Curia | Empowering Cancer Patients

Politique de confidentialité de l’application CURIA

Utilisation de notre application mobile

I. Informations relatives à la collecte des données personnelles
(1) Nous mettons à votre disposition une application mobile (« CURIA »), téléchargeable sur un appareil mobile. Nous fournissons dans ce qui suit des informations sur la collecte de données personnelles lors de l’utilisation de CURIA. On entend par données personnelles toutes les données qui peuvent être reliées personnellement à vous, par exemple le nom, l’adresse, les adresses électroniques, le comportement de l’utilisateur.

(2) The person responsible in accordance with Art. 4 para. 7 of the EU General Data Protection Regulation (GDPR) is
Innoplexus AG,
Frankfurter Str. 27, 65760 Eschborn, Germany
info@curia.app (see our imprint: www.curia.app/impressum) (“Innoplexus“).
The company data protection officer of Innoplexus can be contacted at the above address, at Datenschutzabteilung, or at compliance@innoplexus.com.

(3) Lorsque vous nous contactez par e-mail ou via un formulaire de contact, nous enregistrons votre adresse e-mail et, si vous les avez fournis, votre nom et votre numéro de téléphone pour répondre à vos questions. Nous supprimons les données générées dans ce cadre une fois que le stockage n’est plus nécessaire ou, dans le cas d’obligations légales de stockage, en limitons le traitement.

(4) Si nous faisons appel à des prestataires de services sous contrat pour certaines fonctions de notre offre ou si nous souhaitons utiliser vos données à des fins publicitaires, nous vous informerons en détail des processus respectifs ci-dessous. Nous indiquerons également les critères spécifiés pour la période de stockage.

II. Traitement des données personnelles lors de l’utilisation de CURIA
Lors du téléchargement de CURIA, les informations requises sont transférées à l’App Store ou Google Play store (https://www.apple.com/legal/privacy/en-ww/ et https://policies.google.com/privacy?hl=en-US.), notamment le nom de l’utilisateur, l’adresse e-mail, l’heure du téléchargement et le numéro d’identification de l’appareil individuel. Nous n’avons aucune influence sur cette collecte de données et n’en sommes pas responsables. Nous traitons les données uniquement dans la mesure nécessaire au téléchargement de CURIA sur votre appareil mobile. Ce traitement a lieu sur la base de votre consentement conformément à l’article 6 paragraphe 1 lettre a du RGPD.

La désinstallation entraîne l’arrêt du traitement actif de vos données personnelles.
30 mois après la désinstallation, les données seront supprimées en raison de la cessation de la finalité, sauf si nous sommes soumis à des obligations légales de conservation. Nous acceptons la perte de finalité après cette période, car nous supposons qu’il n’est plus probable que vous utilisiez à nouveau nos services après cette période. Toutefois, afin de vous donner la possibilité de restaurer votre profil après une période plus courte, par exemple parce que vous avez supprimé l’application antérieurement par manque de nécessité, nous stockons temporairement les données pour vous.

Toutefois, si vous souhaitez révoquer votre consentement et ne pas seulement suspendre temporairement son utilisation, vous pouvez le faire en cliquant sur le bouton « Supprimer toutes mes données personnelles ».

§ 1 Lors de l’utilisation de CURIA, nous collectons les données suivantes dans les fichiers log:
- Adresse IP, également dans les API de log
- Date et heure de la demande
- Contenu de la demande (page concrète, endpoint API concret)
- Statut d’accès/Code de statut HTTP
- Quantité de données transférées dans chaque cas
- Dispositif final d’où provient la demande
- Agent utilisateur
- Système d’exploitation et son interface
- Langue et version de l’agent utilisateur.
- CURIA-Application Version

D’une part, ces données nous sont obligatoires d’un point de vue technique afin d’offrir les différentes fonctions de CURIA ainsi que pour assurer la stabilité et la sécurité de CURIA et, d’autre part, pour permettre une utilisation confortable des fonctions. Cette finalité de traitement représente également l’intérêt légitime qui, selon l’article 6 paragraphe 1 point 1 lettre f du RGPD, constitue la base juridique du traitement des données.
Les adresses IP dans les fichiers log sont supprimées après 14 jours.

§2 En outre, lorsque CURIA est démarré pour la première fois, nous attribuons à chaque installation un identifiant d’installation unique, qui est stocké sur un serveur Innoplexus. Il ne contient aucune donnée personnelle. Si vous supprimez CURIA et la réinstallez ensuite, un nouvel ID d’installation sera généré. Celui-ci sera attribué de telle façon qu’une connexion au serveur Innoplexus puisse être établie lors du démarrage de CURIA sur l’appareil mobile pour vérifier si la version de CURIA que vous utilisez est toujours à jour. CURIA peut être mise à jour pour implémenter de nouvelles fonctionnalités ou pour assurer la sécurité des données.

§3 Vous devez vous inscrire en indiquant vos nom et prénom, votre adresse e-mail, votre numéro de téléphone afin de pouvoir bénéficier des services gratuits de CURIA. Il en résulte un contrat d’utilisation entre Innoplexus et vous et vous recevrez votre propre compte utilisateur. La base juridique de cette démarche est l’article 6 paragraphe 1 point 1 lettre b du RGPD, car nous utilisons ces données personnelles pour l’exécution de ce contrat. Les données que vous fournissez seront transférées dans le Google Cloud et stockées sur un serveur en Allemagne. Le Google Cloud est exploité par Google inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043 États-Unis. Nous avons conclu avec Google des clauses contractuelles dites standard, qui garantissent un niveau approprié de protection des données.

Vous pouvez également vous connecter via votre compte utilisateur Google. À cette fin, nous recueillons les données personnelles suivantes :
- Nom et prénom
- Adresse e-mail

Pour savoir dans quelle mesure les données personnelles que vous avez communiquées dans le cadre de l’utilisation ultérieure de CURIA seront traitées par Google, veuillez consulter la politique de confidentialité de Google.

Vous pouvez également vous connecter via votre compte utilisateur Apple. À cette fin, nous recueillons les données personnelles suivantes :
- Nom et prénom
- Adresse e-mail
Pour savoir dans quelle mesure les données personnelles que vous avez communiquées dans le cadre de l’utilisation ultérieure de CURIA seront traitées par Apple, veuillez consulter la politique de confidentialité de Apple.

Vous pouvez supprimer votre compte à tout moment en cliquant sur le bouton « Supprimer mes données personnelles » dans CURIA. Les données personnelles traitées par nos soins seront supprimées conformément à l’article 17 du RGPD ou bloquées ou limitées dans leur traitement conformément à l’article 18 du RGPD. Les données stockées par nos soins seront supprimées dès que la finalité du stockage ne s’applique plus et que la suppression n’est pas contredite par d’éventuelles obligations légales de stockage.

§4 Si vous souhaitez recevoir des informations sur les options de traitement possibles, les médecins et les études cliniques, vous pouvez remplir le questionnaire fourni par nos soins avec des questions sur votre tableau clinique. Des paramètres spécifiques au cancer seront demandés, tels que des informations sur les mutations génétiques, le statut du cancer concerné, etc. Les informations que vous fournissez sont volontaires et ont pour seul but de nous permettre de vous fournir des informations.

Le traitement est fondé sur votre consentement (article 6, paragraphe 1, lettre a du RGPD). Vous êtes libre de révoquer votre consentement à tout moment avec effet pour l’avenir sans donner de raisons. Cela n’affecte pas la légalité du traitement effectué jusqu’alors.

Vous avez également la possibilité de vous inscrire pour participer à des études cliniques. Pour ce faire, vous devez fournir les informations suivantes : des informations sur l’étude à laquelle vous souhaitez vous inscrire, votre localisation, vos coordonnées (numéro de téléphone ou adresse électronique), des informations sur vos critères médicaux d’inclusion et d’exclusion. La fourniture de ces données personnelles est volontaire et repose sur votre consentement (article 6 paragraphe 1 lettre a du RGPD). La finalité du traitement est de mener à bien la procédure de sélection. Vous êtes libre à tout moment de révoquer votre consentement avec effet pour l’avenir sans donner de raisons en sélectionnant l’option « Supprimer toutes mes données personnelles » dans l’application. Vous avez ainsi la possibilité de supprimer toute donnée personnelle. Après avoir cliqué sur l’option « Supprimer toutes mes données personnelles », vous recevrez un e-mail automatisé confirmant la suppression de vos données. Cela n’affecte pas la légalité du traitement qui a eu lieu jusqu’à la révocation.

Les questionnaires remplis et les demandes de participation à des essais cliniques sont transférés vers le Google Cloud et stockés sur un serveur en Allemagne. Google Cloud est exploité par Google Inc. 1600 Amphitheatre Parkway, Mountain View, CA 94043 États-Unis. Nous avons conclu avec Google des clauses contractuelles dites standard, qui garantissent un niveau approprié de protection des données. Si vous avez rempli tous les critères d’éligibilité pour la demande d’essai clinique, les données personnelles que vous avez fournies seront transférées au tableau de bord interne des essais cliniques d’Innoplexus. Ces données peuvent être consultées par l’équipe de CURIA, qui est en partie basée en Inde au sein d’Innoplexus Pune. Ici, un niveau approprié de protection des données est assuré par la conclusion de clauses contractuelles standard.

§5 Nous utilisons Google Analytics et Google Firebase, deux services fournis par Google inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043 États-Unis, pour

  1. analyser l’utilisation générale de CURIA, notamment les installations/désinstallations de l’appli, les questionnaires sur les maladies, les activités de recherche de traitement et d’inscription à des essais cliniques, les démarrages de sessions et les oublis de mots de passe (Google Analytics).
  2. collecter des données de diagnostic pour assurer la stabilité technique de l’application (Google Firebase).

Votre adresse IP sera traitée. Nous utilisons la fonction d’anonymisation de Google, par laquelle l’adresse IP est raccourcie dans l’UE/EEE à des fins d’anonymisation et est transmise sous forme raccourcie aux serveurs de Google aux États-Unis. Nous utilisons les rapports anonymisés sur l’utilisation générale de CURIA créés par Google et qui nous sont transmis afin d’améliorer continuellement notre service et d’accroître la convivialité de CURIA. Les rapports que nous recevons ne contiennent aucune donnée personnelle. Nous traitons les informations aux fins susmentionnées sur la base de votre consentement préalablement accordé conformément à l’article 6 paragraphe 1 lettre a du RPGD.

Les données sont traitées aux États-Unis, pour lesquels nous avons des clauses contractuelles dites standard avec Google qui garantissent un niveau approprié de protection des données.

Les données seront supprimées lorsqu’elles ne seront plus nécessaires à la finalité de leur collecte, car l’option de collecte et de traitement ultérieur des informations sur le diagnostic et le comportement d’utilisation dans CURIA a été désactivée.

Vous êtes libre de révoquer votre consentement à tout moment, avec effet pour l’avenir, sans indication de motifs. Cela n’affecte pas la légalité du traitement qui a eu lieu jusqu’alors.

III Processing of personal data when using the “Second Opinion” feature

After you have registered in the CURIA app and created an user account, you can use the “Second Opinion” feature to obtain a second medical opinion on your cancer. In addition to confirming your cancer diagnosis, this contains suggestions for possible therapies, further steps to take, and advice for family members.

§1 Before a second medical opinion can be obtained, documentation about your cancer is needed that is as comprehensive as possible. For this purpose, it is first necessary to provide basic data, which is limited to your date of birth, gender, initial diagnosis of your cancer, address, e-mail address and telephone or mobile phone number. In addition, the following documents must be uploaded to the CURIA app:

– Physician’s letter
– Computed tomography (CT) scan report,
– Magnetic resonance imaging (MRI) report,
– Report of positron emission tomography (PET),
– Result of pathological examination,
– Result of molecular examination,
– Result of ultrasound examination

In addition, you have the option to upload further documents via a contact form integrated in the CURIA app, as well as to write requests or comments that should be taken into account by the physician when preparing the second opinion. The medical data you have uploaded, together with your basic data (excluding e-mail address and telephone number) and a patient ID assigned to you, will be transmitted to a physician who specializes in treating the cancer diagnosis you have specified. This physician will prepare a second opinion and send it to you via the CURIA app. The medical data will not be passed on to third parties.
The processing is based on your consent (Art. 9 para. 2 lit. a DSGVO). You are free to revoke your consent at any time without giving reasons with effect for the future. This will not affect the lawfulness of the processing carried out until then. The aforementioned health data will be processed for the purpose of obtaining a second opinion.

Storage duration

Your data will only be stored as long as it is necessary for the aforementioned purposes or as long as legal retention periods require us to store it.

If you revoke your consent, your data will be deleted immediately if we do not need it for aa) fulfilling a legal obligation or bb) asserting, exercising or defending legal claims. After statutory retention periods and all limitation periods expire, we delete your data irrevocably.

§ 2 Before the documentation you provide about your cancer can be forwarded to a physician for a second opinion, you have to select a transaction method. You can pay all sums and amounts payable to physician in fiat or crypto currency (i.e Amrit tokens) at the time of payment.

For transactions using the utility token Amrit, you will need an ERC20 compatible wallet. If you initiate the transaction via your wallet, whereas the respective wallet services provider shall be responsible for such performance of your digital wallet, the data associated with such transaction (eg: amount of Amrit tokens, token address, public keys/wallet address of receiver and sender, timestamp) will be verified and transferred to the recipient by your authorization which contains no confidential information, private keys or credentials and can be publicly broadcast.

Alternatively, you can also pay with a credit card. This requires you to provide the credit card number, expiration date, security code, your home state, and zip code. Your transaction data will be processed to generate an invoice for the second opinion obtained. The legal basis for the processing of your transaction data is Art. 6 para. 1 p. 1 lit. b DSGVO.

We delete your personal data when it is no longer necessary to achieve the purpose of any further processing. This is usually the case after the expiry of the limitation period, starting with the end of the year in which the contractual relationship is terminated, for example by deleting your user account. After the statute of limitations has run, your data will be blocked and deleted after the statutory retention obligations have expired.

§3 You also have the option of providing feedback on the service offerings in the CURIA app. The feedback you have written can be viewed by other users of the CURIA app. Your personal data is processed on the basis of Art. 6 (1) sentence 1 lit. f DSGVO. Data processing in the context of feedback serves the purpose of quality assurance. This is also our legitimate interest.

Storage period

You can object to the processing of your personal data at any time, provided that there are no compelling reasons for the processing that merit protection.

Your data will only be stored as long as is it necessary for the aforementioned purposes or as long as legal retention periods require us to store it.

If you object to the processing, your data will be deleted immediately if we do not need it for aa) fulfilling a legal obligation or bb) asserting, exercising or defending legal claims. After statutory retention periods and all limitation periods expire, we delete your data irrevocably.

§4 If you register as a treating physician in the CURIA app, the following personal data will be collected from you in order to open an account:

– Name
– Address
– Phone number
– Specialization
– Registration/medical license number
– Degree
– Other information

Following registration, you can complete your existing profile in the CURIA app. The information provided can be viewed by users. The following information must be provided by you in order for users to contact you and request a second opinion:
– Title
– First and last name
– Address
– Contact information (primary email address and phone number)
– Name of the hospital you work for
– Date of license to practice
– Number of years of professional experience
– Registration/medical license number
– Degree
– Bank data or Wallet ID

To receive transactions for your consultation, you must at least provide bank details or your ERC20 compatible wallet ID to receive Amrit tokens. If the user initiates a transaction via their ERC20 compatible wallet, the data associated with the transaction (amount of Amrit tokens, public keys of receiver and sender, timestamp) is transferred to the Blockchain and stored there which contains no confidential information, private keys, or any credentials. Your transaction data is processed to issue an invoice or bill.

Optionally, you can also specify the following information:
– City
– Additional details about the place of residence (city, country, postal code)
– Additional contact information (secondary email address and phone number)
– Specializations
– Subcategories of specializations
– Memberships in the health sector
– Recent publications
– Profile picture
– Resume (CV)

In addition, in the CURIA app, you will have to deposit your time availability, i.e. indicate date and time, so that a consultation can be scheduled with users who have registered as patients.
The legal basis for the processing of your personal data in connection with the opening of a user account for the provision of a second opinion and invoicing is Art. 6 para. 1 p. 1 lit. b DSGVO. The optional information you provide is processed on the basis of Art. 6 para. 1 p. 1 lit. f DSGVO. The legitimate interest here is to create trust between users of the CURIA app, which leads to a positive perception among (potential) users.

We delete your personal data when it is no longer required to achieve the purpose of any further processing. This is usually the case after the expiration of the statute of limitations, beginning with the end of the year in which the contractual relationship is terminated, for example by deleting your user account. After the statute of limitations has run, your data will be blocked and deleted after the statutory retention obligations have expired.

You may object to the processing of your personal data processed on the basis of Art. 6 (1) lit. f DSGVO at any time, unless there are compelling legitimate grounds for the processing.

III. Traitement des données à caractère personnel lors de l’utilisation de la fonctionnalité Jumeaux Curia

Un Jumeau Curia est un patient de la communauté Curia dont le diagnostic de cancer est similaire au vôtre. Les Jumeaux Curia peuvent utiliser un chat privé pour partager leurs expériences. Le chat est basé sur la technologie blockchain Ethereum. L’objectif de cette nouvelle fonctionnalité est de rapprocher les patients atteints de cancer.

§ 1 Dans le cadre d’un processus de jumelage, vous, en tant qu’utilisateur, serez mis en relation avec jusqu’à 3 autres malades du cancer, Jumeaux Curia, ayant activé cette fonctionnalité et dont le profil est similaire. Afin de trouver un Jumeau Curia correspondant, nous comparons les paramètres suivants, que nous recueillons auprès de vous pour mener à bien le processus de jumelage :

– Indication du cancer
– Stade
– Récepteurs hormonaux
– Marqueurs génétiques
– Sexe
– Age
- Autres données de santé, selon le type de cancer
– Distance

L’objectif de cette fonctionnalité est de réunir des patients atteints de cancer et de promouvoir l’échange d’expériences et d’informations entre les patients qui ont un diagnostic de cancer similaire. Le traitement est fondé sur votre consentement explicite (article 6, paragraphe 1, lettre a du RGPD). Vous êtes libre de révoquer votre consentement à tout moment sans donner de raisons avec effet pour l’avenir. Cela n’affecte pas la légalité du traitement effectué jusqu’alors.

Si la dernière date de connexion remonte à plus de 6 mois, le profil correspondant est automatiquement supprimé de la base de données et ne peut plus être mis en relation avec de nouveaux Jumeaux Curia.

§ 2 Les Jumeaux Curia peuvent échanger dans un chat intégré à CURIA. Les patients doivent s’inscrire à cette fonctionnalité et choisir un pseudonyme avant d’être jumelés avec leur(s) Jumeau(x) Curia. Ce pseudonyme peut être modifié dans les paramètres. Lorsque les utilisateurs échangent des messages via le chat intégré, les messages cryptés de bout en bout sont stockés sur une blockchain publique Ethereum.

À cette fin, Innoplexus a fourni un nœud qui assume la fonction d’intermédiaire pour transmettre le message de chat à la blockchain Ethereum. Avant qu’un message ne soit transmis et stocké sur la blockchain, il est entièrement crypté localement sur l’appareil mobile du patient à l’aide d’un cryptage de bout en bout. La clé privée nécessaire au cryptage du message est stockée sur votre appareil physique pendant tout ce temps et n’est pas partagée avec Innoplexus ou d’autres utilisateurs. Ce n’est que lorsque le message crypté est reçu par le Jumeau Curia que ce message est décrypté avec une clé correspondante sur l’appareil mobile du Jumeau Curia qui doit recevoir le message.

L’objectif de cette fonction de chat est de permettre l’échange d’informations et d’expériences de manière simple et sans obstacle majeur, tout en offrant un niveau de sécurité élevé. Le traitement est fondé sur votre consentement (article 6, paragraphe 1, lettre a du RGPD). Vous êtes libre de révoquer votre consentement à tout moment sans donner de raisons avec effet pour l’avenir. Cela n’affecte pas la légalité du traitement effectué jusqu’alors.

Dans ce cas, le chat associé à votre profil sera supprimé de votre appareil. Dans ce cas, la clé privée est perdue et personne ne peut décrypter les données, pas même CURIA ou Innoplexus AG. Le pseudonyme et le contenu du chat sur l’appareil du Jumeau Curia avec lequel des messages ont été échangés disparaissent également. En outre, votre profil sera automatiquement supprimé de la base de données des Jumeaux Curia si la dernière date de connexion remonte à plus de 6 mois.

L’emplacement du serveur ne peut généralement pas être attribué à un pays spécifique en raison de l’infrastructure blockchain (blockchain publique Ethereum), mais en cryptant le contenu du chat à l’aide d’un procédé de cryptage à clé publique, les données sont hautement pseudonymisées pour tout le monde, de sorte qu’un transfert de données vers un pays tiers peut être considéré comme « sûr ».

Les métadonnées hachées ne sont pas stockées sur la blockchain Ethereum.

V. My Data Vault

The “My Data Vault” feature is offered via the CURIA app. This allows users to upload their medical documents and store them in predefined folders.

§ 1 The documents are encrypted and assigned to the user’s account. For this purpose, a secondary ID is generated for the uploaded documents, which is derived from the user’s email ID, the unique ID of the document, the hash ID of the document, and the uploaded size of the document in bytes. The secondary ID is stored on the Ethereum blockchain, ensuring that the document is immutable and its affiliation is authentic.

The documents are encrypted using an asymmetric encryption method. The user has the private key, so no third parties can access the contents of the folders. Innoplexus also accesses the key in an automated process to enable the user to download or share the data with other CURIA users. No documents are viewed by Innoplexus employees. The user can delete the uploaded medical documents at any time.

The processing is based on your explicit consent (Art. 6 para. 1 lit. a DSGVO). You are free to revoke your consent at any time without giving reasons with effect for the future. This does not affect the lawfulness of the processing carried out up to that point.

Innoplexus ensures a high level of data security through the encryption techniques used, whereby the exclusive control over the uploaded documents lies with the respective user. Due to this data sovereignty, Innoplexus is not able to delete the stored documents for the user, as only the user has the private key, which is required for a deletion.

IV: E-mail-Marketing

Nous ne vous enverrons des informations commerciales par voie électronique (par exemple, par courrier électronique) que si vous nous avez activement donné votre consentement pour ce traitement. Nous vous contacterons pour vous informer des progrès réalisés par rapport aux derniers développements de la recherche, des conseils, sur nos produits et services, etc. Nous vous informons également de l'introduction de nouvelles fonctions, nous annonçons la conclusion de nouveaux partenariats et ce que cela signifie pour vous lorsque vous utilisez CURIA.

Vous pouvez retirer votre consentement à tout moment en cliquant sur le lien " Se désabonner " fourni dans les e-mails. Même si vous ne souhaitez pas recevoir de messages promotionnels de notre part, vous continuerez à recevoir des messages administratifs de notre part.

V. Vos droits

(1) Vous disposez des droits suivants à notre égard concernant vos données personnelles :

– Droit d’accès — Art.15 RGPD ;
– Droit de rectification ou à l’effacement – Art.16 et 17 RGPD ;
– Droit à la limitation du traitement — Art.18 RGPD ;
– Droit d’opposition au traitement — Art.21 RGPD ;
– Droit à la portabilité des données — Art.20 RGPD ;
– Droit de retrait conformément à l’Art. 7 paragraphe 3 du RGPD.

(2) Vous avez également le droit de porter plainte auprès de l’autorité de surveillance et de protection des données de votre choix concernant le traitement de vos données personnelles par notre association. Est responsable est ce qui nous concerne :

Hessische Beauftragte für Datenschutz und Informationsfreiheit
Gustav-Stresemann-Ring 1
Postfach 3163
65 189 Wiesbaden, Allemagne
Téléphone : +49 (0) 611 14 080

Pour les utilisateurs du Royaume-Uni, la loi applicable, en ce qui concerne la protection de leurs données et de leur vie privée, est le Data Protection Act 2018 et ses articles respectifs.

Dernière mise à jour : 8 octobre 2021