Politique de Protection des Données

Dernière mise à jour : février 2025

1. Contexte et objet

La présente Politique de Protection des Données a pour objet d’expliquer comment le service MUTLOCKER, édité par l’ADPM, traite les données à caractère personnel dans le cadre du transfert sécurisé de fichiers.

2. Responsable de traitement

Le responsable du traitement des données est :

ADPM – Fédération des Mutuelles Prévention
Adresse : (à compléter)
Email de contact : (à compléter)
SIRET : (à compléter)

3. Données traitées via MUTLOCKER

MUTLOCKER est conçu pour minimiser les données traitées. Le service peut être amené à traiter les catégories de données suivantes :

• Données de contenu : fichiers que vous téléversez via MUTLOCKER (documents administratifs, rapports, données de gestion, etc.).
• Données techniques : logs techniques nécessaires au bon fonctionnement et à la sécurité du service (adresse IP, date et heure, identifiant technique du lien, nombre de téléchargements).
• Données de configuration : paramètres que vous choisissez (date d’expiration, nombre de téléchargements maximum, usage d’un mot de passe).

Les contenus des fichiers sont chiffrés avant d’être envoyés au serveur. Le serveur n’a jamais accès au contenu en clair.

4. Finalités du traitement

Les données sont traitées pour les finalités suivantes :

• Permettre le transfert sécurisé de fichiers entre l’émetteur et le destinataire.
• Assurer le fonctionnement technique du service (hébergement, routage, confirmartions techniques).
• Garantir la sécurité du service (journalisation, détection d’anomalies, protection contre les abus).
• Respecter les obligations légales applicables à l’ADPM et à ses mutuelles adhérentes.

5. Base légale du traitement

Les traitements réalisés via MUTLOCKER reposent, selon les cas, sur :

• l’intérêt légitime de l’ADPM et de ses mutuelles à sécuriser les échanges de fichiers sensibles ;
• l’exécution de mesures contractuelles dans le cadre des relations entre mutuelles, partenaires et ADPM ;
• le respect d’obligations légales lorsque cela est applicable.

6. Durée de conservation

MUTLOCKER applique un principe de minimisation des durées de conservation :

• Les fichiers chiffrés sont conservés uniquement pendant la durée d’expiration choisie par l’émetteur (ex : 24h, 48h, 7 jours).
• Les fichiers sont automatiquement supprimés :
  • après le premier téléchargement si un nombre de téléchargements = 1 est choisi ;
  • ou dès que la date d’expiration est atteinte.
• Des journaux techniques minimaux peuvent être conservés pour une durée limitée afin d’assurer la sécurité et la traçabilité (ex : quelques semaines ou mois, selon la politique interne).

7. Chiffrement et sécurité

MUTLOCKER met en œuvre un haut niveau de sécurité :

• Chiffrement côté client (dans le navigateur) avec le protocole AES-256-GCM.
• La clé de déchiffrement est incluse dans le fragment d’URL (après le symbole #) et n’est jamais transmise au serveur.
• Possibilité d’ajouter un mot de passe fort, jamais stocké en clair.
• Expiration automatique des liens et fichiers.
• Hébergement sur une infrastructure certifiée "Hébergement Données de Santé"
• Sécurité périmétrique de l'infrastructure assurée par une intelligence artificielle.
• Transport des données entre les clients et le serveur sécurisée par le protocole https (256 bits)

8. Destinataires des données

Les données ne sont accessibles qu’à :

• l’émetteur et au destinataire, via le lien sécurisé ;
• éventuellement, de manière très limitée, aux équipes techniques en charge du maintien en conditions opérationnelles et de la sécurité de la plateforme (sans accès au contenu en clair des fichiers).

Aucun transfert de données n’est réalisé à des fins commerciales ou publicitaires.

9. Sous-traitants et hébergement

Dans le cadre du fonctionnement du service, l’ADPM peut faire appel à des prestataires techniques (hébergeurs, infogérants, etc.) agissant en qualité de sous-traitants au sens du RGPD. Ces prestataires sont tenus :

• d’assurer la confidentialité des données ;
• de mettre en œuvre des mesures de sécurité adaptées ;
• de ne traiter les données que sur instruction de l’ADPM.

10. Vos droits

Conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés, vous disposez notamment des droits suivants :

• Droit d’accès à vos données personnelles ;
• Droit de rectification de données inexactes ;
• Droit à l’effacement (dans les limites légales) ;
• Droit à la limitation du traitement ;
• Droit d’opposition, pour des raisons tenant à votre situation particulière ;
• Droit d’introduire une réclamation auprès de la CNIL.

11. Contact DPO

Pour toute question relative à la protection de vos données ou pour exercer vos droits, vous pouvez contacter le Délégué à la Protection des Données (DPO) de l’ADPM :

DPO ADPM
Adresse : ADPM - Protection des données - 17 boulevard Denys PUECH - 12000 - RODEZ
Email : dpo@adpm-mutuelles.fr

12. Réclamation auprès de la CNIL

Si vous estimez que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la Commission Nationale de l’Informatique et des Libertés (CNIL) :
Site : www.cnil.fr

13. Évolutions de la présente politique

La présente Politique de Protection des Données peut être amenée à évoluer pour tenir compte des évolutions législatives, réglementaires ou techniques, ou des adaptations du service MUTLOCKER. En cas de modification importante, une information pourra être diffusée aux utilisateurs.