Politique de confidentialité

Une politique de confidentialité, c'est souvent un gros pavé intimidant, censé vous rassurer mais que vous ne lisez pas.

Nous avons écrit la nôtre en la voulant aussi claire et accessible que possible, pour que vous compreniez précisément comment vos données personnelles sont utilisées par Alan.

Bonne lecture.

Sommaire

Pourquoi une politique de confidentialité ?

Nous accordons la plus grande importance à la sécurité et à la confidentialité des données des personnes utilisant nos services, qu’il s’agisse du site alan.com ou de l’application mobile mise à leur disposition.

L’objectif de ce document est d’être transparent sur la façon dont nous traitons les données à caractère personnel que vous nous fournissez, conformément au RGPD.

Ce document peut être mis à jour à tout moment, en fonction des besoins d’Alan, des circonstances ou si la loi l’exige. Nous vous invitons donc à revenir le consulter régulièrement — et nous communiquerons les mises à jour importantes aux personnes utilisant nos services.

Version en date du 20 mars 2020

J'ai une question ou une réclamation, ou je veux exercer mes droits

Pour toute question concernant la sécurité et les données personnelles, ou pour vous permettre d’exercer vos droits d’accès, de rectification, de suppression, de retrait du consentement, de limitation du traitement, d’opposition au traitement ou de portabilité, vous pouvez contacter notre délégué à la protection des données (ou DPO, pour Data Protection Officer, comme on dit dans le jargon) à l'adresse privacy@alan.com. Nous veillerons à ce qu’une réponse vous soit fournie dans les meilleurs délais.

Pour toute réclamation concernant vos données personnelles, vous pouvez soit contacter notre DPO soit vous adresser directement à l'Autorité Protection Données.

Quelles données personnelles traitons-nous ?

Pour la gestion des contrats entreprises

Administrateurs

Lors de l’inscription à un contrat entreprise, nous collectons les données personnelles suivantes pour chaque administrateur ou administratrice :

  • nom et prénom ;

  • adresse e-mail professionnelle ;

  • messages et pièces jointes échangés avec notre service client.

Sur quelles bases légales ?

  • consentement de l’administrateur ou de l’administratrice procédant à l’inscription de l’entreprise ;

  • exécution du contrat pour les autres administrateurs et administratrices.

Que faites-vous avec ?

  • signature électronique du contrat ;

  • communication avec les mandataires de l’entreprise ;

  • accès au compte permettant de gérer le contrat.

Combien de temps conservez-vous ces données ?

  • 5 ans après la fin du contrat,

  • 2 ans après la dernière connexion si le contrat n’a pas été signé.

Comment puis-je consulter ou modifier ces données ?

Depuis le tableau de bord Alan.

Puis-je demander de supprimer les données qui me concernent ?

  • si le contrat n’a pas été signé, oui ;

  • sinon, nous avons l’obligation de conserver ces données.

Vos questions de santé

Lorsque que vous échangez des messages avec l'un de nos médecins pour une question relative à votre santé (hors télé-consultation), nous utilisons les données suivantes :

  • Prénom, date de naissance, et genre (que nous déduisons de votre profil d’assuré) ;

  • Messages et pièces jointes échangés avec le médecin.

Le médecin n’aura pas votre nom complet, ni accès à votre historique en tant qu’assuré.

Sur quelles bases légales ?

Votre consentement est recueilli avant l’accès au service depuis l’application mobile Alan.

Que faites-vous avec ?

  • Échange de messages sécurisé entre vous et le médecin

  • Accès aux messages archivés

Alan respecte le secret médical : mis à part leur consultation par les médecins (qui peuvent être salariés d’Alan, en conformité avec les préconisations du Conseil de l’Ordre des Médecins) le contenu des échanges ne peut pas être consulté ni utilisé par Alan. Côté médecin, l’accès se fait par le biais d’un accès dédié, séparé de l’accès habituel des salariés d’Alan à nos outils. Cela nous permet de vous garantir qu’Alan ne ré-utilisera jamais ces informations, notamment pour ses services d'assurance santé.

Combien de temps conservez-vous ces données ?

2 ans à partir de la réception de la question.

Puis-je demander de supprimer les données qui me concernent ?

Vous pouvez demander de supprimer les messages de votre interface, il suffit d'en faire la demande à l’adresse privacy@alan.com. Toutefois nous en garderons une archive sécurisée de notre côté, conformément aux recommandations du Conseil de l’Ordre des Médecins.

Pour les mesures d’audience (analytics) et le bon fonctionnement de notre plateforme

Certaines données sont collectées automatiquement lors des visites sur alan.com (y compris les autres sites éditées par Alan dont blog.alan.com et map.alan.com) et lors de l'utilisation de notre application mobile. Les données collectées incluent :

  • adresse IP et fournisseur d'accès ;

  • identifiant technique ;

  • informations sur votre équipement (par exemple : le type de connexion à Internet, le type d'appareil utilisé, le navigateur utilisé et sa version, etc.) ;

  • informations d'horodatage et de durée de visite ;

  • pages visitées ;

  • clics et autres interactions sur les différentes pages ;

  • erreurs éventuelles (sur le navigateur, l'application mobile ou nos serveurs).

Sur quelles bases légales ?

Lorsque cela s'applique, la collecte est soumise au consentement explicite de l'utilisateur (bandeau cookie). Ce consentement est valide 13 mois à compter de son enregistrement.

Que faites-vous avec ?

Ces données sont utilisées à des fins :

  • d’exécution des dispositions légales, réglementaires et administratives (logs de connections, etc.) ;

  • de​ ​connaissance​ ​client​ ​et​ ​de​ ​gestion​ ​de​ ​la​ relation​ client ;

  • d’opérations relatives à la prospection et d’élaboration de statistiques commerciales​ ​;

  • d’identification des clients ou prospects pour améliorer le service en proposant des produits ou services permettant de réduire la sinistralité ou d’offrir un contrat ou une prestation complémentaire ;

  • d’analyse de l’utilisation qui est faite du produit et d’amélioration du produit​​ ;​​

  • de​ ​gestion​ ​des​ ​avis​ ​des​ ​personnes​ ​sur​ ​des​ produits,​ ​services​ ​ou​ ​contenus​.

Combien de temps conservez-vous ces données ?

2 ans à partir de la visite.

Puis-je demander de supprimer les données qui me concernent ?

À l'exception de celles collectées dans le cadre d'une obligation légale, oui. Il suffit d'en faire la demande à l’adresse privacy@alan.com.

Comment mes données sont-elles protégées ?

La sécurité des données est un sujet extrêmement important à nos yeux et nous faisons le maximum pour être dignes de la confiance que vous nous portez. Voici quelques exemples de mesures prises chez nous. Si vous n'êtes pas féru d'informatique, il est possible que tout ne vous parle pas. Pour faire au plus court, on ne va pas s'étaler, mais on a mis des liens explicatifs selon les sections. Si vous avez des questions sur un point précis, nous serons heureux d'y répondre : écrivez-nous à security@alan.com.

Sécurité applicative

Nous utilisons Sqreen.com pour détecter et bloquer en temps réel des attaques de type XSS, injection SQL, vol de compte, etc. Nous utilisons également Cloudflare.com pour nous protéger d’attaques par déni de service distribuées (DDoS).

Chiffrement des données en transit

Tout le trafic HTTP depuis et vers alan.com et api.alan.com est chiffré (HTTPS / TLS). Vous pouvez évaluer notre configuration ici.Lors de la première connexion d’un utilisateur, nous indiquons à son navigateur (via le mécanisme HSTS) que toutes les connexions ultérieures devront obligatoirement être chiffrées (HTTPS), y compris quand un lien vers alan.com commence par http:// au lieu de https://

Hébergement et bases de données

Alan est hébergé par Heroku au sein de datacenters sécurisés et certifiés Amazon Web Services. Nos données sont hébergées sur des serveurs certifiés HDS (hébergement de données de santé). Vous pouvez trouver plus d’informations sur la sécurité AWS ici, et notre blog post sur le sujet ici.

Chiffrement des données au repos

Nous utilisons des bases de données PostgreSQL. Les données y sont chiffrées grâce au standard AES-256 et les clés de chiffrement sont gérées par AWS. Les archives de secours sont également chiffrées.

Politique de mots de passe et stockage

Nous utilisons la bibliothèque open-source zxcvbn pour évaluer la force du mot de passe choisi par l'utilisateur. La taille minimale est de 9 caractères, et le score minimal est de 3.Nous ne stockons pas ces mots de passe : nous ne stockons qu’un hash non réversible calculé par la fonction bcrypt, avec les paramètres suivants :

  • un coût de 12 (soit 4096 itérations) pour limiter les attaques de type brute force;

  • un sel aléatoire par utilisateur pour protéger contre les rainbow tables.

Mesures organisationnelles

Tous les employés d’Alan reçoivent une formation obligatoire sur la sécurité (y compris le social engineering) et la confidentialité des données. Ils utilisent des mots de passe complexes et uniques, ainsi que de l’authentification forte (2FA) dès que cela est possible. L’utilisation d’un gestionnaire de mot de passe est également obligatoire.

Nos ordinateurs sont automatiquement mis à jour et ont leur disque dur chiffré (en cas de vol). Nos écrans se verrouillent automatiquement.

L’accès à nos outils d’administration internes nécessite un accès individuel depuis une adresse IP autorisée et toutes les modifications de données (par un employé d’Alan ou par un utilisateur lui-même) sont auditées.

Nous organisons des tests d’intrusion avec des sociétés indépendantes.

Tous les services et applications Alan sont développés en interne. Notre code est validé par des outils automatisés (analyse statique, sécurité, etc.) et manuellement par une seconde paire d’yeux.

Et les cookies ?

C'est quoi un cookie ?

En plus d'être un délicieux gâteau, un cookie est un fichier sur votre appareil qui contient des données. Vous pouvez à tout moment supprimer ou limiter le stockage de ces fichiers dans les paramètres de votre navigateur internet (voir plus bas).

À quoi ça sert ?

  • En premier lieu à vous identifier une fois que vous êtes connecté à l'application.

  • Certains cookies nous permettent également de vous répondre sur le chat en ligne, dans la fenêtre qui s’ouvre en bas de votre écran lorsque vous visitez notre site.

  • Les cookies de mesure d’audience nous permettent de connaître l’utilisation et les performances de notre site, d’établir des statistiques, des volumes de fréquentation et d’utilisation des divers éléments de notre site (contenus visités, parcours) nous permettant d’améliorer l’intérêt et l’ergonomie de nos services. Les données recueillies sont analysées uniquement par Alan et ses sous-traitants, et utilisées uniquement par Alan.

  • Les cookies liés aux opérations relatives à la publicité ciblée nous permettent de mesurer l’efficacité de nos campagnes publicitaires et de limiter le nombre de fois où une publicité pour Alan vous est proposée.

Puis-je refuser ?

Bien sûr ! Lors de votre première visite (ou si vous utilisez la navigation privée ou incognito de votre navigateur), une bannière (appelée cookie banner) s’affiche pour vous demander l’autorisation d’utiliser des cookies. Il suffit de refuser et cookiee (autre que ceux dont nous avons besoin pour faire fonctionner le site et vous permettre d’utiliser notre chat en ligne) ne sera déposé. Si vous acceptez, votre consentement sera valable 13 mois à compter de son enregistrement.

Est-ce que vous allez m'enquiquiner avec des e-mails et autres notifications ?

Pour faire simple, non.

Vous allez bien recevoir des e-mails de notre part, mais dans la grande majorité des cas ce sera dans le cadre de l'exécution de notre contrat. Par exemple : pour vous inviter à vous inscrire, vous demander des informations complémentaires pour permettre un remboursement, vous envoyer un devis de remboursement de santé suite à une demande de votre part ou encore vous informer de modifications contractuelles ou de changements liés à votre compte. Impossible d'y échapper, mais c'est indispensable pour votre couverture.

Une petite minorité de mails ne concernent pas directement notre contrat avec vous ou votre employeur, mais relèvent tout de même d'un intérêt légitime (par exemple pour vous proposer de parrainer un proche avec une récompense financière à la clé, vous envoyer un devis, ou pour vous annoncer de nouveaux services similaires à ceux dont vous bénéficiez actuellement).

Si vous êtes administrateur, vous pourrez également recevoir des offres commerciales de notre part. Vous avez dans ces cas toujours la possibilité de vous désinscrire de ce type de messages en suivant le lien qui se trouve dans chacun de nos mails (opt-out).

Vous pouvez également choisir de vous inscrire à notre lettre d’information ou à nos listes d’attente vous permettant d’être avertis de la disponibilité de nos nouveaux services (opt-in).

Quant aux notifications push, nous demandons l'autorisation directement dans l'application mobile et vous pouvez les désactiver ou les réactiver depuis votre téléphone.

Qui d'autre qu'Alan peut avoir accès à mes données ?

Les données collectées peuvent être communiquées en tant que de besoin aux partenaires, réassureurs, sous-traitants et prestataires d’Alan. Ces transferts de données sont réalisés uniquement dans le cadre des opérations mentionnées et dans la limite nécessaire à l’exécution des tâches que nous confions aux tiers. Ces tiers sont pleinement informés par Alan de la confidentialité des données qui leur sont communiquées dans ce cadre, et ces partenaires ont l’obligation d’assurer la protection de ces données. Lorsque la nature de l’opération réalisée le permet, les données font l’objet d’une anonymisation préalable avant d’être communiquées à des tiers.

Par ailleurs, en vue de satisfaire les obligations légales et réglementaires, nous pouvons être amenés à communiquer des informations personnelles à des autorités administratives ou judiciaires sur leur demande. Dans cette hypothèse, nous veillons à ce que soient transmises uniquement les données strictement requises par les autorités.

Dans le cas où des informations personnelles sont transférées en dehors de l’Union européenne, nous nous assurons que le pays tiers concerné dispose d’un niveau de protection jugé adéquat par la réglementation européenne (RGPD). Si ça n’est pas possible, nous nous assurons que le transfert est réalisé conformément à la réglementation pour garantir la protection de ces informations. Nous restons responsables de ces données.

Ces sous-traitants incluent :

Données de mesures d’audience et d'usage

  • Segment (analyse d’audience)

  • Amplitude (analyse d’audience)

  • Google Analytics (analyse d’audience)

  • Google Ads (publicité ciblée)

  • Fullstory (analyse d’audience et débugging)

  • Facebook Pixel (analyse d’audience et publicité ciblée)

  • Twitter Ads (publicité ciblée)

  • LinkedIn Insights (publicité ciblée)

  • Customer.io (e-mails)

  • PixelMe (analyse d’audience)

  • Sqreen (sécurité)

  • Cloudflare (réseau, sécurité et analyse d’audience)

  • Hotjar (analyse d’audience)