Politique de confidentialité Mentrac
À MENTRAC Sàrl (ci-après : MENTRAC), nous attachons une importance considérable au respect de la vie privée et à la protection des données personnelles. Nous nous engageons à protéger la sphère privée et l’intimité de nos clients (désignés également comme bénéficiaires) et à veiller à ce que les données personnelles que nous traitons en relation avec services qu’ils attendent des psychologues agréées par MENTRAC soient protégées par des mesures organisationnelles et de sécurité adéquates.
Les données personnelles collectées ne sont traitées, en bref, que pour l’exécution des services que les psychologues fournissent aux bénéficiaires. Elles ne sont ni vendues, ni cédées, ni transmises d’aucune manière à des tiers, sauf aux tiers concernés par le paiement des services payés par les clients à MENTRAC, et ce dans la mesure strictement nécessaire.
I. Bases légales
La présente politique de confidentialité est conforme à la Loi fédérale du 25 septembre 2020 sur la protection des données (LPD) et son Ordonnance du 31 août 2022 (OPDo), étant précisé que MENTRAC est basée en Suisse et que ses services s’adressent exclusivement aux personnes résidant en Suisse.
II. Responsable du traitement
Le responsable du traitement (art. 5, lettre j, LPD) est :
MENTRAC Sàrl
Chemin Sur Rosset 32a
1040 Echallens (Suisse)
Pour toute question ou demande en relation avec le traitement de données personnelles, notamment le droit d’accès aux données personnelles, vous pouvez contacter le responsable du traitement par courrier postal ou email en utilisant les coordonnées susmentionnées.
III. Champ d’application
La présente politique de confidentialité est applicable à l’ensemble des traitements de données effectués par MENTRAC en lien avec la fourniture de services de soutien psychologique, notamment ceux qui sont accessibles sur la plateforme à l’adresse < mentrac.com > (tous services désignés ci-après : les services). Les personnes concernées par les traitements sont les clients de MENTRAC, les visiteurs de la plateforme qui remplissent un formulaire de contact, et les psychologues.
IV. Finalités du traitement des données personnelles
Les données personnelles ne sont traitées qu'à des fins liées à la fourniture de services, c'est-à-dire notamment les visioconférences entre bénéficiaires et psychologues, le fonctionnement de la plateforme, l'amélioration de la plateforme et la communication avec les clients et les psychologues.
MENTRAC ne vend, ni ne cède, ni ne transmet d’aucune manière les données personnelles de ses clients à des tiers, sauf aux tiers concernés par le paiement que les clients effectuent pour les services accessibles sur la plateforme de MENTRAC, et ce dans la mesure strictement nécessaire (voir plus bas, ch. VI).
Au surplus, l’éventuelle divulgation de données personnelles rendue obligatoire selon la loi (art. 31 LPD), par exemple pour répondre à des exigences justifiées d’autorités, est réservée.
V. Catégories de données concernées
Dans le cadre d’une relation contractuelle avec MENTRAC, nous traitons les données personnelles de base usuelles (nom, prénom, adresses électroniques et postales). Les données relatives au paiement des services sont traitées exclusivement par le sous-traitant concerné (cf. point VI ci-dessous), sans accès à ces données par MENTRAC qui n’intervient pas dans la transaction.
Bien que des services liés à la santé soient fournis sur la plateforme MENTRAC, nous ne traitons pas de données qui se rapportent à la santé des clients ou des informations qui permettent de tirer des conclusions à ce sujet. Les notes de séance des psychologues sont enregistrées sur la plateforme, mais ne sont accessibles qu'aux psychologues, à l’exclusion de MENTRAC. Il s’agit de données sensibles au sens de l’art. 5 let. c LPD. Les psychologues agréés par MENTRAC sont soumis au secret et ont interdiction de divulguer ces données personnelles sensibles à des tiers.
Dans le cadre de l’exploitation de la plateforme, nous traitons également des données non nominatives de nature technique (p. ex., adresse IP, type d’appareil utilisé), y compris des cookies, qui peuvent dépendre des paramètres de votre navigateur/appareil et des choix que vous avez opérés via la bannière des cookies qui vous a été présentée lors de votre première sur le site.
VI. Sous-traitants et transferts à l’étranger
Nous pouvons faire appel à des sous-traitants, à savoir à des entreprises tierces qui traitent des données personnelles pour notre compte et sous notre responsabilité, à l’exclusion de tout traitement dans leur intérêt propre. Les sous-traitants ne sont autorisés qu’à effectuer des traitements que nous serions en droit d’effectuer nous-mêmes.
De manière générale, nous sélectionnons autant que possible des sous-traitants qui offrent d’excellentes garanties en lien avec la protection et la sécurité de vos données (certifications, etc.), et privilégions les sous-traitants suisses et européens. La plateforme MENTRAC, y compris la solution de visioconférence intégrée, a été développée par un sous-traitant suisse et est hébergée en Allemagne. La gestion du paiement des services est confiée à la société Stripe Payments Europe Limited, dont le siège est en Irlande ; dans ce cadre, des données sont transférées à la société Stripe Inc., de siège aux États-Unis, qui est au bénéfice d’une certification selon le Swiss-U.S. Data Privacy Framework. Il ne s’agit que de données strictement utiles au paiement des services. Ces données ne sont pas utilisées par ces sociétés à d’autres fins.
Les psychologues participant à la fourniture des services traitent les données personnelles des bénéficiaires sous leur propre responsabilité, pour leur compte et dans l'intérêt exclusif des bénéficiaires. Certains de ces psychologues peuvent être établis dans un pays limitrophe, notamment en France ou en Allemagne, étant précisé que ces États sont reconnus par le Conseil fédéral comme garantissant un niveau de protection des données adéquat (OPDo, Annexe 1).
VII. Sécurité des données
MENTRAC prend toutes les mesures techniques et organisationnelles appropriées par rapport aux risques encourus pour garantir la sécurité des données. L’infrastructure de MENTRAC repose sur une architecture en trois niveaux :
-
Proxy Nginx : connecté à Internet, ce proxy reçoit les connexions des utilisateurs de la plateforme et gère leur redirection vers les services internes.
-
Serveur d’application : hébergeant le logiciel applicatif, ce serveur ne stocke aucune donnée sensible. Il communique sur un réseau interne avec le proxy et sur un autre réseau interne dédié à la base de données, garantissant ainsi une séparation stricte.
-
Serveur de base de données : situé sur un réseau interne isolé, il est accessible uniquement par le serveur d’application, sans connexion directe à Internet.
Les notes des psychologues sont stockées sur le serveur de base de données de manière chiffrée et illisible en cas d’accès non autorisé. La correspondance entre chaque fichier et le client est séparée, les identifiants n’étant pas conservés dans les fichiers eux-mêmes.
VIII. Conservation
D’une manière générale, les données sont conservées aussi longtemps qu’elles sont nécessaires au regard des finalités du traitement et d’autres exigences légales.
Les données essentielles relatives à une relation contractuelle, telles que l’identité et les informations sur les services souscrits (types de forfaits, facturation), sont conservées jusqu’à 10 ans à compter de la fin de la relation, conformément au délai de prescription des actions contractuelles. Les messages instantanés échangés via le chat pendant une séance sont supprimés du système dans les deux semaines.
À la fin de la relation contractuelle entre MENTRAC et le bénéficiaire, MENTRAC remet les notes de séance concernant l’intéressé au dernier psychologue qui s'est occupé de lui et les supprime immédiatement de la plateforme MENTRAC. MENTRAC n’est à aucun moment informé du contenu des notes de séance en question.
IX. Profilage et décision individuelle automatisée
Nous ne procédons à aucun profilage à risque élevé (art. 6 al. 7 LPD) et ne prenons aucune décision fondée exclusivement sur un traitement de données automatisé (art. 21 LPD).
X. Droit des personnes concernées
Si vous êtes personnellement concerné (art. 5, lettre a LPD) par un traitement de données effectué par MENTRAC, vous disposez des droits suivants aux conditions fixées par la législation applicable : un droit d’accès (art. 25 LPD), un droit de rectification (art. 32 LPD), un droit d’effacement (art. 32 LPD), un droit d’opposition (art. 30 LPD), un droit à la portabilité des données (art. 28 LPD) et un droit de dénonciation auprès de l’autorité compétente (art. 49 LPD).
Pour exercer vos droits, vous voudrez bien nous envoyer votre demande par lettre signée, accompagnée d’une copie de votre pièce d’identité, à l’adresse indiquée au ch. II du présent document. Nous nous efforcerons de vous répondre dans un délai de 30 jours.
XI. Modifications
Nous nous réservons le droit de modifier à tout moment la présente politique de confidentialité. Le cas échéant, les modifications vous seront communiquées par un moyen approprié, à moins qu’elles soient manifestement sans incidence pour vous.
Politique de confidentialité MENTRAC en vigueur depuis le 21.12.2024.