AGATE s'engage à protéger vos données personnelles dans le cadre de la prestation UNICANCER / 2026 / RD028 relatif au remboursement des frais patients en essais cliniques. La présente politique précise les traitements effectués, leurs finalités, les bases légales, les destinataires, les durées de conservation et vos droits.
1 · Responsable de traitement et sous-traitance
UNICANCER est responsable de traitement au sens de l'article 4 du RGPD pour l'ensemble des données traitées dans le cadre de la prestation RD028. AGATE intervient en tant que sous-traitant conformément à l'article 28 du RGPD, sur instructions documentées d'UNICANCER.
2 · Délégué à la Protection des Données (DPO)
Le DPO d'AGATE est joignable pour toute question relative à la protection de vos données :
- Gabriel ERDOGAN
- Email : gabriel.erdogan@agate-it.fr
- Adresse postale : DPO AGATE, 8 rue de la Terrasse, 75017 Paris
3 · Données collectées et finalités
| Catégorie | Données traitées | Finalité |
|---|---|---|
| Identité | Nom, prénom, date de naissance | Identification du patient bénéficiaire du remboursement |
| Contact | Email, téléphone, adresse postale | Notifications et communication patient |
| Données bancaires | IBAN, BIC, titulaire du compte | Exécution du virement de remboursement |
| Justificatifs | Tickets de transport, factures hôtel, parking, repas | Preuve des frais engagés et calcul du montant |
| Participation à un essai clinique | Code étude, code patient, dates de visite | Rattachement du remboursement à l'essai |
| Logs techniques | Adresse IP, user-agent, horodatages | Sécurité, audit, traçabilité (CCTP article 22.2.11) |
4 · Bases légales du traitement
Les traitements reposent sur les bases légales suivantes :
- Exécution d'une mission d'intérêt public (article 6.1.e RGPD) : la prise en charge des frais des patients participant à des essais cliniques relève de la mission de recherche scientifique en santé.
- Traitement nécessaire à des fins de recherche scientifique (article 9.2.j RGPD) : les essais cliniques sont régis par les Règlements UE 536/2014 (essais cliniques) et 2017/745 (dispositifs médicaux).
- Consentement éclairé du patient via le formulaire d'enrôlement signé, conformément aux Bonnes Pratiques Cliniques (ICH-GCP E6 R3).
- Obligation légale (article 6.1.c RGPD) pour la conservation des pièces comptables et justificatifs.
5 · Destinataires et sous-traitants
Vos données ne sont communiquées qu'aux destinataires strictement nécessaires :
- UNICANCER et le Centre de Lutte Contre le Cancer (CLCC) responsable de l'essai dans lequel vous êtes inclus
- Le personnel habilité d'AGATE (responsable administrative, responsable IT, DPO)
Les sous-traitants techniques d'AGATE, tous établis dans l'Union européenne :
| Sous-traitant | Pays | Rôle | Conformité |
|---|---|---|---|
| OVHcloud (OVH SAS) | France | Hébergement de la Plateforme et de la base de données | Certifié HDS v2 et ISO 27001 |
| iBanFirst SA | Belgique (UE) | Établissement de paiement, exécution des virements SEPA et SWIFT | Agréé DSP2 par la BNB n° 0849.872.824 |
| Brevo (Sendinblue SAS) | France | Envoi d'emails transactionnels (notifications, magic links) | RGPD-compliant, audits ISO 27001 |
| docTR (open-source, self-hosted) | France (sur infrastructure OVHcloud HDS) | Reconnaissance optique de caractères (OCR) sur les justificatifs | Self-hosted sur OVH HDS, aucune donnée ne sort du périmètre AGATE |
Aucun transfert de données personnelles hors Union européenne n'est effectué.
Le moteur OCR docTR utilisé pour l'analyse automatique des justificatifs est open-source et déployé sur l'infrastructure OVHcloud HDS d'AGATE. Les images traitées ne sont jamais transmises à un service tiers.
6 · Durée de conservation
- Données du dossier patient et justificatifs : 10 ans après clôture de l'essai clinique, conformément aux exigences de l'article 22 du CCTP RD028 et du Règlement UE 536/2014 sur les essais cliniques.
- Logs techniques et journaux d'audit : 1 an à compter de la date de l'événement.
- Données bancaires (IBAN, BIC) : 10 ans conformément à l'obligation comptable du Code de Commerce (article L.123-22).
7 · Sécurité
AGATE met en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité de vos données :
- Hébergement HDS v2 certifié OVHcloud, infrastructure souveraine France
- Chiffrement TLS 1.3 des communications réseau
- Chiffrement AES-256 au repos des bases de données et fichiers
- Authentification multi-facteurs et contrôle d'accès basé sur les rôles (RBAC)
- Journal d'audit immuable de toutes les opérations sensibles
- Sauvegardes quotidiennes chiffrées vers un stockage séparé OVH
- Notification de violation de données au DPO UNICANCER sous 24 heures (engagement plus court que les 72 heures CNIL)
8 · Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès à vos données et de copie
- Droit de rectification en cas de données inexactes
- Droit d'effacement (sous réserve des obligations légales de conservation)
- Droit à la limitation du traitement
- Droit à la portabilité de vos données
- Droit d'opposition au traitement
- Droit de définir des directives relatives au sort de vos données après votre décès
Pour exercer ces droits, contactez le DPO d'AGATE à l'adresse gabriel.erdogan@agate-it.fr. Une réponse vous sera apportée dans un délai d'un mois maximum.
Vous pouvez également contacter le DPO d'UNICANCER en tant que responsable de traitement, ou introduire une réclamation auprès de la CNIL (3 place de Fontenoy, 75007 Paris, www.cnil.fr).
9 · Cookies
La Plateforme utilise uniquement des cookies strictement nécessaires à son fonctionnement (cookie de session pour l'authentification, durée 8 heures). Aucun cookie publicitaire, aucun cookie de mesure d'audience tiers (ni Google Analytics, ni Meta Pixel, ni autre). Aucun consentement n'est requis pour ces cookies techniques (article 82 de la loi Informatique et Libertés).
10 · Évolution de la politique
La présente politique peut être amendée pour tenir compte des évolutions législatives, réglementaires ou contractuelles avec UNICANCER. La date de dernière mise à jour est indiquée en haut de cette page. En cas de modification substantielle, les utilisateurs concernés seront notifiés par email.