Butterfly Network (« Butterfly »)
FAQ sur la protection de la vie privée à travers le monde

Dernière mise à jour : 26 mars 2020

Cette FAQ sert à répondre aux questions fréquemment posées sur l'approche de Butterfly en matière de confidentialité, de protection des données et de sécurité, et notamment sur la manière dont Butterfly respecte les réglementations mondiales telles que le règlement général sur la protection des données (« RGPD ») et le Privacy Act en Australie et en Nouvelle-Zélande. Elle vise également à mieux informer nos clients, les professionnels de santé (tels que vous), sur les données relatives aux patients que vous fournissez à Butterfly.

Nous espérons que la FAQ vous sera utile. Veuillez noter toutefois qu'elle n'a pas valeur d'avis juridique et qu'elle n'a pas pour but d'informer votre entreprise des mesures qu'elle doit prendre pour se conformer à vos obligations légales.

Est-ce que Butterfly bénéficie d'un programme de protection de la vie privée ?

Oui, nous avons mis en place un programme complet de protection de la vie privée. 

Nous ne pouvons pas vous dire comment respecter les règles de confidentialité, mais nous pouvons vous parler du fonctionnement de nos services et des contrôles de sécurité que nous avons intégrés. Nous travaillons d'arrache-pied pour nous assurer que nos services disposent des meilleurs contrôles de sécurité du secteur, mais, en fin de compte, c'est à vous d'évaluer si votre utilisation de nos services est adaptée à votre entreprise. L'objectif de Butterfly est de vous aider à savoir si nos services vous conviennent grâce à :

  • L'ajout de conditions détaillées en matière de protection et de sécurité des données dans nos contrats types, y compris (lorsque nous traitons des données de l'UE et de la Suisse) d'un addenda sur le traitement des données conforme au RGPD.
  • La certification dans le cadre du programme de protection des données UE-États-Unis et Suisse-États-Unis afin de protéger les informations conformément aux principes de protection de la vie privée.  Pour en savoir plus sur la protection des données UE-États-Unis, consultez le site www.privacyshield.gov ou notre certification à l'adresse https://www.privacyshield.gov/participant?id=a2zt00000008hnlAAA&status=Active.  
  • La mise en place de mesures de sécurité techniques et organisationnelles pour protéger les informations personnelles que vous nous confiez, dont notamment les mesures décrites ici.
  • La nomination d’un délégué à la protection des données (DPD), responsable de la supervision de l’engagement continu de Butterfly en matière de confidentialité et de protection des données. Vous pouvez contacter notre DPD à l'adresse dpo@butterflynetinc.com.

Si vous avez d'autres questions sur la façon dont Butterfly respecte les règles de protection des données, veuillez envoyer un e-mail à notre DPD en utilisant l'adresse ci-dessus. 

Est-ce que Butterfly dispose de sa propre équipe de sécurité ? 

Oui, la sécurité des informations est d'une importance capitale pour Butterfly.  C'est pourquoi nous demandons à nos employés d'aider à garantir la sécurité des informations que nos clients nous confient. 

Notre équipe dédiée à la sécurité est dirigée par notre responsable des systèmes d'information.  Ce dernier est également appuyé par une équipe de sécurité des informations dévouée, dont le travail consiste à vérifier que nous avons mis en place les mesures de sécurité techniques et organisationnelles appropriées telles que celles décrites ici.

Quelles informations personnelles traitons-nous ?

En relation avec nos services, les professionnels de santé peuvent transmettre et héberger certaines données relatives aux patients sur la plateforme Butterfly (« données relatives aux patients »). Nos clients déterminent les données relatives aux patients qui seront transférées sur la plateforme, mais elles peuvent comprendre le nom du patient, son sexe, sa date de naissance ainsi que les scans du NDM réalisés à l’aide de l’appareil iQ. Ces données sont également susceptibles d’inclure les notes cliniques du professionnel de santé relatives à un patient et à ses analyses. 

Toutes les données relatives aux patients traitées par Butterfly sur sa plateforme sont considérées comme des informations personnelles et l’UE, ainsi que de nombreux pays hors UE comme l'Australie et la Nouvelle-Zélande, disposent de lois qui encadrent la collecte, l’utilisation, le stockage et le transfert des informations personnelles de leurs citoyens. Dans les faits, les données relatives aux patients sont souvent traitées comme des données sensibles (ou « données de catégorie spéciale ») et sont donc soumises à des exigences élevées en matière de protection et de conformité.

Butterfly a pris un certain nombre de mesures pour que ses clients puissent capturer et stocker en toute confiance les données relatives aux patients dans la plateforme Butterfly. Chez Butterfly, nous nous engageons à traiter toutes les informations personnelles que nous recevons conformément aux lois applicables en matière de protection des données et de confidentialité. 

Où sont enregistrées les données relatives aux patients ?

L'endroit où vos données sont stockées dépend de l'emplacement géographique de votre organisation. Nous utilisons actuellement les centres de données AWS suivants pour stocker les données :

  • Europe : Vos données sont stockées dans la région AWS eu-central-1 (Francfort).
  • Australie et Nouvelle-Zélande : Vos données sont stockées dans la région AWS ap-southeast-2 (Sydney).
  • Amérique du Nord et reste du monde : Vos données sont stockées dans les régions AWS us-east-1 (Virginie du Nord) et AWS us-west-2 (Oregon).
  • Canada : Vos données sont stockées dans la région AWS (Montréal, QC).

Les régions ne limitent pas l'accès client à Butterfly Network : elles ne font que dicter l'emplacement géographique où les données sont stockées et où les ressources de calcul sont fournies.  Veuillez noter que bien que vos données soient stockées dans les régions indiquées ci-dessus, elles peuvent être consultées par le personnel de Butterfly Network situé aux États-Unis, et ce dans le seul but d'assurer, sécuriser et maintenir les services conformément à notre contrat avec nos clients. Les données agrégées ou sous forme de pseudonyme peuvent également être stockées dans nos systèmes de stockage et de traitement centraux situés aux États-Unis.

Est-il vrai que les organismes publics de la Colombie-Britannique et de la Nouvelle-Écosse doivent conserver toutes les informations personnelles qu'ils détiennent au Canada ?

Non, c'est faux. La loi sur l'accès à l'information et la protection de la vie privée de la Colombie-Britannique et la loi sur la protection de la divulgation internationale des renseignements personnels de la Nouvelle-Écosse contiennent des exceptions permettant aux organismes publics de ces provinces de stocker des renseignements personnels à l'extérieur du Canada si la personne concernée a été identifiée et si elle a consenti à ce que ses renseignements soient consultés ou stockés dans une autre juridiction conformément à ces réglementations. La loi sur la protection de la divulgation internationale des renseignements personnels offre une marge de manœuvre supplémentaire aux dirigeants des organismes publics néo-écossais en leur permettant de stocker des renseignements personnels à l'extérieur du Canada si cela répond aux exigences nécessaires au fonctionnement de l'organisme public.

Le RGPD exige-t-il vraiment que les données à caractère personnel de l'UE restent dans l'UE ?

Non, le RGPD n'exige pas que les données à caractère personnel de l'UE restent dans l'UE. Le RGPD limite les transferts de données à caractère personnel de l'UE vers des pays hors UE comme les États-Unis, à moins que le destinataire ne fournisse des mesures de protection appropriées pour ces données. Cependant, l'addendum de Butterfly Network sur le traitement des données de l'UE, qui fait référence à notre certification sur la protection de la vie privée et aux clauses types de la Commission européenne, permet à nos clients de transférer en toute légalité les données à caractère personnel de l'UE à Butterfly Network situé aux États-Unis. Pour plus d'informations relatives à notre certification sur la protection de la vie privée, cliquez ici.

Quels sont les rôles respectifs de Butterfly, du patient et des professionnels de santé dans le cadre du RGPD ?

Lorsque les professionnels de santé transmettent les données relatives aux patients à Butterfly, ils (ou l’hôpital pour lequel ils travaillent) sont les contrôleurs, Butterfly est le sous-traitant et le patient est l’objet des données. En tant que sous-traitant, Butterfly s'engage à traiter les données relatives aux patients de l'UE conformément aux exigences de l'article 28 du RGPD dans son addenda relatif au traitement des données (DPA), dont une copie est annexée aux conditions générales (disponible sur demande). 

Butterfly agit parfois en tant que responsable du traitement dans le cadre de ses relations avec les professionnels de santé, par exemple lorsque la société collecte des informations sur les professionnels de santé à des fins de marketing, de vente et de gestion de la relation avec ledit professionnel (ou avec l’hôpital pour lequel il travaille).  

Butterfly peut, lorsque la loi applicable et ses clients le permettent, agir également en tant que contrôleur de certaines données relatives aux patients dans le cadre de ses activités de deep learning. Vous pouvez en savoir plus à ce sujet en consultant la déclaration de confidentialité de Butterfly, qui explique comment nous utilisons les données relatives aux patients à cette fin. 

Que fait Butterfly pour se conformer et aider ses clients à se conformer au RGPD ?

Aidé de conseillers externes spécialisés, Butterfly a lancé un projet de conformité destiné à aborder la question du RGPD. Les mesures spécifiques que nous avons prises, outre celles décrites ci-dessus, comprennent :

  • La modification des contrats établis avec nos fournisseurs et nos clients afin de veiller à la conformité des conditions avec le RGPD.
  • La garantie que nos politiques et notre déclaration de confidentialité expliquent clairement l’engagement de Butterfly envers le RGPD et les droits des personnes à l’égard de leurs données. Vous pouvez consulter la déclaration de confidentialité de Butterfly ici.
  • La formalisation de nos processus régissant les droits des personnes objets des données afin de pouvoir aider plus efficacement nos clients à répondre aux demandes des personnes objets des données.
  • La garantie de l’utilisation de mesures de sécurité solides et appropriées pour protéger toutes les données collectées et traitées sur des systèmes détenus ou gérés par Butterfly.
  • La réalisation d’évaluations d’impact sur la protection des données afin d’identifier et de minimiser les risques pour les données relatives aux patients.
  • L'enregistrement du traitement que nous effectuons vis-à-vis des informations personnelles. 

Butterfly Network s’engage à respecter la conformité au RGPD et en comprend l’importance pour ses clients. 

Comment Butterfly Network respecte-t-elle les lois de l’UE en matière d’exportation des données ?

La législation de l’UE sur la protection des informations interdit l’exportation des informations personnelles en dehors de l’Espace économique européen (« EEE ») si certaines garanties ne sont pas en place. 

Le siège social de Butterfly Network est aux États-Unis, mais la société propose ses services à des clients du monde entier, y compris à des professionnels de santé situés dans l’EEE et en Suisse. Par conséquent, Butterfly traite des informations personnelles provenant de l’EEE et de Suisse sur ses serveurs et installations basés aux États-Unis. 

Afin de rester conforme à la législation européenne en matière d'exportation des données, Butterfly s'est autocertifié vis-à-vis du bouclier de protection des données UE-États-Unis et Suisse-États-Unis afin de faciliter le transfert licite de données de l’EEE et de la Suisse vers Butterfly en vue de leur traitement aux États-Unis. Pour en savoir plus sur la protection de la vie privée, consultez le site www.privacyshield.gov ou notre certification à l'adresse https://www.privacyshield.gov/participant?id=a2zt00000008hnlAAA&status=Active.  

En outre, lorsque le transfert n'est pas couvert par la certification de Butterfly vis-à-vis de la protection de la vie privée, Butterfly promet de traiter les données EEE et suisses conformément aux clauses contractuelles types de l'UE (également appelées « clauses types »). Il s’agit de conditions d’exportation de données standard qui ont été préapprouvées par la Commission européenne. En les signant, Butterfly s’engage à protéger les informations personnelles (y compris les données relatives aux patients) fournies par ses clients résidents de l’UE selon les normes de protection des données de l’UE.

Qu’en est-il des tiers qui travaillent avec Butterfly ?

Lorsque Butterfly conclut un contrat avec un tiers qui, de quelque manière que ce soit, interagit avec les données relatives aux patients, Butterfly exige au préalable que ces tiers soient soumis à une évaluation de la sécurité et des risques afin de s’assurer qu’ils respectent les mêmes normes que Butterfly pour les informations personnelles. Butterfly veille en outre à ce que ces sociétés soient contractuellement tenues de mettre en œuvre et de maintenir des mesures de sécurité équivalentes pour protéger les données relatives aux patients. 

Notre liste actuelle de sous-traitants est la suivante. À mesure que notre entreprise grandit et évolue, les sous-traitants auxquels nous faisons appel sont également susceptibles de changer. Nous vous invitons à régulièrement vérifier les éventuelles mises à jour.

Nom de l’entité

Société
Lieu
Amazon Web Services, Inc. (AWS)
États-Unis
Asana
États-Unis
Aptible, Inc.
États-Unis
Auth0, Inc.
États-Unis
Avalara, Inc.
États-Unis
Celigo, Inc.
États-Unis
DHL
Monde
Google LLC (re : G-Suite, Google Cloud Platform)
États-Unis
Heap, Inc
États-Unis
Hotjar, Ltd.
États-Unis
LaunchDarkly
États-Unis
New Relic, Inc.
États-Unis
Oracle
États-Unis
Stitch Data
États-Unis
Saleforce.com, Inc.
États-Unis
Segment
États-Unis
Slack Technologies, Inc.
États-Unis
Splunk Inc.
États-Unis
Stripe
États-Unis
Webflow
États-Unis
Zapier Inc.
États-Unis
Zendesk, Inc.
États-Unis

Devons-nous avertir les patients du traitement effectué par Butterfly ? 

Les lois sur la protection des données et de la vie privée de certains pays exigent que les patients reçoivent des informations sur la façon dont leurs données seront utilisées et divulguées (y compris sur les destinataires et sur l'agence qui les détient).  Vous devrez donc avertir du traitement effectué par Butterfly dans certains cas. Si cela est obligatoire dans votre juridiction, veuillez fournir aux patients un lien vers la déclaration de confidentialité relative aux patients de Butterfly afin qu'ils sachent comment celui-ci peut traiter et utiliser leurs informations personnelles dans le cadre de ses services. 

Que faire si l'un de mes patients demande à consulter ses données relatives aux patients ?

Certaines lois sur la protection de la vie privée (y compris le RGPD) donnent aux patients le droit de demander une copie des données que vous détenez à leur sujet. C’est ce qu’on appellerait une « demande d’accès aux données personnelles ». Si un patient adresse une demande d’accès à ses données directement auprès de Butterfly, nous nous engageons, en notre qualité de sous-traitant, à vous les transmettre dès que possible et, dans les cas où les données demandées sont détenues par Butterfly, Butterfly vous fournira ces données conformément au contrat qui nous lie avec vous. 

Les patients peuvent-ils demander autre chose ?

Outre le droit d’accès aux données les concernant, les patients peuvent également bénéficier d'autres droits, en vertu des lois applicables en matière de protection des données et de confidentialité (comme le RGPD dans l'UE). Ils peuvent inclure le droit de faire rectifier des données inexactes ou incomplètes, de supprimer leurs données ou de vous demander de cesser leur traitement. Les patients peuvent également vous demander de transférer les données qu’ils vous ont fournies à un autre professionnel de santé. Si un patient souhaite exercer l’un de ses droits au regard de ses données relatives aux patients, nous vous fournirons toute aide justifiée pour répondre à ces demandes.  Si un patient nous contacte directement pour exercer ces droits, nous vous transmettrons sa demande dès que possible.  

Qu’en est-il des dossiers que Butterfly conserve sur les professionnels de santé ?

Butterfly collecte également des informations personnelles sur les clients/professionnels de santé afin de promouvoir les produits Butterfly, de les associer à un compte Butterfly, de gérer les commandes et de répondre aux demandes de renseignements. Ces données sont protégées par les mêmes mesures de sécurité. Notre déclaration de confidentialité contient des informations sur la manière dont Butterfly traite les informations personnelles des professionnels de santé et sur les droits de ces derniers.

Où puis-je obtenir davantage d’informations ?

En cas de questions ou si vous avez besoin d’aide, veuillez nous contacter à l'adresse dpo@butterflynetinc.com.