Politique de confidentialité

POLITIQUE DE CONFIDENTIALITÉ – DONNÉES PERSONNELLES

Version et champ d’application

Version du 09 / 02 / 2026

La présente Politique de Confidentialité décrit la manière dont WelltyCare collecte, utilise, protège et conserve les données personnelles traitées via la plateforme accessible notamment à l’adresse https://www.welltycare.com (et, le cas échéant, ses sous-domaines et applications associées).

Elle s’applique à l’ensemble des Utilisateurs, des Thérapeutes et, lorsque applicable, des représentants d’Entreprises clientes utilisant les services de WelltyCare.

1. IDENTITÉ DU RESPONSABLE DE TRAITEMENT

1.1. Responsable de traitement

Le responsable de traitement est : HELLO BELLO, SAS, au capital de 1420,00 euros, immatriculée sous le numéro , dont le siège social est situé 126 Boulevard Saint-Marceaux, exploitant la marque WelltyCare.

WelltyCare détermine les finalités et les moyens des traitements de données personnelles réalisés dans le cadre de ses Services.

1.2. Contact protection des données

Pour toute question relative à la protection des données : privacy@welltycare.com

Pour les demandes générales de support : support@welltycare.com

2. CATÉGORIES DE DONNÉES TRAITÉES

2.1. Données d’identification et de compte

WelltyCare peut collecter notamment :

  • nom, prénom ;
  • adresse email ;
  • date de naissance ;
  • identifiant de compte ;
  • données liées à la gestion de l’authentification et de la sécurité du compte.

2.2. Données liées à l’accompagnement psychologique

Selon les Services utilisés, WelltyCare traite également :

  • réponses aux questionnaires d’évaluation ;
  • contenu des échanges via la messagerie sécurisée ;
  • informations liées aux réservations de consultations ;
  • métadonnées techniques nécessaires à la fourniture du service.

Ces informations peuvent inclure des données de santé ou des données sensibles communiquées par l’Utilisateur.

2.3. Données de facturation et de paiement

WelltyCare traite les données nécessaires à la facturation :

  • historique de commandes ;
  • statut de paiement ;
  • identifiants de transaction.

Les données complètes de carte bancaire ne sont pas conservées par WelltyCare et sont traitées par le prestataire de paiement Stripe, selon ses propres conditions.

2.4. Données techniques et de sécurité

WelltyCare peut traiter :

  • adresse IP ;
  • logs de connexion ;
  • type d’appareil, navigateur, système d’exploitation ;
  • événements de sécurité et traces techniques nécessaires à l’audit.

2.5. Données dans le cadre des offres Entreprises

Dans le cadre des offres B2B, des données relatives à l’éligibilité des salariés, aux crédits de consultation et au suivi contractuel peuvent être traitées.

3. FINALITÉS ET BASES LÉGALES DES TRAITEMENTS

3.1. Exécution du contrat (CGU/CGV)

Les données sont traitées pour :

  • créer et administrer les comptes Utilisateurs et Thérapeutes ;
  • permettre la mise en relation et la réservation des consultations ;
  • assurer la messagerie asynchrone et l’accès aux fonctionnalités souscrites ;
  • gérer la facturation, les paiements et le support client.

3.2. Respect des obligations légales

Les traitements peuvent être nécessaires pour :

  • respecter les obligations comptables et fiscales ;
  • répondre aux demandes des autorités habilitées ;
  • assurer les obligations légales en matière de sécurité et de conformité.

3.3. Intérêt légitime

WelltyCare peut traiter certaines données pour :

  • prévenir la fraude et les usages abusifs ;
  • sécuriser la plateforme, les systèmes et les accès ;
  • améliorer la qualité, la stabilité et l’ergonomie des Services ;
  • produire des statistiques internes agrégées.

3.4. Consentement

Lorsque la réglementation l’exige, WelltyCare se fonde sur le consentement, notamment pour certains traitements de données sensibles et pour l’utilisation de certains cookies/traceurs non strictement nécessaires.

4. TRAITEMENT DES DONNÉES DE SANTÉ

4.1. Nature des données concernées

Les informations partagées dans les questionnaires, les échanges écrits, audio ou vidéo, et dans le contexte des consultations peuvent révéler des informations relatives à la santé mentale et émotionnelle des Utilisateurs.

4.2. Finalité strictement limitée

Ces données sont traitées exclusivement pour fournir les Services d’accompagnement psychologique à distance, améliorer la continuité du suivi, sécuriser les échanges et respecter les obligations légales applicables.

4.3. Accès restreint

L’accès aux données de santé est limité selon le principe du « besoin d’en connaître » :

  • à l’Utilisateur concerné ;
  • au(x) Thérapeute(s) impliqué(s) dans son accompagnement ;
  • aux personnels internes strictement habilités pour la maintenance et la sécurité.

5. DESTINATAIRES DES DONNÉES

5.1. Destinataires internes

Peuvent accéder aux données, dans la limite de leurs attributions :

  • l’équipe produit/technique interne ;
  • l’administrateur système interne ;
  • les équipes support et conformité habilitées.

5.2. Destinataires externes

Peuvent également être destinataires, selon les besoins :

  • les Thérapeutes intervenant via la plateforme ;
  • OVHcloud (hébergement en France) ;
  • Stripe (prestataire de paiement) ;
  • tout prestataire technique dûment encadré par contrat ;
  • les autorités compétentes sur réquisition légale.

5.3. Prestataire de visioconférence (Whereby)

Pour la réalisation des consultations en visioconférence et/ou audio, WelltyCare utilise la solution Whereby en tant que prestataire technique.

Whereby est susceptible de traiter certaines données strictement nécessaires au fonctionnement des consultations (ex. données techniques de connexion, adresse IP, identifiants de session, et flux audio/vidéo pendant la session), en qualité de sous-traitant.

  • Whereby indique être conforme au RGPD et disposer d’un accord de traitement des données (DPA). DPA Whereby
  • Whereby indique être certifié ISO 27001. Sécurité Whereby
  • Whereby indique pouvoir être mis en œuvre dans une configuration visant la conformité HIPAA (le cas échéant, selon les conditions contractuelles/techniques applicables, dont la signature d’un accord BAA). HIPAA setup Whereby

5.4. Encadrement contractuel

Les prestataires agissant pour le compte de WelltyCare sont encadrés par des engagements de confidentialité et des clauses de protection des données conformes à la réglementation applicable.

6. HÉBERGEMENT ET SÉCURITÉ

6.1. Hébergement en France

L’infrastructure serveur de WelltyCare est gérée en France, chez OVHcloud, avec administration système internalisée.

Le code applicatif, la gestion de la base de données et l’exploitation technique sont réalisés en interne par WelltyCare.

6.2. Mesures techniques et organisationnelles

WelltyCare met en œuvre des mesures de sécurité appropriées, adaptées aux risques, notamment :

  • chiffrement des flux de données (TLS/HTTPS) ;
  • gestion stricte des habilitations et des accès ;
  • journalisation des événements de sécurité ;
  • segmentation des environnements ;
  • procédures internes de sauvegarde et de restauration ;
  • revue régulière des mesures de sécurité.

6.3. Sécurité des consultations vidéo/audio (Whereby)

Dans le cadre des consultations vidéo/audio, WelltyCare s’appuie sur Whereby. Whereby indique que ses produits sont conformes au RGPD et certifiés ISO 27001, et que la solution peut être mise en œuvre pour répondre à des exigences HIPAA dans certaines configurations.

  • Certifications et posture sécurité : ISO 27001 (Whereby).
  • Engagements de conformité et documentation associée (DPA / Trust Center).

6.4. Données de santé et exigences sectorielles

WelltyCare s’engage à maintenir un niveau de sécurité conforme aux exigences applicables au secteur santé et à la protection de la vie privée des Utilisateurs.

7. TRANSFERTS HORS UNION EUROPÉENNE

7.1. Principe

Les données principales de la plateforme sont hébergées en France. Certains sous-traitants techniques (ex. paiement) peuvent néanmoins impliquer des traitements en dehors de l’Union européenne.

7.2. Garanties mises en place

En cas de transfert hors UE/EEE, WelltyCare met en place les garanties appropriées prévues par la réglementation, notamment :

  • décision d’adéquation de la Commission européenne, ou
  • clauses contractuelles types et mesures complémentaires adaptées.

7.3. Particularités liées à l’infrastructure vidéo (Whereby)

Whereby opère une infrastructure mondiale de routage vidéo. Whereby indique que les utilisateurs situés en Europe sont routés vers des serveurs localisés dans l’EEE, notamment sur la base de l’adresse IP afin de connecter l’utilisateur au serveur le plus approprié.

Whereby indique également que les serveurs de routage vidéo ne stockent pas de contenu média (flux audio/vidéo), hors activation explicite de fonctionnalités spécifiques (ex. enregistrement cloud, si utilisé). WelltyCare s’assure, lorsque nécessaire, que des garanties appropriées sont mises en place pour tout traitement pouvant impliquer un transfert hors UE/EEE.

8. DURÉES DE CONSERVATION

8.1. Principes généraux

Les données sont conservées pendant une durée proportionnée à la finalité du traitement, puis supprimées ou anonymisées.

8.2. Durées indicatives appliquées

  • Données de compte : pendant la durée d’utilisation du compte, puis archivage limité si nécessaire.
  • Données de suivi et d’échanges thérapeutiques : durée strictement nécessaire au service et aux obligations légales.
  • Données de facturation et pièces comptables : 10 ans (obligations légales).
  • Données de support : jusqu’à 3 ans après clôture de la demande.
  • Logs techniques et sécurité : jusqu’à 12 mois, sauf nécessité de conservation plus longue en cas d’incident.
  • Données de prospection (si applicable) : 3 ans à compter du dernier contact ou jusqu’au retrait du consentement.

8.3. Archivage et suppression

À l’issue des durées applicables, les données sont supprimées ou anonymisées, sauf obligation légale de conservation ou nécessité probatoire.

9. COOKIES ET TRACEURS

9.1. Types de traceurs utilisés

WelltyCare peut utiliser :

  • des cookies strictement nécessaires au fonctionnement du site et à la sécurité ;
  • des cookies de mesure d’audience ;
  • des cookies de personnalisation, sous réserve du cadre légal applicable.

9.2. Consentement et paramétrage

Lorsqu’un consentement est requis, l’Utilisateur peut accepter, refuser ou retirer son consentement à tout moment via l’outil de gestion des cookies.

Refuser les traceurs non essentiels est aussi simple que les accepter.

9.3. Durées liées aux traceurs

Les durées de vie des cookies et de conservation des données associées sont limitées au strict nécessaire et précisées dans le bandeau/centre de préférences cookies.

10. DROITS DES PERSONNES

10.1. Vos droits

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez notamment des droits suivants :

  • droit d’accès ;
  • droit de rectification ;
  • droit d’effacement ;
  • droit à la limitation du traitement ;
  • droit d’opposition ;
  • droit à la portabilité des données ;
  • droit de retirer votre consentement à tout moment (lorsqu’il est la base du traitement).

10.2. Exercice des droits

Vous pouvez exercer vos droits en écrivant à : privacy@welltycare.com

Afin de protéger vos données, WelltyCare peut demander un justificatif d’identité en cas de doute raisonnable sur l’identité du demandeur.

10.3. Délai de réponse

WelltyCare répond aux demandes dans les délais légaux applicables.

11. VIOLATION DE DONNÉES PERSONNELLES ET FAILLE DE SÉCURITÉ

11.1. Engagement de sécurité

WelltyCare s’engage à mettre en œuvre toutes les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au regard des risques d’accès accidentels, non autorisés ou illégaux, de divulgation, d’altération, de perte ou de destruction des données personnelles.

11.2. Information de l’Utilisateur en cas de faille de sécurité

Dans l’éventualité où WelltyCare prendrait connaissance d’un accès illégal aux données personnelles stockées sur ses serveurs ou sur ceux de ses prestataires, ou d’un accès non autorisé ayant pour conséquence la réalisation des risques identifiés ci-dessus, WelltyCare s’engage à :

  • notifier l’incident dans les plus brefs délais aux personnes concernées, lorsque cela est requis ;
  • examiner les causes de l’incident et en informer les personnes concernées ;
  • prendre les mesures nécessaires, dans la limite du raisonnable, afin d’amoindrir les effets négatifs et les préjudices pouvant résulter dudit incident.

11.3. Notification réglementaire

Lorsque la réglementation applicable l’impose, WelltyCare notifie la violation de données personnelles à l’autorité de contrôle compétente dans les délais légaux, et informe les personnes concernées lorsqu’un risque élevé pour leurs droits et libertés est identifié.

11.4. Limitation de responsabilité

Les engagements relatifs à la notification et à la gestion des failles de sécurité ne peuvent en aucun cas être assimilés à une reconnaissance de faute ou de responsabilité de WelltyCare quant à la survenance de l’incident concerné.

12. DONNÉES DES MINEURS

12.1. Principe d’exclusion des mineurs

Les Services WelltyCare sont réservés aux personnes majeures (18 ans et plus), conformément aux CGU.

Si des données de mineur étaient collectées par erreur, WelltyCare prendra les mesures nécessaires pour les supprimer dans les meilleurs délais.

13. OFFRES ENTREPRISES

13.1. Répartition des rôles

Dans le cadre des offres Entreprises, l’employeur client peut traiter certaines données administratives (éligibilité, enveloppes de crédits, suivi contractuel) selon ses propres obligations de conformité.

WelltyCare demeure responsable des traitements réalisés pour l’exploitation de la plateforme et la fourniture des Services.

13.2. Données partagées avec l’employeur

WelltyCare limite strictement les informations remontées aux entreprises clientes aux données nécessaires à la gestion contractuelle et à la facturation, dans le respect de la confidentialité des échanges thérapeutiques.

14. MISE À JOUR DE LA POLITIQUE

14.1. Évolutions de la politique

WelltyCare peut modifier la présente Politique de Confidentialité à tout moment, notamment pour tenir compte des évolutions légales, réglementaires, techniques et des Services.

14.2. Information des utilisateurs

La version en vigueur est publiée sur la plateforme avec sa date de mise à jour. En cas de modification substantielle, une information spécifique pourra être communiquée aux Utilisateurs.

15. RÉCLAMATION AUPRÈS DE LA CNIL

15.1. Droit d’introduire une réclamation

Si vous estimez que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL (Commission Nationale de l’Informatique et des Libertés), après avoir contacté WelltyCare en priorité.

15.2. Coordonnées utiles

CNIL – 3 Place de Fontenoy – TSA 80715 – 75334 Paris Cedex 07

Les modalités de saisine sont disponibles sur le site officiel de la CNIL.

Sommaire