Politique de confidentialité et de sécurité – Volta Medical – Edition 1.1 – Mise à jour le 20 mai 2020
English Version Below

Qui sommes-nous ?
Volta Medical est le nom commercial de SUBSTRATE HD SAS.
Nous sommes une société ayant son siège social à Marseille (France) au 65 avenue Jules Cantini – Tour Méditerranée – 13008 Marseille. Vous pouvez nous contacter à l’adresse suivante : contact@volta-medical.com
Les coordonnées de notre délégué à la protection des données personnelles figurent à la fin de ce document.

Présentation générale de la politique de de confidentialité et de sécurité
La politique de protection des données à caractère personnel de Volta Medical est un document destiné à détailler comment nous recueillons les données des personnes physiques, comment nous les utilisons et les partageons éventuellement dans le cadre de nos activités commerciales et nos activités de recherches et de développement.

Cette politique de de confidentialité et de sécurité couvre Substrate HD SAS (Volta Medical), ses sites internet et ses applications. Les sites internet et les applications sont appelés dans la présente politique des « plateformes ».

Conformément à l’objectif de transparence et de loyauté que nous nous sommes fixés et qui s’imposent en vertu de la réglementation européenne applicable aux données à caractère personnel (Règlement (UE) 2016/679 du parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, appelé par le terme « RGPD » dans ce document), nous avons souhaité que cette Politique de confidentialité et de sécurité soit compréhensible et accessible aisément.

Nous l’avons donc divisée en plusieurs parties afin que vous puissiez trouver facilement les informations que vous recherchez.

Elle contient des informations d’ordre général et des informations sur les applications spécifiques que nous en faisons. Vous pouvez nous demander plus d’explications à tout moment sur les exemples qui n’ont pas été détaillés.

Pour faciliter votre lecture, dans le reste du document nous désignerons cette politique de confidentialité et de sécurité par le terme raccourci de « Politique ».

A qui s’applique cette Politique ?
Cette politique s’applique à toute personne physique qui est en relation avec notre entreprise et dont nous traitons les données personnelles. Elle ne s’applique pas dans le cadre d’une relation de travail ; une autre politique à disposition des collaborateurs de Volta Medical régit cette relation.
Cette Politique s’applique notamment aux personnes qui ont acceptées de participer à des recherches. Elle constitue également un document d’information pour toute personne qui s’intéresse à la manière dont nous traitons les données personnelles.
Cette Politique est disponible sur nos sites internet et peut être également obtenue gratuitement sur simple demande et par tout autre moyen. Cette demande se formule auprès de notre Délégué à la Protection des Données personnelles dont les coordonnées de contact sont mentionnées plus bas.

Dans le cadre de nos activités, nous pouvons collaborer avec des entités qui ne font pas partie de notre groupe, si vous souhaitez connaître comment ces entités traitent vos données, vous êtes invité à les contacter directement pour connaître leurs engagements et/ou pour exercer vos droits au titre du RGPD.

Evolution de la Politique
Nous pouvons modifier cette Politique de temps en temps pour y refléter une évolution de nos activités et/ou nous conformer à nos obligations légales notamment.
Si nous procédons à des modifications, celles-ci seront effectuées dans les pages relatives à cette Politique sur les Plateformes disponibles en ligne et nous vous recommandons de vous y référer à chaque visite. En revanche, si les modifications de cette Politique sont substantielles, nous attirons votre attention en publiant un avertissement sur notre site et, le cas échéant, dans la rubrique concernée de chaque Plateforme.

Qu’est-ce qu’une donnée à caractère personnel ?
Selon le RGPD, une donnée à caractère personnel est une information relative à une personne identifiée ou identifiable directement ou indirectement. Nous les désignons dans la présente politique par les termes « donnée personnelle » ou « donnée ». Les données personnelles que nous traitons peuvent être d’ordre privé ou professionnel. Les données anonymes, anonymisées et agrégées, ne sont pas des données personnelles.

Qu’est-ce qu’un traitement de donnée à caractère personnel ?
Un traitement est une opération quel qu’elle soit réalisée sur une ou plusieurs données personnelles. Nous opérons des traitements sur les données personnelles conformément au RGPD :
pour notre compte ; dans ce cas, nous sommes responsable de traitement car nous déterminons la finalité et les moyens du traitement des données personnelles, ou
pour le compte de nos clients, partenaires ou organisations; dans ce cas nous agissons comme sous-traitant au sens du RGPD.

Quels sont nos engagements ?
La transparence : Volta Medical s’engage à traiter vos données personnelles de manière transparente, loyale et licite.
A ce titre, nous vous délivrons une information appropriée lorsque nous collectons vos données ou lorsqu’elles proviennent d’un tiers ou de technologies. Quand nous procédons à une collecte nous vous indiquons si cette collecte est obligatoire, quelles sont les données obligatoires à nous fournir, si cette collecte répond à une exigence réglementaire ou contractuelle et si elle est une condition à la fourniture d’un service ou d’un contrat ainsi que les conséquences de la non-fourniture de ces données. Si nous ne collectons pas vos données personnelles directement auprès de vous, vous recevrez tout de même, soit lors de notre premier contact (par notre intermédiaire ou un de nos sous-traitants), soit au moment de la collecte par l’intermédiaire, des informations identiques à celle que nous devons communiquer en cas de collecte directe. Vous serez notamment informé de la provenance (source) des données. Le cas échéant, nous vous informerons de l’existence (et de la logique sous-jacente) d’une prise de décision automatisée, y compris le profilage. Nous veillerons alors à vous informer de l’importance et des conséquences prévues de ce traitement à votre égard.

La proportionnalité : Nous nous engageons également à ne traiter vos données personnelles que pour des finalités déterminées, explicites et légitimes ou pour nous conformer à nos obligations légales/réglementaires. Vos données personnelles ne sont pas traitées ultérieurement d’une manière incompatible avec ces finalités. S’il existe une compatibilité avec la finalité pour laquelle les données sont collectées et que nous avons l’intention d’effectuer un traitement ultérieur avec celles-ci, nous vous fournirons alors toute information qui vous permettra de comprendre cette nouvelle finalité et les informations qui y sont relatives. Lorsque le traitement est fondé sur notre intérêt légitime, cela signifie que nous avons déterminé que cela ne porte pas atteinte à vos intérêts et à vos droits et libertés fondamentaux. Vous avez la possibilité sur simple demande de demander des informations sur cette mise en balance.

La nécessité : Nous limitons la collecte et le traitement de vos données personnelles à ce qui adéquat, pertinent, et limité à ce qui est nécessaire à nos activités. Nous ne conservons les données concernées que pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont traitées. Elles pourront néanmoins être conservées à des fins de recherche ou statistique dans la mesure où nous mettons en œuvre les mesures techniques et organisationnelles appropriées afin de garantir vos droits et libertés.
Nous ne communiquons certaines de vos données qu’à des destinataires habilités dont les services ayant à en connaître au sein de notre groupe ainsi que les éventuels tiers concernés pour la bonne exécution de nos services, activités et/ou recherches mais également aux parties prenant part à des transactions commerciales potentielles (par exemple, des acquéreurs ou investisseurs potentiels ou encore les parties intervenant à une restructuration légale). Nous encadrons alors les relations avec les destinataires de ces données et nos sous-traitants par la mise en œuvre de garanties appropriées dans le respect de nos obligations légales. Nous communiquons également vos données dans le cas où nous y sommes contraints en vertu d’une obligation légale, réglementaire ou si les destinataires ont légalement le droit d’accéder aux données (tels que les autorités judiciaires ou administratives/sanitaires compétentes, les huissiers etc). La communication de ces données est encadrée par des textes légaux/réglementaires.

L’exactitude : Nous veillons à ce que vos données personnelles soient exactes et tenues à jour. Nous mettons en œuvre des mesures raisonnables pour que les données inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder.

La sécurité : Vos données sont traitées de façon à garantir une sécurité appropriée notamment contre le traitement non autorisé ou illicite et contre la perte et la destruction à l’aide de mesures techniques ou organisationnelles appropriées.

De manière générale, nous nous engageons à respecter tout principe s’imposant à nous en matière de réglementation relative à la protection des données personnelles, dont notamment :
le respect des droits conférés aux personnes,
le respect des durées de conservation (en prenant en compte, dans le respect du droit applicable, la finalité du traitement, les exigences contractuelles ou opérationnelles et nos obligations légales/réglementaires)
les obligations en matière de transferts internationaux pour lesquels nous prenons les mesures nécessaires afin de garantir le respect de la réglementation européenne par les destinataires qui ne se situeraient pas dans un pays membre de l’Union Européenne,
la sensibilisation des collaborateurs à la protection des données et à la confidentialité qui doit les entourer,
la mise en place de mesures organisationnelles et techniques destinées à appliquer de manière effective le respect de ces principes.

Quelles sont les données personnelles que nous collectons ?
Nous pouvons collecter des données personnelles directement auprès de vous ou par l’intermédiaire de tiers et au moyen de diverses sources. Par exemple, directement auprès de vous signifie quand vous postulez à un emploi ou un stage ou lorsque vous nous sollicitez pour vous procurer un produit ou un service mais également lorsque vous vous inscrivez à une formation ou que vous utilisez nos produits et services.

Nous pouvons également collecter des données personnelles en cas d’interaction avec nous, par exemple en cas de connexion internet.

Nous pouvons également collecter vos données personnelles par l’intermédiaire de votre établissement de santé dans le cadre des soins que vous recevez : soit parce que votre médecin/établissement de santé utilisent l’un de nos produits ou services (nous sommes alors le sous-traitant de ceux-ci), soit parce que vous avez expressément accepté de participer à une recherche (nous sommes alors responsable de traitement).

La collecte de données personnelles que nous effectuons n’est pas identique pour tous les traitements. Les données personnelles collectées varient selon le traitement concerné, leur finalité mais également selon la nature de la relation avec la personne concernée. Selon la catégorie de personne concernée, ces données peuvent également varier.

Nous collectons à ce titre des données sur les catégories de personnes suivantes :
candidats à un recrutement/stage ou autres,
prospects client, clients,
bénéficiaires d’une formation,
visiteurs de nos Plateformes,
personnes recevant des soins par l’intermédiaire d’un professionnel de santé utilisant nos produits ou services,
personnes participant à une recherche avec son consentement dans le cadre d’un protocole de recherche validé par les instances du centre de recherche,
les professionnels de santé dont (les médecins investigateurs, les médecins utilisant nos produits, les membres de notre conseil scientifique)
personnels de santé ou impliqués dans la recherche,
investisseurs,
collaborateurs et/ou représentants de nos prestataires de services, partenaires, fournisseurs, contractants.

Les catégories d’informations que nous collectons directement ou indirectement :
Nota : Selon votre relation avec nous (participant à une recherche, collaborateur d’un de nos fournisseurs, médecins utilisant nos produits ou services ou médecin membre du comité scientifique, etc), les informations que vous nous fournissez directement ou indirectement ne sont pas les mêmes.

Les catégories d’informations que vous pouvez nous fournir selon notre relation avec vous sont:
des données d’identification tels que votre nom, prénom, adresse postale, date de naissance, votre adresse électronique, votre numéro de téléphone (personnel ou professionnel selon les cas), votre pays de résidence, votre nationalité, les images et enregistrements de votre image, votre lieu d’exercice,
des données professionnelles tels que votre formation, votre cursus, vos expériences professionnelles, votre salaire et vos employeurs actuels et précédents, votre numéro d’identification professionnelle, votre métier et les spécialités exercées, les cadeaux et marques d’hospitalité éventuellement reçues ;
des données relatives à votre santé tels que les traitements reçus par la personne concernée (durée de la procédure, radiofréquence, fluoroscopie, type d’intervention réalisée par le médecin, paramètres de la procédure, effet de la procédure), les signaux électriques extracardiaques recueillis dans le cadre de la procédure, des données électro-anatomiques, Ces données nous sont communiquées par l’établissement de santé dans le cadre de la recherche et sous forme pseudonymisée et chiffrée;
des données commerciales : les données relatives à une facture, aux modalités et échéances de paiement, numéro d’identification bancaire, informations sur les services/produits proposés/vendus,
les données relatives à votre consentement à la collecte des données personnelles.

Nous pouvons également recueillir des informations automatiquement au gré de notre relation avec vous. Par exemple, lorsque vous assistez à des événements que nous organisons.

Les catégories d’informations que nous collectons lors de votre navigation ou l’utilisation de nos produits ou services :

données d’identification telle que votre adresse IP, votre zone géographique de connexion, les jours et heures de connexion.

Quels sont les traitements que nous effectuons sur les données personnelles ?
Nous effectuons des traitements sur les données personnelles pour des finalités déterminées, explicites et légitimes. Tous les traitements détaillés ci-dessous ne concernent pas les mêmes personnes; cela dépend de notre relation avec vous.

Cette relation peut s’inscrire dans la gestion de la relation commerciale et de la communication que nous avons avec vous.
Vos données seront alors traitées à des fins de :
prises de contact avec des prospects dont nous pensons qu’ils pourraient être intéressés par nos produits ou services (sauf en cas d’opposition au démarchage) ou par notre activité de recherche, marketing et de promotion. Le traitement est alors fondé sur notre intérêt légitime (base juridique du traitement).
ventes, assistance technique et commerciale, SAV/Maintenance, conclusion de contrats, facturation, gestion des litiges, contractualisation avec des sous-traitants, acquisition de biens et de services. Le traitement est alors fondé sur un contrat en vigueur entre nous ou des mesures précontractuelles (base juridique du traitement).

Nous sommes responsables de traitement. Les données sont destinées aux services habilités et uniquement si cela est nécessaire à leurs missions. Les données peuvent également être communiquées à des sous-traitants dans la mesure où la transmission et le traitement de ces données ont été encadrés contractuellement pour apporter des garanties suffisantes au regard de la protection des données personnelles. Les données ne sont conservées que pendant la durée nécessaire à chaque finalité et le cas échéant dans le respect des obligations de conservation légales.

Dans le cadre de la fourniture de prestations de santé
Volta Medical procède au traitement de données personnelles pour le compte de ses clients (établissements de santé, médecins) dans le cadre de la mise à disposition d’un logiciel d’assistance opératoire appelé VX1 et The Recorder. The Recorder est un outil d’annotation opératoire que les médecins sont libres d’utiliser. VX1 est une solution d’aide à la décision mais ne se substitue pas au médecin qui est seul décisionnaire de l’intervention à réaliser. Il ne s’agit pas d’un outil de diagnostic. Les traitements de données sont réalisés sous le contrôle des médecins. Que ce soit pour VX1 ou The Recorder, le médecin et/ou l’établissement de santé est/sont responsable(s) de traitements. Les traitements sont basés sur un contrat entre nous et les établissements de santé ou les médecins (base juridique du traitement).

Dans le cadre de nos activités de recherche n’impliquant pas la personne humaine
Pour acquérir et améliorer la connaissance de la survenance des phénomènes de troubles du rythme cardiaque et les mécanismes et interactions affectant le cœur, nous avons entrepris une recherche basée sur l’utilisation d’algorithmes d’intelligence artificielle exercés sur des données de santé collectées au cours d’interventions. Au terme de la recherche, nous souhaitons pouvoir faciliter les diagnostics des médecins. Pendant la durée de la recherche, les algorithmes sont exercés sur des signaux électriques de patients qui ont été collectées après l’intervention médicale, avec l’accord du patient ou de son représentant légal. Les algorithmes ne prennent aucune décision à l’égard des personnes concernées par la collecte. Les données sont collectées pour notre compte par les établissements de santé avec lesquels nous avons conclu un protocole de recherche scientifique et nous les adressent sous forme pseudonymisée. Le traitement effectué sur les données personnelles est fondé sur l’intérêt légitime de Volta Medical à la recherche et au développement (base juridique du traitement), sans toutefois porter atteinte aux droits et libertés des personnes concernées. Dans le cadre de cette recherche, nous sommes responsable de traitement et les établissements de santé/médecins qui participent à la collecte, pour notre compte, sont nos sous-traitants au sens du RGPD. La participation à la recherche étant facultative, les personnes participant à la recherche sont informées par une notice spécifique pour qu’elles comprennent en quoi elle consiste et connaissent leurs droits. Elles sont libres de participer ou non à la recherche sans que cela n’affecte les soins qu’elles reçoivent. Elles peuvent retirer leur accord à tout moment. Les données sont destinées aux services habilités et uniquement si cela est nécessaire à leurs missions. Les données peuvent également être communiquées à des tiers sous-traitants dans la mesure où la transmission et le traitement de ces données a été encadré contractuellement pour apporter des garanties suffisantes au regard de la protection des données personnelles. Les données sont conservées pendant la durée nécessaire à la recherche auquel s’ajoute le délai autorisé par la réglementation. Au terme de cette durée, les données personnelles sont anonymisées ou détruites.
Dans le cadre de ces recherches, nous collectons également les données personnelles concernant les professionnels intervenant dans la recherche tels que les responsables scientifiques (la base juridique du traitement est alors le contrat conclu avec nous), les médecins participants et le cas échéant, le personnel impliqué dans la recherche (la base juridique du traitement est notre intérêt légitime ou le contrat conclu avec eux). Une notice d’information spécifique est communiquée à ces professionnels dans les délais réglementaires qui fait état de la base juridique applicable au traitement. Les données personnelles des professionnels intervenant dans la recherche sont conservées pendant la durée nécessaire à la recherche auquel s’ajoute le délai autorisé par la réglementation Elles font ensuite l’objet d’un archivage sur support papier ou informatique pour une durée conforme à la réglementation en vigueur.

Dans le cadre de nos obligations réglementaires en matière de transparence et de prévention des conflits d’intérêts
Dans le strict respect de la réglementation applicable, il est possible que nous rémunérions, indemnisions et/ou octroyons des marques d’hospitalité aux professionnels de santé. Il est également possible que nous fassions des dons et/ou libéralités pour la recherche ou pour des associations ou que nous financions des formations dans le domaine de la santé. En conséquence, nous collectons les informations nécessaires à l’accomplissement des formalités qui s’imposent à nous en application de la réglementation relative à la transparence et à la prévention des conflits d’intérêts. La base juridique de ce traitement est le respect de nos obligations légales. Une mention d’information relative conforme au RGPD est communiquée aux professionnels de santé et aux personnes concernées, sur les supports appropriés. Les données nécessaires sont traitées par les personnels habilités en interne et sont également communiquées à certains tiers habilités (notamment les organismes ordinaux, tel que le conseil de l’ordre des médecins, le registre français de transparence et leurs équivalents à l’étranger, etc). Vous êtes invités à vous référer aux politiques de confidentialité de ces organismes. Selon le cadre, la durée de conservation que nous appliquons peut varier (durée fondée sur l’exécution d’un contrat, d’une recherche, durée de la prescription notamment).

Dans le cadre de la gestion des recrutements
Nous collectons les informations vous concernant afin de gérer les candidatures. Ces données sont destinées aux interlocuteurs habilités en charge du recrutement qu’ils soient internes ou externes. Nous conservons les données que vous nous avez communiquées pendant la durée nécessaire à l’examen de votre candidature et pendant une durée supérieure si nous ne vous recrutons pas, afin de pouvoir vous proposer une collaboration si une opportunité se présentait pour vous. Vous pouvez néanmoins vous y opposer ou procéder à l’exercice de l’un quelconque de vos droits tels que rappelés ci-dessous. Les traitements reposent sur les fondements suivants : mesures précontractuelles ou contrat conclu entre nous et également sur la base de notre intérêt légitime (base juridique du traitement).

Cookies/Traceurs
Les cookies ou traceurs sont de petits fichiers informatiques qui peuvent être téléchargés sur votre appareil. Nos Plateformes n’utilisent pas de cookies ou de traceurs.
Depuis notre plateforme, vous pouvez accéder à certaines vidéos Volta Medical hébergées par YouTube®. Nous n’autorisons pas le dépôt de cookies sur votre terminal par cette société. Cependant en accédant au site de YouTube®, vous êtes susceptibles de voir collecter et utiliser vos données de navigation par cette société pour des finalités qui leur sont propres. Nous vous invitons à consulter la politique de confidentialité de cette société.

Transfert hors UE
Nous pouvons être amenés à effectuer des transferts de données vers un pays tiers à l’Union Européenne dans le cadre de nos activités. Dans ce cas, nous prenons toutes mesures appropriées afin de garantir le respect de la réglementation applicable en Union Européenne. Vous pouvez obtenir copie de ces garanties auprès de notre Délégué à la Protection des Données.

Quels sont vos droits en matière de données personnelles ?
Toute personne physique dispose de droits à l’égard de ses données personnelles qui sont octroyés par la loi. Lorsque la loi l’autorise, nous pouvons vous facturer ce service, par exemple lorsque votre demande est manifestement infondée ou exagérée.

Vos droits s’exercent auprès du responsable de traitement. En conséquence, nous ne pouvons répondre qu’aux demandes concernant des traitements pour lesquels nous sommes responsables de traitement. Lorsque nous agissons comme sous-traitant, nous ne pourrons pas faire droit à votre demande.

Lorsque vous souhaitez exercer l’un de vos droits, nous pouvons vous demander des informations et documents afin de vérifier votre identité. Ceci permet de garantir que des informations confidentielles ne sont pas communiquées à une personne qui ne serait pas habilitée à en prendre connaissance.

A la condition que des considérations juridiques ne s’y opposent pas ou, par exemple, que nous ne portions pas atteinte à notre devoir de confidentialité envers un tiers ou à la condition que cela ne compromette pas gravement l’objectif du traitement, nous vous communiquerons les informations demandées ou nous informerons des données complémentaires nécessaires au traitement de votre demande dans les meilleurs délais.

Vos demandes peuvent être formulées par écrit ou à l’oral mais dans ce dernier cas, vous devrez démontrer votre identité par d’autres moyens. Par ailleurs, nous conserverons une trace écrite base permettant de savoir que : vous avez formulé votre demande par oral, comment nous avons vérifié votre identité et les informations qui vous ont été transmises.

Quels sont vos droits ?
Vous avez le droit de recevoir une information lorsque nous collectons des données directement auprès de vous ou indirectement.
Vous avez le droit d’être informé du fait que nous détenons ou non des données vous concernant, et si c’est le cas des données personnelles que nous détenons à propos de vous ainsi que l’identité et les coordonnées du responsable de traitement, les coordonnées du Délégué à la protection des données personnelles, les finalités du traitement et sa base juridique, le cas échéant les intérêts légitimes qui sont les nôtres, les catégories de données collectées, les destinataires des données, le détail des transferts vers des pays tiers à l’Union Européenne et le détail des garanties adéquates, la durée de conservation ou si ce n’est pas possible les critères utilisés pour déterminer cette durée.
Vous avez le droit d’obtenir la rectification de vos données personnelles en cas d’inexactitude de celles-ci et également d’obtenir qu’elles soient complétées (éventuellement par une déclaration complémentaire) selon le type de traitements concernés,
Vous avez le droit d’obtenir l’effacement de vos données lorsque certaines conditions sont réunies :
Elles ne sont plus nécessaires à la finalité pour lesquelles elles ont été recueillies, ou
Lorsque le traitement était fondé sur votre consentement, vous avez retiré votre consentement, ou
Vous avez le droit de demander la limitation du traitement dans certains cas, à savoir :
en cas de contestation de votre part à propos de l’exactitude des données (cette limitation aura lieu pendant une période de temps limitée),
en cas de traitement illicite de notre part pour lequel vous préférez la limitation d’utilisation de vos données plutôt que l’effacement,
dans le cas où nous n’aurions plus besoin de vos données mais celles-ci vous sont nécessaires pour la contestation, l’exercice ou la défense de droits en justice,
si vous vous êtes opposé au traitement, nous limiterons le traitement pendant la période nécessaire à vérifier que les motifs légitimes pour Volta Medical qui fondent le traitement prévalent sur les vôtres. Nous vous informerons également avant de lever la limitation du traitement ;
Vous avez le droit d’obtenir le transfert de vos données au profit d’un tiers dans un format structuré, couramment utilisé et lisible par une machine. Ce droit n’est disponible que si le traitement que nous effectuons est fondé sur un contrat conclu entre nous ou si nous traitons vos données parce que vous y avez consenti ;
Vous avez le droit de vous opposer à ce que vos données soient traitées à des fins de prospection commerciale,
Vous avez le droit de vous opposer au traitement de vos données, dans une certaine mesure, au regard de votre situation particulière, lorsque le fondement du traitement est notre intérêt légitime (notamment en cas de prise de décision individuelle automatisé) ;
Si vous estimez que nous ne vous avons pas donné satisfaction suite à l’exercice de ces droits auprès de nous, vous pouvez saisir l’autorité de contrôle en la matière qui est, pour Volta Medical, la Commission Nationale Informatiques et Libertés www.cnil.fr

Volta Medical s’engage à examiner toutes les demandes relatives aux données personnelles. Si vous avez des questions sur cette Politique ou si vous souhaitez exercer l’un de vos droits, contactez-nous. Nous répondrons dans les meilleurs délais et, dans tous les cas, dans les délais prescrits par la réglementation. Nous vous répondrons par écrit, y compris par la voie électronique, ou également par oral si vous nous le demandez (voir plus haut les conditions applicables aux réponses orales).

L’exercice de vos droits s’exerce auprès du Délégué à la Protection des Données Personnelles (DPO) désigné par Volta Medical à l’adresse suivante : dpo@volta-medical.com

Le Délégué à la protection des données personnelles
Volta Medical a désigné un délégué à la protection des données personnelles dont la mission est de veiller à la diffusion d’une culture de protection des données personnelles au sein de Volta Medical, mais également auprès de ses partenaires, prestataires et clients. Il intervient dans les projets de traitements afin que les droits des personnes soient pris en compte. Il répond également à vos questions relatives à la réglementation relative aux données personnelles et à vos demandes d’exercice de droits.
Son adresse est : dpo@volta-medical.com

Privacy and Security Policy – Volta Medical –
Edition 1 – Updated on May 20, 2021

Who are we?
Volta Medical is the trade name of SUBSTRATE HD SAS.
We are a company with our headquarters in Marseille (France) at 65 Avenue Jules Cantini, 13006 Marseille, FRANCE. You can contact us at the following address: contact@volta-medical.com
The contact details of our Data Protection Officer are provided at the end of this document.

General overview of the privacy and security policy
Volta Medical’s personal data protection policy is a document that details how we collect the data of natural persons, how we use these data, and how we may share them in the context of our business operations and research and development activity.

This privacy and security policy covers Substrate HD SAS (Volta Medical), its websites and applications. The websites and applications are termed “platforms” in this policy.

In accordance with the goals of transparency and fairness that we set for ourselves and pursuant to the European regulation on personal data (Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data, referred to by the term “GDPR” in this document), our goal is for this Privacy and Security Policy to be understandable and easily accessible.

We have therefore divided it into several sections so that you can easily find the information that you are looking for.

It contains general information and information on the specific ways we use it. You can request more information at any time about any examples that have not been explained.

To facilitate reading, we will refer to this privacy and security policy by the shortened term of “Policy” throughout the rest of the document.

Who does this Policy apply to?
This policy applies to any natural person who has a relationship with our company and whose personal data is processed by us. It does not apply to employment relationships; another policy available to Volta Medical employees governs this relationship.
This Policy applies in particular to individuals who have agreed to participate in research. It also serves as an information document for anyone interested in the way in which we process personal data.
This Policy is available on our websites and may also be obtained free of charge on request by any other method. This request can be addressed to our Data Protection Officer whose contact details are provided below.

As part of our operations, we may work with entities which are not part of our group; if you would like to know how these entities process your data, we encourage you to contact them directly to learn about their commitments and/or to exercise your rights under the GDPR.

Policy changes
We may occasionally amend this Policy in order to reflect changes in our operations and/or to comply with our legal obligations.
In the event of any amendments, these will be made to the relevant pages of the Policy on the Platforms available online and we recommend that you consult this on every visit. However, if the amendments to this Policy are substantial, we will draw your attention to this by publishing a notice on our website and, where applicable, in the relevant section of each Platform.

What are personal data?
According to the GDPR, personal data are information about an identified or a directly or indirectly identifiable person. In this policy we refer to them by the terms “personal data” or “data”. The personal data that we process may be private or professional. Anonymous, anonymized, or aggregate data are not personal data.

What is the processing of personal data?
Processing is an operation on one or more personal data. We process personal data in accordance with the GDPR:
– for ourselves; in this case, we are the controller because we determine the purpose and the methods of the processing of the personal data, or
– for our customers, partners, or organizations; in this case we act as a processor as defined by the GDPR.

What are our commitments?
Transparency: Volta Medical undertakes to process personal data in a transparent, fair, and lawful way.
To this end, we will provide you with relevant information when we collect your data or when they come from a third party or technology. When we collect data, we will notify you if this collection is mandatory, which mandatory data you should provide, if this collection is to satisfy a statutory or contractual requirement, and if it is a condition for the provision of a service or a contract, as well as the consequences of failing to provide this data. If we do not collect your personal data directly from you, you will still receive, either at the time of our first contact (through our intermediary or one of our processors) or at the time when the data are collected by the intermediary, information that is identical to that which we must provide in the case of direct collection. You will, in particular, be informed about the source of the data. Where necessary, we will notify you about any automatic decision-making (and the rationale for it), including profiling. This means that we will strive to inform you of the expected scope and consequences of any processing involving you.

Proportionality: We also undertake to only process your personal data for specific, explicit, and legitimate purposes or in order to comply with our legal/statutory obligations. Your personal data are not subsequently processed in any way that is incompatible with these purposes. If there is compatibility with the purpose for which the data are collected, and we intend to carry out further processing of said data, we will provide you with any information you may need to understand this new purpose and any relevant information. When the processing falls within our legitimate interests, this means that we have determined that it does not harm your interests nor your fundamental rights and freedoms. You may request information on how we weigh these factors at any time

Necessity:  We will restrict the collection and processing of your personal data to only what is adequate, relevant, and limited to what is needed for our operations. We will only retain the data in question for a period not exceeding that which is necessary for the purposes for which they are processed. They may nonetheless be retained for research or statistical purposes as long as we implement appropriate technical and organizational measures to ensure your rights and freedoms.
We only disclose certain portions of your data to authorized recipients, such as departments at our group who have need of them, as well as to any relevant third parties for the efficient performance of our services, operations, and/or research, but also to parties participating in potential business transactions (for example, prospective buyers or investors or parties involved in a legal reorganization). We oversee relationships with the recipients of these data and our processors through the implementation of appropriate safeguards and in line with our legal obligations. We also disclose your data when required to do so under a legal or statutory obligation or if the recipients are legally entitled to access the data (such as competent judicial or administrative/health authorities, court-appointed bailiffs, etc.). The disclosure of these data is detailed in legal/statutory documents.

Accuracy:  We will ensure that your personal data are accurate and kept up to date. We will implement reasonable measures to ensure that inaccurate data, with respect to the purpose for which they are collected, are erased or rectified as soon as possible.

Security:  Your data are processed in a way that ensures appropriate security, particularly with respect to unauthorized or illegal processing and against loss or destruction by means of relevant technical and organizational measures.

Generally, we undertake to comply with all legal principles incumbent on us concerning personal data protection, including in particular:
– respect for rights conferred on individuals,
– compliance with storage periods (while taking into account, in accordance with applicable law, the purpose of the processing, contractual or operational requirements, and our legal/statutory obligations)
– obligations concerning international transfers, for which we will take the necessary measures to ensure compliance with European regulations in the case of recipients who are not located in a European Union member State.
– educating employees about data protection and the necessity of confidentiality,
– implementing organizational and technical measures to ensure effective compliance with these principles.

What personal data do we collect?
We may collect personal data directly from you or via a third party and by means of various sources. For example, directly from you means that when you submit a job or internship application or when you contact us for a product or service but also when you register for a training session or when you use our products and services.

We can also collect your personal data in the case of interaction with us, for example through an Internet connection (we can also collect your connecting IP address).

We can also collect your personal data through your healthcare facility in the context of healthcare that you receive: either because your physician/healthcare facility uses one of our products or services (we are then their processor) or because you have explicitly agreed to participate in research (we are then the controller).

The collection of personal data that we carry out is not the same for all processing. Personal data that is collected will vary according to the processing in question, their purpose, but also depending on the kind of relationship that exists with the data subject. These data may also vary in accordance with the category of the data subject.

For this reason, we collect data on the following categories of individuals:
– job/internship applicants, or similar,
– prospective customers, customers,
– training participants,
– visitors to our Platforms,
– individuals receiving healthcare from a healthcare professional using our products or services,
– individuals participating in research with their consent in the framework of a research protocol validated by the research center authorities,
– healthcare professionals including (investigating physicians, physicians using our products, members of our scientific advisory board)
– healthcare staff or staff involved in research,
– investors,
– employees and/or representatives of our service providers, partners, suppliers, contractors.

Information categories that we directly or indirectly collect:
NB: Depending on your relationship with us (research participant, employee of one of our suppliers, physicians using our products or services or a physician belonging to the scientific advisory board, etc.), the information that you directly or indirectly provide to us is not the same.

The information categories that you can provide us depending on our relationship with you are:
– personally identifiable information such as your last name, first name, mailing address, date of birth, your electronic mailing address, your telephone number (personal or work depending on the case), your country of residence, your nationality, your picture or clips of you, your place of practice,
– professional data such as your training, your qualifications, your professional experience, your salary, and your current and previous employers, your business identification number, your trade and specializations, any gifts and hospitality that you might receive;
– data concerning your health, such as care received by the data subject (duration of the procedure, radiofrequency, fluoroscopy, type of intervention carried out by the physician, procedure parameters, procedure outcome), extra-cardiac electrical signals collected as part of the procedure, electroanatomical data; these data are disclosed to us by the healthcare facility in the framework of research and in a pseudonymized and encrypted format;
– commercial data: data concerning an invoice, payment methods and dates, banking details, information about the offered/sold products/services,
– data concerning your consent to the collection of personal data.

We may also automatically collect information at our discretion during our relationship with you. For example, when you attend events that we organize.

The information categories that we collect when you browse on one of our Platforms or when you use our products or services:
– personally identifiable information such as your IP address
– geographical area, date and time of connection.

What processing do we carry out on personal data?
We process personal data for specific, explicit, and lawful purposes. All processing set out below do not apply to the same individuals; that depends on our relationship with you.

This relationship may be related to management of our business relationship and communication with you.
Your data will consequently be processed for the purposes of:
– making contact with prospective customers that we think may be interested in our products and services (except where such solicitation is explicitly unwanted) or our research, marketing, and advertising operations. Processing is based on our legitimate interest (legal basis for the processing).
– sales, technical and commercial support, after-sales/Maintenance, signing contracts, invoicing, managing litigation, contracting with processors, buying goods and services. Processing is here based on a contract currently in effect between us or pre-contractual steps (legal basis for processing).
–
We are the controllers. Data are only sent to authorized departments when necessary for their assigned tasks. Data may also be disclosed to processors when the transmission and processing of these data have been contractually codified to ensure sufficient safeguards with respect to personal data protection. Data are only stored for the period needed for each purpose and, where necessary, in compliance with legal storage obligations.

In the context of the provision of healthcare services
Volta Medical will carry out personal data processing for its customers (healthcare facilities, physicians) in the framework of providing operational support software called VX1 and The Recorder. The Recorder is an operational annotating tool that physicians are free to use. VX1 is a decision-making solution but is not a substitute for a physician who remains the sole decision-maker about the intervention to be carried out. This is not a diagnostic tool. Data processing is carried out under the supervision of physicians. The physician and/or healthcare facility is/are responsible for both the VX1 or The Recorder processing. Processing is based on a contract between us and the healthcare facilities or physicians (legal basis for the processing).

In the framework of our research operations not involving human subjects
To acquire and improve knowledge about the occurrence of cardiac rhythm disorders and the mechanisms and interactions affecting the heart, we have undertaken research based on using artificial intelligence algorithms on healthcare data collected during interventions. Upon completion of the research, our aim is to make it easier for physicians to make diagnoses. During the research, algorithms are applied to patients’ electrical signals which are collected after the medical intervention, with the consent of the patient or of their legal representative. The algorithms have no bearing on decision-making with respect to the data subjects in question. Data are collected on our behalf by healthcare facilities with whom we have a scientific research protocol and are submitted to us in a pseudonymized format. Processing of personal data is based on Volta Medical’s legitimate interest in research and development (legal basis for the processing), without, however, affecting the rights and freedoms of the data subjects. In the context of this research, we are controllers and the healthcare facilities/physicians who participate in collection on our behalf, are our processors as defined by the GDPR. Since participation in the research is optional, individuals participating in this research are notified by means of a specific notice to ensure they understand what it consists of and are aware of their rights. They are free to either participate in the research or refrain from doing so without any impact on the healthcare they receive. They are free to withdraw their consent at any time. Data are only sent to authorized departments when necessary for their assigned tasks. Data may also be disclosed to third-party processors when the transmission and processing of these data have been contractually codified to ensure sufficient safeguards with respect to personal data protection. Data are stored throughout the period needed for the research in addition to the period authorized by the regulations. At the end of this period, personal data are either anonymized or destroyed.
As part of this research, we also collect personal data concerning the professionals involved in the research, such as scientific officers (the legal basis for processing here is the contract made with us), participating physicians, and, where applicable, staff involved in research (the legal basis for processing is our legitimate interest or the contract made with them). A specific information notice is sent to these professionals within statutory timeframes and states the legal basis applicable to the processing. The personal data of professionals involved in the research are stored for the period needed for the research in addition to the period authorized by regulations. They are then archived in paper or electronic format for a period compliant with current regulations.

As part of our statutory obligations concerning transparency and the avoidance of conflicts of interest
In strict compliance with applicable regulation, we may compensate, pay, or award hospitality to healthcare professionals. We may also make donations and/or gifts for research or for organizations, or fund training in the field of healthcare. Consequently, we collect information needed for completing procedures required by regulations concerning transparency and the avoidance of conflicts of interest. The legal basis for this processing is compliance with our legal obligations. A GDPR-compliant notice is provided in this regard to the healthcare professionals and data subjects by appropriate means. The necessary data are processed by authorized staff internally and are also disclosed to certain authorized third parties (in particular regulatory bodies, such as the Council of the Order of Physicians, the French Transparency Register, and their foreign equivalents, etc.). You are encouraged to consult the confidentiality policies of these bodies. Depending on the context, the storage period that we apply may vary (duration based on the performance of a contract or research, duration of the requirement)

In the context of hiring
We collect information concerning you in order to manage job applications. These data are sent to both internal and external authorized hiring staff. We only store the data you disclosed to us for the period needed for assessing your application and for a longer period if we do not hire you, in order to offer future opportunities that might be suitable for you. You may nonetheless object or exercise any of your rights as stated below. Processing is based on the following principles: pre-contractual measures or a contract made between us on the basis of our legitimate interest (legal basis for the processing).

Cookies/Trackers
Cookies and trackers are small computer files downloaded to devices.

Our Platforms do not use cookies or trackers.
From our Platform, you can access to online videos hosted by this company. We deny the placing of cookies/trackers on your device by YouTube®. However, when browsing on YouTube®’s website, your data may be collected and used by this company for its own purposes. We invite you to read the privacy policy of this company.

Transfer outside of the EU
We may carry out data transfers to a country outside of the European Union in the framework of our operations. In this case, we will take all appropriate steps to ensure compliance with applicable regulations within the European Union. You may obtain a copy of these safeguards from our Data Protection Officer.

What are your rights concerning personal data?
Any natural person enjoys rights concerning their personal data granted by law. When the law allows it, we may invoice you for this service, for example when your request is manifestly unfounded or excessive.

Your rights will be exercised vis-a-vis the controller. Consequently, we are only able to respond to requests concerning processing for which we are the controller. We cannot fulfill your request when we act in the capacity of processor.

When you wish to exercise any of your rights, we may require information and documentation from you in order to verify your identity. This ensures no confidential information is disclosed to unauthorized individuals.

Subject to legal considerations allowing it or, for example, that we do not infringe on our duty of confidentiality towards a third party, or subject to it not seriously compromising the purpose of the processing, we will send you the requested information or will notify you of any additional data needed to process your request in a timely manner.

Your requests may be made in writing or verbally but in the case of the latter, you must be able to prove your identity by other means. However, we will keep a written paper record enabling us to know that: you made your request verbally, how you verified your identity, and the information that you provided to us.

What are your rights?
– You have the right to be informed when we directly or indirectly collect data from you.
– You have the right to be informed of whether or not we hold data about you, and if so, the personal data we hold about you, as well as the identity and contact information of the controller, the contact information of the Data Protection Officer, the purposes of the processing and its legal basis, our legitimate interests where applicable, the data categories collected, the recipients of the data, information about transfers to countries outside of the European Union, information about adequate safeguards, the storage period or if this is not possible, the criteria used to determine this period.
– You have the right to have your personal data rectified in the event they are inaccurate and to have them completed (including by means of a supplementary statement) according to the type of processing in question,
– You have the right to erasure of your data when specific conditions have been met:
o they are no longer necessary in relation to the purposes for which they were collected, or
o When you withdraw your consent on which the processing was based, or
– You have the right to request the restriction of the processing in some circumstances, namely:
o when you contest the accuracy of the data (this restriction will be in effect for a limited period of time),
o in the event of unlawful processing by us for which you prefer that your data be restricted rather than erased,
o in the event that we no longer need your data but these are needed by you for the establishment, exercise, or defense of legal claims,
o if you have contested processing, we will restrict processing during the period needed to verify that the lawful grounds invoked by Volta Medical for the processing prevail over yours. We will also notify you before removing the restriction of the processing;
– You have the right to have your data transferred to a third party in a structured, commonly used, and machine-readable format. This right is only available when the processing that we carry out is based on a contract made between us or when we process your data because you have consented to it;
– You have the right to object to your data being processed for the purposes of direct marketing.
– You have the right to object to your data being processed, to a certain extent, with respect to your specific circumstances, when the basis for this processing is our legitimate interest (particularly in the case of automated individual decision-making);
– If you believe that we have not satisfactorily dealt with the exercise of your rights, you may contact the relevant supervisory authority which, for Volta Medical, is the French Data Protection Authority (Commission Nationale Informatiques et Libertés) www.cnil.fr

Volta Medical undertakes to consider all requests concerning personal data. If you have any questions about this Policy or you wish to exercise one of your rights, please contact us. We will reply in a timely manner and in all cases within the regulatory mandated time frames. We will respond to you in writing, including by electronic means, or also verbally if you request it (please see above for the terms and conditions applicable to verbal replies).

To exercise your rights, please contact the Data Protection Officer (DPO) appointed by Volta Medical at the following address: dpo@volta-medical.com

Data Protection Officer
Volta Medical has appointed a data protection officer whose role is to ensure the dissemination of a culture of personal data protection at Volta Medical, but also with its partners, providers, and customers. He/she is involved in processing projects to ensure that individual rights are taken into account. He/she will also respond to any questions you might have about regulations concerning personal data and to your requests to exercise your rights.
His/Her address is: dpo@volta-medical.com