer vos droits, veuillez nous contacter par email à
[email protected].
4. Sécurité des Données Personnelles
KOR met en œuvre des mesures de sécurité techniques et organisationnelles afin d’assurer la sécurité des Données Personnelles et pour les protéger contre l'accès non autorisé, la perte, ou la divulgation.
Les Données Personnelles traitées dans le cadre de la Plateforme KOR sont hébergées par AWS France, certifié hébergeur de données de santé (HDS). Les serveurs sont situés sur le territoire français. Par ailleurs, Kor est également certifiée Hébergeur de Données de Santé (HDS) par Certi Trust le 26/06/2025 (numéro CT-HDS-062025-0CU01765 valide du 26/06/2025 au 25/06/2028), conformément aux exigences de l’Agence du Numérique en Santé (ANS) et certifié ISO/IEC 27001 par l’organisme Certi Trust (certificat CT-ISMS-062025-0CU01765 valide du 11-06-2025 au 10-06-2028) garantissant un management rigoureux et audité de la sécurité de l’information.
Ci-dessous les principales mesures de sécurité de KOR pour la plateforme :
Sécurité des données
- Utilisation d'AWS VPC pour créer un réseau isolé, avec des sous-réseaux privés pour les bases de données et des sous-réseaux publics pour les balancers de charge.
- Chiffrement des données sensibles en utilisant AES-256 pour le stockage (S3, EBS) et TLS 1.2 ou supérieur pour le transit.
Gestion des identités et des accès
- Politiques IAM implémentant le principe du moindre privilège, auditées trimestriellement.
- L'authentification multifactorielle requise (MFA) pour tous les accès administratifs, en utilisant des applications d'authentification ou des tokens physiques.
- Révision semestrielle des politiques d'accès pour s'assurer de leur adéquation avec les besoins opérationnels.
Sauvegarde et reprise après sinistre
- Sauvegardes automatisées journalières avec Amazon RDS, et snapshots EBS pris toutes les 24 heures, conservés pendant 90 jours.
- Test du plan de reprise après sinistre bi-annuellement, avec des objectifs de point de reprise (RPO) de 24 heures et des objectifs de temps de reprise (RTO) de 24 heures.
Formation et sensibilisation à la sécurité
- Formation annuelle obligatoire sur la sécurité pour tous les employés, complétée par des sessions trimestrielles sur les tendances actuelles des menaces.
5. Transferts internationaux de Données Personnelles
Les Données Personnelles des Utilisateurs sont traitées et conservées sur le territoire de l’Union Européenne ou dans un pays dont la législation est reconnue adéquate par une décision de la Commission Européenne conformément à l’article 45 du RGPD. Lorsque les Données Personnelles font l’objet d’un transfert international dans un pays ne faisant pas l’objet d’une décision d’adéquation, KOR s’engage à mettre en oeuvre des mécanismes d’encadrement de ces transferts conformément au RGPD, comme par exemple la conclusion de clauses contractuelles types de la Commission Européenne.
Conformément aux exigences HDS, Kor précise qu’il n'existe aucun transfert de données de santé à caractère personnel vers un pays tiers à l’espace économique européen.
6. Conservation des Données Personnelles
Les Données Personnelles des Utilisateurs sont conservées par KOR pour la durée strictement nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées. KOR se conforme également à toute durée de conservation applicable en vertu des lois et règlements applicables.
En cas de cessation du service, pour quelque cause que ce soit, KOR s’engage, sur simple demande, à vous restituer l’intégralité des données de santé et métadonnées associées dans un délai maximal de trente (30) jours calendaires, sous des formats ouverts et interopérables (JSON) garantissant leur exploitation et leur portabilité ; cette restitution est fournie sans surcoût, hors fourniture éventuelle de supports physiques refacturés à prix coûtant après accord préalable. Dans les trente (30) jours suivant l’accusé de réception des données, KOR procède à la destruction irréversible de toute copie restante — à l’exception des journaux légalement requis — et délivre un certificat de destruction.
7. Archivage et destruction des Données personnelles
Les données des utilisateurs seront archivées après 24 mois d’inactivité et supprimées 24 mois après l’archivage. Des rappels à l’utilisateur seront envoyés après 12, 18 et 20 mois d’inactivité. Les utilisateurs disposent par ailleurs du droit de solliciter la suppression de leur compte. Dans ce cas, toutes les données associées seront supprimées dans un délai de 30 jours suivant la demande.
8. Destinataires des Données Personnelles
Les Données Personnelles pourront être communiqués aux destinataires suivants dans le cadre des finalités décrites dans la Politique:
- Les sous-traitants de KOR impliqués dans le traitement des Données Personnelles.
- Le personnel de KOR sur la base du besoin d’en connaître.
- Les professionnels de santé externes et laboratoires de biologie.
Il peut arriver qu’un tiers payeur (par exemple une entreprise ou mutuelle partenaire) règle les frais d’abonnement en votre nom. Ce tiers payeur n’a en aucun cas accès aux données de santé et ne reçoit aucune copie.
9. Droits des Utilisateurs
Conformément à la législation applicable, les Utilisateurs disposent du droit d'accéder, de rectifier et de supprimer leurs Données personnelles. Les utilisateurs disposent également du droit de s’opposer à leur traitement, de demander la limitation de leur traitement et de demander leur portabilité. Vous disposez du droit de porter une réclamation devant l’autorité de contrôle, en France: la Commission Nationale Informatique et Libertés (CNIL): CNIL - Service des Plaintes - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07.
Les Utilisateurs peuvent exercer leurs droits en s’adressant au Délégué à la Protection des Données de KOR, par courrier à l’adresse 1 impasse du Palais 37000 Tours ou par email à l’adresse
[email protected]A noter que pour toute demande ou exercice de droit concernant votre prise en charge médicale, il convient de s’adresser directement au médecin concerné.
10. Cookies et Technologies de Suivi
Nous utilisons des cookies et d'autres technologies de suivi pour améliorer votre expérience utilisateur et analyser l'utilisation de notre service. Le recours à certains de ces cookies ou autres technologies requiert votre consentement. Vous pouvez modifier vos préférences en la matière au sein de l’outil de consentement spécifique mis en œuvre sur la Plateforme KOR.
11. Modifications de la Politique et contact
Nous pouvons modifier cette politique de confidentialité. Toute modification sera communiquée sur la Plateforme KOR. Afin d'assurer le suivi des modifications, un versionnage est mis en place sur le présent document. Pour toute question ou préoccupation concernant cette politique de confidentialité, veuillez nous contacter par email à
[email protected] ou par voie postale à Kor SAS, 1 IMPASSE DU PALAIS 37000 TOURS, France.
Annexe 1: Liste des sous-traitants de KOR
Dans le cadre de la fourniture de ses services, Kor fait appel à des prestataires qui agissent comme Sous-traitants au sens du RGPD. Ces derniers peuvent avoir accès aux Données à caractère personnel collectées par Kor uniquement dans le cadre et pour les besoins des opérations de traitement mentionnées ci-dessous. Kor veille à ce que chacun de ces Sous-traitants mette en place des mesures techniques et organisationnelles appropriées pour garantir la sécurité et la confidentialité des données traitées.
| Sous-Traitant |
Pays d'origine |
Localisation des serveurs |
Type de tâche effectuée |
| AWS AMEA |
Maison mère : États-Unis
Entité contractante : Luxembourg |
France |
Hébergement des données |
| Google Cloud France SARL |
Maison mère : États-Unis
Entité contractante : France |
Belgique |
Hébergement des données |
| Auth0 / Okta |
États-Unis |
EU |
Gestion des identités et permissions |
| Customer.io |
États-Unis |
EU |
Automatisation des communications |
| Datadog |
États-Unis |
EU |
Surveiller et investiguer les alertes et bugs |
| Posthog |
États-Unis |
EU |
Aide Kor à établir des tableaux de suivi |
| Hubspot |
États-Unis |
EU |
Génération de leads et collecte des données |
| Mailjet SAS |
France |
EU |
Envoi d'emails |
| Twilio |
États-Unis |
Irlande |
Envoi de SMS |
| I-VIRTUAL SAS |
France |
France |
Module de scan visuel |
| Livi |
France |
EU |
Service de téléconsultation |
| Firebase |
Maison mère : États-Unis
Entité contractante : Irlande |
EU |
Gestion des notifications |
| Tally |
Belgique |
EU |
Formulaire de feedback |
| OnOff |
France |
EU |
Fourniture de numéros de téléphone professionnel |
