Privacy (FR)

Langue:

Dernière mise à jour : 2 juillet 2025

Bienvenue

Bienvenue chez Thrive Global Holdings, Inc. (« Thrive Global », « Thrive », « nous », « notre » et/ou « nos »). Thrive propose des solutions de changement de comportement basées sur des résultats scientifiques et conçues pour améliorer le bien-être mental, émotionnel et physique. Notre site web (« Site »), notre application mobile (« Application ») et nos intégrations avec des plateformes tierces, comme Slack ou Microsoft Teams, permettent aux utilisateurs (« vous », « votre », « vos » ou « Utilisateurs ») d’accéder à des outils, à des ressources et à du contenu personnalisés. Parmi ceux-ci figurent des micro-actions, des évaluations, des expériences d’apprentissage et des fonctionnalités de soutien comportemental qui favorisent l’adoption d’habitudes durables et l’amélioration du bien-être général. L’ensemble des services que nous fournissons par l’intermédiaire du Site, de l’Application et des expériences numériques connexes sont désignés comme le(s) « Service(s) ».

Pour fournir et améliorer ces Services, nous pouvons collecter et traiter divers types d’informations, y compris des données à caractère personnel, des données sur l’interaction (comme la façon dont vous interagissez avec le contenu et les fonctionnalités), des informations comportementales, des renseignements liés à la santé et d’autres catégories de données sensibles, conformément aux lois applicables. Nous procédons ainsi en nous fondant sur des bases légales adéquates et nous obtenons votre consentement lorsque la loi l’exige.

Thrive s’engage à protéger votre vie privée et à traiter vos données de manière responsable. Nous appliquons les principes de protection de la vie privée et de la sécurité dès la conception et par défaut, et nous mettons en œuvre des garanties techniques et organisationnelles adéquates. Nos pratiques en matière de données sont conçues pour être conformes aux réglementations applicables en matière de protection de la vie privée, notamment la loi HIPAA, le RGPD, la loi CCPA/CPRA et d’autres cadres réglementaires régionaux qui peuvent s’appliquer en fonction de votre emplacement et de la nature de votre interaction avec nos Services.

Accès rapide : Exercez vos droits en matière de protection de la vie privée à l’adresse https://preferences.thriveglobal.com/privacy ou consultez la section Coordonnées ci-dessous.

Objet de la présente Politique de confidentialité

La présente Politique de confidentialité décrit les données à caractère personnel que nous collectons par le biais des Services, la façon dont nous utilisons et partageons ces données, ainsi que les choix qui s’offrent à vous en ce qui concerne nos pratiques en matière traitement de données. Elle fait partie intégrante de nos Conditions générales d’utilisation, que vous pouvez consulter sur le site à l’adresse https://www.thriveglobal.com/terms.

Les Utilisateurs situés dans différentes régions peuvent être assujettis à des normes de protection des données distinctes, déterminées par l’accord relatif à la protection des données conclu entre leur employeur et Thrive Global. Ce document comprend des sections consacrées à l’Espace économique européen (EEE), au Royaume-Uni (R.-U.), à la Suisse et aux consommateurs californiens, ainsi qu’à leurs droits en matière de protection de la vie privée.

Modifications de la Politique de confidentialité

Nous pouvons mettre à jour la présente Politique de confidentialité à mesure que les Services évoluent. Les modifications importantes sont notifiées par e-mail 30 jours avant leur entrée en vigueur. Pour les mises à jour mineures, la date de la dernière mise à jour est incluse lors de la publication. Le fait de continuer à utiliser les Services vaut acceptation des modifications.

Cadre de conformité légale

Nous nous conformons aux lois applicables en matière de protection de la vie privée, y compris le RGPD, la loi CCPA/CPRA, les lois des États et d’autres exigences juridictionnelles. Notre programme de conformité comprend des examens juridiques réguliers, des évaluations des contrôles et des mises à jour des pratiques de protection de la vie privée au fur et à mesure de l’évolution des lois. Nous travaillons avec des conseillers juridiques pour nous assurer que nos pratiques répondent aux normes réglementaires en vigueur.

Gouvernance en matière de protection de la vie privée

Dans notre programme de protection de la vie privée, nous avons désigné des délégués à la protection des données, chargés de la conformité, de la formation et de la réponse aux incidents en matière de protection de la vie privée. Nous organisons régulièrement des formations sur la protection de la vie privée à notre personnel et nous appliquons des mesures de responsabilisation pour assurer une conformité continue aux obligations en la matière et à la protection de vos données à caractère personnel.

Principes de protection des données

Nous collectons, utilisons et traitons des données à caractère personnel uniquement à des fins légitimes qui correspondent à nos activités commerciales et à nos obligations légales. Nous précisons les finalités de la collecte au moment de celle-ci ou avant, nous limitons la collecte aux données nécessaires et nous appliquons les principes de minimisation des données. Nous révisons régulièrement nos pratiques en matière de données afin d’éliminer les traitements inutiles et mettons en œuvre des mesures techniques et organisationnelles afin de protéger votre vie privée.

Principe du droit d’accès

Nous nous engageons à garantir aux individus un accès approprié à leurs données à caractère personnel. Nous vous donnons accès à vos données à caractère personnel en temps utile et sur demande, sous réserve de vérification de votre identité et des exigences légales applicables. Dans certains cas bien précis, nous pouvons refuser l’accès. Par exemple, lorsque la loi l’exige ou lorsque l’accès compromettrait la vie privée d’autrui.

Évaluations de l’impact sur la vie privée

Nous procédons à des évaluations de l’impact sur la vie privée afin d’identifier et d’atténuer les risques vis-à-vis des données à caractère personnel. Ces évaluations portent sur nos activités de traitement des données, notamment les nouveaux projets, systèmes ou technologies, afin de garantir le respect des lois sur la protection de la vie privée et les exigences en matière de sécurité. Lorsque des risques sont identifiés, nous mettons en œuvre des garanties appropriées afin de protéger vos données et votre vie privée.

Détails de la limitation de la collecte

Nous limitons la collecte de données à caractère personnel à ce qui est nécessaire aux fins identifiées. Nous ne collectons que des données pertinentes, appropriées et directement liées aux finalités légitimes décrites dans la présente politique. La collecte se fait par des moyens légaux et transparents, avec votre consentement et après vous en avoir informé de manière appropriée, lorsque la loi applicable l’exige.

Base légale du traitement

Nous traitons les données à caractère personnel sur la base des fondements juridiques suivants, conformément aux lois sur la protection de la vie privée :

Consentement : lorsque vous donnez votre consentement libre, spécifique et éclairé pour des activités de traitement, telles que les communications marketing ou la collecte facultative de données.
Exécution du contrat : traitement nécessaire à l’exécution de notre contrat de Services conclu avec vous ou à la prise de mesures, à votre demande, avant la conclusion d’un contrat.
Obligation légale : traitement nécessaire pour se conformer aux lois, règlements ou procédures judiciaires applicables.
Intérêts légitimes : traitement nécessaire à nos intérêts commerciaux légitimes, tels que la sécurité, la prévention de la fraude et l’amélioration des services, lorsque ces intérêts ne sont pas supplantés par vos droits en matière de protection de la vie privée.

Données que nous collectons

Utilisateurs de l’Application

Informations sur le compte : nom, adresse électronique et autres coordonnées
Informations sur le profil : photo de profil, biographie, informations sur le pays et informations démographiques
Informations sur l’interaction avec l’application : vos réponses et vos interactions avec les enquêtes sur le bien-être, les webinaires et les activités d’apprentissage
Informations sur la santé et l’activité : sommeil, mouvements, fréquence cardiaque et autres données relatives au bien-être (y compris les indicateurs physiques, comportementaux ou émotionnels), uniquement si vous choisissez de les fournir directement ou par l’intermédiaire d’un dispositif portable connecté.
Communications : messages avec nous ou dans l’application, y compris les demandes d’assistance et les fonctionnalités sociales
Remarque sur les utilisateurs mineurs (entre 13 et 15 ans) : Si les Services sont mis à la disposition de personnes à charge ou de membres de la famille, âgés de 13 à 15 ans, par le biais d’un programme offert ou autorisé par l’employeur, Thrive traite leurs données à caractère personnel uniquement avec le consentement vérifié d’un parent ou d’un tuteur, ou si l’organisation responsable donne son consentement, conformément aux lois applicables en matière de protection de la vie privée des enfants. Tout accès de ce type reste soumis à la section relative à la protection de la vie privée des enfants de la présente Politique de confidentialité.

Utilisateurs du Site

Données à caractère personnel que vous fournissez : informations saisies lors de l’inscription sur le site (e-mail/mot de passe) ou envoyées électroniquement par le biais de formulaires, de demandes de contact, d’inscriptions à des événements ou d’abonnement aux communications, comprenant généralement le nom, les coordonnées, les informations sur l’entreprise et le numéro de téléphone

Données collectées par des moyens automatisés

Données journalisées : adresse IP, type et paramètres du navigateur, date et heure des demandes et schémas d’interaction
Cookies : données provenant de cookies et d’autres technologies (voir la section Cookies)
Données sur l’appareil : type d’appareil, système d’exploitation, paramètres, identifiants uniques et informations sur le réseau
Données sur l’utilisation : contenu consulté, fonctionnalités utilisées, actions réalisées, interactions de l’utilisateur et durée d’utilisation

Avis de classification réglementaire

La plateforme Thrive est conçue comme une solution de bien-être général qui aide les individus à adopter des habitudes saines et à améliorer leur vie. Bien que nous puissions traiter des informations relatives à la santé lorsque vous choisissez de les fournir, nos Services :

ne sont pas destinés à diagnostiquer, traiter, guérir ou prévenir une maladie ou un état pathologique, et ne sont pas destinés à diagnostiquer, traiter ou remplacer les conseils d’un professionnel médical agréé (si vous avez des inquiétudes concernant votre santé mentale ou physique, veuillez consulter un professionnel de santé qualifié) ;
ne constituent pas des dispositifs médicaux au sens de la réglementation de la Food and Drug Administration (FDA) ;
fournissent des informations générales sur le bien-être plutôt que des recommandations cliniques sur la santé ;
peuvent être proposés dans le cadre de programmes de bien-être par l’employeur, sous réserve des réglementations de l’Equal Employment Opportunity Commission (EEOC).
Lorsque nos Services sont fournis dans le cadre d’un programme de bien-être de votre employeur, nous nous conformons à toutes les réglementations applicables, y compris à la loi américaine HIPAA (lorsque nous agissons en tant qu’associé commercial), à l’Americans with Disabilities Act (ADA), à la Genetic Information Nondiscrimination Act (GINA) et aux exigences relatives aux programmes de bien-être de l’EEOC.

Méthodes d’utilisation de vos données

Principes de limitation de l’utilisation

Nous limitons strictement l’utilisation des données à caractère personnel aux fins autorisées, telles que définies au moment de la collecte. L’utilisation des données reste conforme aux justifications et aux bases légales de la collecte initiale. Nous ne traitons pas les données à caractère personnel à des fins incompatibles avec celles pour lesquelles elles ont été collectées à l’origine, sans obtenir le consentement approprié ou sans établir une nouvelle base légale.

Intérêts commerciaux légitimes

Amélioration des Services :

Réponses aux demandes de renseignements et traitement des demandes de service
Personnalisation des Services en fonction des habitudes d’utilisation et des préférences
Envoi d’informations administratives concernant les Services, de modifications apportées aux conditions et à des politiques
Mise à disposition, maintien et amélioration du contenu et des fonctionnalités

Recherche et gestion des données :

Recherches et présentation d’informations sur l’utilisation, sous forme agrégée et anonymisée
Conservation des données de base afin d’éviter tout traitement indésirable après les demandes de suppression

Sécurité et conformité juridique :

Prévention de la fraude, des activités criminelles et de l’utilisation abusive des services
Garantie de la sécurité des systèmes informatiques et respect des obligations légales
Réponse à des demandes légales et exécution de nos Conditions générales d’utilisation
Protection de nos opérations, de nos droits et de la sécurité des utilisateurs

Systèmes d’IA que nous déployons

Nous utilisons l’intelligence artificielle (IA), notamment l’apprentissage automatique (ML), pour améliorer nos services, classés comme suit :

Systèmes d’IA à risque limité (obligations de transparence) :

Systèmes de génération de contenu : création de contenus et recommandations de bien-être personnalisés par l’IA
Moteurs de recommandation : algorithmes ML suggérant des micro-actions et des fonctionnalités
Chatbots et assistants virtuels : outils d’assistance alimentés par l’IA

Systèmes d’IA à risque minimal :

Détection de la fraude : identification par l’IA des activités suspectes et des menaces de sécurité
Optimisation du système : amélioration des performances de l’application et de l’expérience utilisateur grâce à l’apprentissage automatique
Traitement analytique : génération par l’IA d’informations anonymes sur l’utilisation

Conformité à la loi européenne sur l’intelligence artificielle

Mesures de transparence : information claire par le biais de notifications appropriées lorsque l’intelligence artificielle est impliquée dans votre expérience
Supervision humaine : tous les systèmes d’IA fonctionnent sous supervision humaine, avec un personnel qualifié qui surveille les performances ; les utilisateurs peuvent demander une intervention humaine
Précision et robustesse : des mesures appropriées garantissent la fiabilité de l’intelligence artificielle, notamment la validation des performances, le contrôle des erreurs et des biais, et l’amélioration continue
Gestion des risques : procédures d’évaluation et d’atténuation des risques, y compris l’évaluation des systèmes, la documentation des capacités et la réponse aux incidents

Gouvernance des données en vue de l’entraînement de l’IA

Données d’entraînement : nous utilisons des données utilisateur anonymes et agrégées, dans le respect de la confidentialité et de la sécurité
Modèles tiers : nous n’utilisons pas vos données à caractère personnel pour entraîner des modèles d’IA externes sans votre consentement explicite
Qualité des données : nous mettons en œuvre des mesures garantissant l’exactitude, la représentativité et l’atténuation des biais des données d’entraînement

Vos droits et contrôles en matière d’intelligence artificielle

Droit à l’information : demander des détails sur les systèmes d’IA qui ont un impact important sur vous, comprendre la logique des décisions automatisées, accéder aux informations sur les données d’entraînement
Droits de contrôle : refuser la personnalisation de l’IA, demander une évaluation humaine, contester le contenu généré par l’intelligence artificielle

Marketing

Nous pouvons vous contacter pour vous proposer du contenu, des services ou des produits qui, selon nous, pourraient vous intéresser. Lorsque la loi l’exige (par exemple, pour les utilisateurs de l’Union européenne), nous n’envoyons des informations commerciales qu’avec votre consentement.

Options de retrait : suivez les instructions de désabonnement figurant dans les e-mails, mettez à jour les paramètres utilisateur ou contactez-nous.

Les communications liées aux services et nécessaires à leur mise à disposition ne sont pas touchées par les préférences de retrait.

Mise à jour de vos données

Nous fournissons un accès approprié aux données à caractère personnel sur demande, sous réserve de vérification de l’identité et des exigences légales. Nous prenons des mesures raisonnables pour assurer l’exactitude et la qualité des données. Si vous pensez que des informations sont inexactes, contactez-nous pour les corriger.

Pour exercer vos droits en matière de protection de la vie privée : consultez l’adresse https://preferences.thriveglobal.com/privacy ou la section Coordonnées.

Résolution des plaintes

Nous prenons au sérieux les plaintes concernant nos pratiques en matière de protection de la vie privée. Si vous avez des doutes sur la manière dont nous traitons vos données à caractère personnel, contactez-nous à l’aide des informations figurant dans la section Coordonnées. Nous enquêterons dans les plus brefs délais, nous accuserons réception dans les sept jours ouvrables et nous nous efforcerons de résoudre les problèmes dans les 30 jours. Vous pouvez également avoir le droit de déposer une plainte auprès d’une autorité de contrôle.

Droits de participation et de recours

Nous respectons votre droit de participer aux décisions concernant vos données à caractère personnel. Vous pouvez demander l’accès à vos données, leur rectification ou leur suppression, sous réserve des lois applicables et de la vérification de votre identité. Nous répondons aux demandes dans des délais raisonnables et fournissons des solutions ou des explications si la loi l’exige. Vous avez le droit de contester nos décisions de traitement et de demander réparation par les voies appropriées.

Cadre de protection des données

Nous participons volontairement au cadre de protection des données UE - États-Unis et à l’extension britannique du cadre UE - États-Unis, ainsi qu’au cadre de protection des données Suisse - États-Unis. Nous sommes soumis à la surveillance de la Federal Trade Commission (FTC) et restons responsables des traitements effectués par les vendeurs/fournisseurs de services qui ne sont pas conformes aux principes du cadre de protection des données.

Résolution des litiges : contactez-nous d’abord pour les plaintes concernant le cadre de protection des données. Les plaintes non résolues sont renvoyées au système JAMS de règlement extrajudiciaire des litiges, sans frais pour vous.

Données d’utilisation et programmes Thrive Global

Nous tirons des informations de votre utilisation des Services et pouvons créer des données agrégées et/ou anonymisées à des fins d’analyse opérationnelle, de rapports financiers, de fonctions d’audit et à d’autres fins commerciales. Lorsque nous traitons des données provenant de programmes de bien-être de l’employeur, nous nous assurons que tous les rapports agrégés respectent des normes d’anonymisation appropriées afin d’empêcher la ré-identification des individus.

Pour les programmes Thrive (webinaires, événements, concours), la participation nous donne le droit d’utiliser le contenu soumis à des fins commerciales légitimes. La participation implique l’acceptation de ces conditions.

Partage et divulgation de vos données

Partage à des fins commerciales légitimes

Prestataires et fournisseurs de services : nous partageons des données avec des tiers pour l’hébergement, les communications par e-mail, l’assistance à la clientèle et l’analyse (par exemple, Google Analytics, Google Cloud, Microsoft Azure). Tous les fournisseurs respectent des normes strictes en matière de protection de la vie privée par le biais d’accords écrits.

Opérations d’entreprise : les données à caractère personnel peuvent être transférées dans le cadre de fusions, d’acquisitions ou de ventes d’actifs.

Exigences légales : nous pouvons divulguer des données pour nous conformer à des obligations légales, protéger des droits ou des biens, ou assurer la sécurité publique.

Partage d’informations à votre demande

Nous pouvons partager des données lorsque vous autorisez l’accès à des tiers ou choisissez de partager des rapports d’engagement avec des entreprises clientes. Vous pouvez volontairement partager des informations avec d’autres utilisateurs grâce aux fonctionnalités communautaires de l’application.

Règlement général sur la protection des données (RGPD), RGPD britannique et loi suisse sur la protection des données

Champ d’application et transferts de données

Cette section s’applique aux utilisateurs de l’EEE, du Royaume-Uni et de la Suisse. Lorsque vous accédez à nos Services, les Données à caractère personnel sont transmises à nos serveurs américains avec les garanties appropriées, dont les Clauses contractuelles types, les certifications du Cadre de protection des données et les mesures de sécurité techniques et organisationnelles.

Rôles du responsable du traitement des données et du sous-traitant

Responsable du traitement des données : lorsque vous fournissez des données à caractère personnel par l’intermédiaire de notre Plateforme, nous déterminons les finalités du traitement et nous nous conformons aux lois applicables (et réalisons des évaluations d’impact sur la protection des données, le cas échéant).

Sous-traitant : lorsque nous traitons des données pour des entreprises clientes, nous agissons conformément à leurs instructions dans le cadre des obligations applicables aux sous-traitants.

Vos droits en vertu du RGPD

Droit d’accès : obtention de la confirmation du traitement et réception des copies de vos données personnelles
Droit de rectification : demande de correction des données à caractère personnel inexactes ou incomplètes
Droit à l’effacement : demande de suppression de vos données sous certaines conditions
Droit à la limitation du traitement : demande de limitation de la façon dont nous utilisons vos données
Droit à la portabilité des données : réception des données dans un format structuré et lisible par une machine
Droit d’opposition : opposition, à tout moment, au traitement de vos données à caractère personnel par nos soins
Droit de retirer votre consentement : retrait, à tout moment, d’un consentement donné antérieurement
Droits concernant la prise de décision automatisée : refus de faire l’objet de décisions fondées uniquement sur un traitement automatisé
Droit de déposer une plainte : dépôt d’une plainte auprès de l’autorité chargée de la protection des données locale

Procédures de demande d’accès

Nous fournissons un accès approprié aux données à caractère personnel sur demande, sous réserve de vérification de l’identité et des exigences légales applicables. Pour faire une demande, contactez-nous à l’aide des informations figurant dans la section Coordonnées. Dans certains cas bien précis, nous pouvons refuser l’accès. Par exemple, lorsque la loi l’exige ou lorsque l’accès compromettrait la vie privée d’autrui. Nous répondrons dans les délais impartis et fournirons des explications en cas de refus.

Procédures relatives aux droits des personnes concernées

Traitement des demandes : nous mettons en place des procédures normalisées pour traiter les demandes de protection de la vie privée, notamment la vérification de l’identité, la validation de la demande, l’évaluation des exceptions et la coordination de la réponse dans toutes les unités opérationnelles.
Délais de réponse : les demandes standard reçoivent une réponse dans un délai de 30 jours, avec des prolongations possibles de 60 jours pour les demandes complexes. Nous vous informerons de tout retard et vous fournirons des explications.
Exigences de vérification : pour les demandes à risque élevé, la vérification de l’identité peut inclure une confirmation par e-mail, une authentification du compte ou une documentation supplémentaire afin d’éviter tout accès frauduleux.

Transferts internationaux de données

Nous mettons en œuvre des garanties appropriées, notamment des Clauses contractuelles types, des décisions d’adéquation et d’autres mesures, comme l’exige l’article 46 du RGPD. Pour les transferts vers des pays n’ayant pas fait l’objet d’une décision d’adéquation, nous procédons à des évaluations de l’impact du transfert et mettons en œuvre des mesures techniques et organisationnelles supplémentaires, notamment un chiffrement renforcé, des contrôles d’accès et des protections contractuelles, afin de garantir une protection adéquate.

Conservation des données

Nous conservons les Données à caractère personnel aussi longtemps que nécessaire à des fins de collecte, de respect de la législation ou de résolution des litiges. Les Données sont supprimées ou anonymisées en toute sécurité, conformément aux normes. Les délais de conservation sont documentés et revus chaque année.

Précision et qualité des données

Nous nous efforçons de préserver l’exactitude, l’exhaustivité et la pertinence des données à caractère personnel que nous détenons. Nous mettons en œuvre des mesures raisonnables pour assurer la qualité des données, notamment la mise à jour des dossiers lorsque des inexactitudes sont identifiées. Si vous pensez que vos données à caractère personnel sont inexactes ou incomplètes, contactez-nous à l’aide des informations figurant dans la section Coordonnées pour les corriger.

Limites d’utilisation

Nous n’utilisons les données à caractère personnel qu’aux fins spécifiées au moment de la collecte et à des fins compatibles. Nous n’utilisons pas vos données à des fins non prévues sans avoir obtenu le consentement approprié ou sans avoir établi une nouvelle base légale. Nos activités de traitement sont documentées et régulièrement réexaminées afin d’assurer leur conformité aux objectifs fixés.

Traitement des Données de santé (PHI) et respect de la loi HIPAA

Nous pouvons traiter des Données de santé (« Informations médicales protégées » ou « PHI ») conformément à la loi HIPAA. Les Données de santé comprennent les données de santé telles que les antécédents médicaux, les données biométriques et les informations sur les activités liées à la santé collectés dans le cadre de programmes de bien-être parrainés par l’employeur ou lorsque vous choisissez explicitement de fournir ces informations. Le traitement est strictement limité à la mise à disposition de nos Services dans le cadre de garanties appropriées, et les PHI ne sont partagées qu’avec des parties autorisées dans le cadre d’accords de partenariat (BAA).

Périodes de conservation des données

Dossiers de Données de santé physiques et numériques : un minimum de 6 ans, conformément à l’article 164.316(b)(2)(i) de la loi HIPAA. Des périodes plus longues s’appliquent en fonction des exigences régionales.
Journaux d’audit des Données de santé : un minimum de 6 ans pour tous les systèmes contenant ou traitant des Données numériques de santé, y compris les journaux d’accès, les enregistrements des modifications et les journaux des événements de sécurité.
Documentation HIPAA : 6 ans pour toute la documentation relative à la conformité HIPAA, y compris les politiques, les procédures, les évaluations des risques, les dossiers de formation et les rapports d’incidents.

Conservation générale des données :

Données du compte : outre la période active, 90 jours après la suppression pour des raisons de sécurité
Données de suivi du bien-être : jusqu’à la résiliation du contrat, plus 90 jours
Préférences en matière de marketing : jusqu’au désabonnement, plus toute période légalement requise
Communications d’assistance : 1 an pour nous aider à améliorer nos services
Journaux de sécurité (à l’exception des Données de santé) : 1 an pour la protection du système et la réponse aux incidents
Documents professionnels : 7 ans, conformément à la réglementation financière et fiscale

Procédures de mise en suspens juridique : nous pouvons être amenés à conserver les données plus longtemps, si cela s’avère nécessaire dans le cadre d’une procédure judiciaire, d’une enquête ou pour une question réglementaire. Ces mises en suspens juridiques ont la priorité sur les délais de suppression habituels, tant que notre équipe juridique ne les supprime pas.

Sous-traitants ultérieurs

Vous trouverez ci-dessous la liste complète de nos sous-traitants ultérieurs et sous-traitants tiers, tous soumis à des exigences strictes en matière de protection de la vie privée et de sécurité au moyen d’accords écrits. Cette liste est régulièrement mise à jour ; vous pouvez vous inscrire à notre liste de diffusion pour être informé des changements.

Tous les Services :

Coda* : Engagement des utilisateurs et gestion de projets. 888 Villa St, Floor 4, Mountain View, CA 94041
Datagrail : Automatisation en matière de confidentialité. 164 Townsend Street, Suite 12, San Francisco, CA 94107 États-Unis
Fivetran : Pipeline ETL. 405 14th St floor 11, Oakland, CA 94612 États-Unis
Plateforme Google Cloud : Entrepôt de données. 1600 Amphitheatre Pkwy Mountain View, CA 94043 États-Unis
Google Workspace* : Création de contenu. 1600 Amphitheatre Pkwy Mountain View, CA 94043 États-Unis
HubSpot : Email Marketing. 25 First Street, 2nd Floor Cambridge, MA 02141
Looker : Analyses de données. 101 Church Street, 4th Floor, Santa Cruz, CA 95060 États-Unis
Microsoft Azure : Fournisseur d’hébergement cloud. One Microsoft Way, Redmond, WA 980527 États-Unis
Rethink Autism* : Fournisseur de soins aux personnes neurodivergentes. 49 West 27th Street, New York, NY 10001
Salesforce : Gestion de la relation client. The Landmark @ One Market, Suite 300 San Francisco, CA 94105 États-Unis
Segment : Analyse des utilisateurs. 100 California Street, Suite 700 San Francisco, CA 94111 États-Unis
Typeform* : Plateforme de sondages. Calle de Pallars 108 (Aticco), 08018, Barcelone (Espagne)
Zapier* : Automatisation du flux de travail. 548 Market St. #62411, San Francisco, CA 94104
Zendesk : Logiciel de support utilisateur. 450 Park Ave S, New York, NY 10016

Sous-traitants ultérieurs pour le Site uniquement :

Webflow : Hébergement de sites web marketing. 398 11th Street, 2nd Floor, San Francisco, CA 94103

Sous-traitants ultérieurs pour l’Application uniquement :

Amazon Web Services* : SSH File Transfer Protocol (SFTP). 410 Terry Avenue North, Seattle, WA 98109 États-Unis
Datadog : Plateforme de surveillance de l’infrastructure et de la sécurité. 620 8th Avenue, Floor 45, New York, NY 10018
HumanAPI* : Intégration des dispositifs portables. 951 Mariners Island Blvd, Suite 300
Qualtrics : Plateforme de sondages. 333 W River Park Dr, Provo, UT 84604, États-Unis
Mailgun : E-mails transactionnels. 112 E Pecan Street, San Antonio, TX 78205 États-Unis

* Peut ne pas s’appliquer à certains Utilisateurs

Exigences en matière de protection de la vie privée pour les prestataires et les sous-traitants

Tous les prestataires et sous-traitants se conforment à des normes strictes par le biais d’accords écrits imposant le respect du RGPD, de la loi CCPA et de la loi HIPAA, des mesures de sécurité appropriées, des notifications de violation dans les 72 heures, des audits réguliers et de la restitution/destruction des données en cas de cessation d’activité.

Rapport sur les incidents liés à la protection de la vie privée

Nous disposons de mécanismes de rapport transparents pour documenter et traiter les incidents, les demandes et les activités de mise en conformité, liés à la protection de la vie privée. Nous réexaminons régulièrement nos pratiques en matière de protection de la vie privée et nous en informons les parties prenantes concernées, y compris les autorités de réglementation, comme l’exige la loi. En cas de violation de données, nous informerons rapidement les personnes et les autorités concernées, conformément aux obligations légales applicables.

Divulgation des données à caractère personnel en Californie

Normes « Do Not Track » (Ne pas suivre) et loi CCPA

Nous ne répondons pas aux signaux « Do Not Track ». Nous ne vendons pas de données à caractère personnel moyennant une contrepartie monétaire. Toutefois, la définition large du terme « vente » de la loi californienne impose la divulgation du partage de données collectées via des cookies avec des tiers.

Droits des consommateurs en Californie

Droit à l’information : catégories et sources de données à caractère personnel collectées, finalités du traitement, catégories de partage avec des tiers et finalités de la divulgation aux entreprises.

Droits de contrôle : refus de la « vente » de données, demande d’effacement (sous réserve d’exceptions) et non-discrimination dans l’exercice des droits.

Comment exercer ses droits : consultez l’adresse https://preferences.thriveglobal.com/privacy ou la section Coordonnées.

Vie privée des enfants

Les Services de Thrive sont destinés à des personnes de 16 ans ou plus, dans le cadre de programmes parrainés par l’employeur. Nous ne collectons pas sciemment de données à caractère personnel auprès d’enfants de moins de 16 ans sans le consentement approprié d’un parent, d’un tuteur ou d’un employé autorisé de l’organisation participante. Si nous apprenons que des données à caractère personnel ont été collectées auprès d’un enfant sans le consentement nécessaire, nous supprimerons ces informations dans les plus brefs délais et prendrons des mesures pour empêcher toute nouvelle collecte. Pour les utilisateurs de moins de 18 ans, l’accès aux Services peut nécessiter l’autorisation d’un parent ou d’un tuteur, conformément aux lois applicables telles que la Children’s Online Privacy Protection Act (COPPA), la loi CCPA/CPRA et le RGPD. Thrive ne promeut pas ses Services directement auprès des enfants et ne permet pas l’auto-inscription des mineurs. Si vous pensez que nous avons collecté des données d’un enfant en violation de cette section, contactez-nous immédiatement à l’adresse privacy@thriveglobal.com.

Programme de conformité HIPAA

Conformité réglementaire HIPAA

Conformité à la règle de confidentialité : nous respectons les exigences de la règle de confidentialité de la loi HIPAA, y compris les droits individuels, les normes minimales nécessaires, la notification des pratiques en matière de confidentialité et les garanties administratives, physiques et techniques.
Conformité à la règle de sécurité : nous appliquons les spécifications de mise en œuvre requises et celles à évaluer, en vertu de la règle de sécurité HIPAA, en prenant des décisions documentées concernant les spécifications à évaluer basées sur l’évaluation des risques et les capacités organisationnelles.
Exécution et sanctions : nous reconnaissons le pouvoir d’exécution concernant la loi HIPAA du Department of Health and Human Services Office for Civil Rights (bureau des droits civils du ministère de la Santé et des services sociaux, en français) et maintenons des programmes de conformité afin de prévenir les violations qui pourraient entraîner des sanctions pécuniaires civiles ou des poursuites pénales.
Respect de la législation d’État : nous nous conformons aux lois régionales applicables en matière de confidentialité et de sécurité qui peuvent fournir des protections supplémentaires pour les données de santé au-delà des exigences de la loi HIPAA.

Délégué à la protection des données et responsable de la sécurité

Délégué à la protection des données : responsable de l’élaboration, de la mise en œuvre et du maintien des politiques et procédures en matière de protection de la vie privée, de la formation à la protection de la vie privée, de l’examen des plaintes et du respect des exigences de la règle de confidentialité de la loi HIPAA.

Responsable de la sécurité : responsable de l’élaboration, de la mise en œuvre et du maintien des politiques et procédures de sécurité, de la formation à la sécurité, de la gestion des contrôles d’accès et de la conformité aux exigences de la règle de sécurité de la loi HIPAA.

Gestion des partenaires

Accords de partenariat (BAA) : tous les fournisseurs, prestataires et sous-traitants ultérieurs qui traitent des Données de santé en notre nom doivent signer des Accords de partenariat (ou Business Associate Agreements), qui impliquent les éléments suivants :

utilisations et divulgations autorisées des Données de santé,
garanties contre l’utilisation ou la divulgation non autorisée,
exigences en matière de notification des violations,
restitution ou destruction des Données de santé en cas de résiliation du contrat,
contrôle de conformité et droits d’audit.

Supervision des prestataires ultérieurs : les partenaires doivent obtenir notre approbation avant d’engager des prestataires ultérieurs et doivent s’assurer de l’exécution appropriée de l’accord de partenariat avec tous les prestataires ultérieurs traitant des Données de santé.

Évaluation des risques et contrôle de la conformité HIPAA

Évaluations annuelles des risques : chaque année, nous procédons à des évaluations des risques afin d’identifier les vulnérabilités, d’évaluer les garanties actuelles et de déterminer les mesures de sécurité supplémentaires nécessaires à la protection des Données numériques de santé.

Formation du personnel : tous les membres du personnel reçoivent une formation à la protection de la vie privée et à la sécurité HIPAA lors de leur embauche, et ce tous les ans. Le personnel responsable des accès aux Données de santé reçoit une formation spécifique.

Contrôle de conformité : nous assurons un contrôle permanent de la conformité, grâce aux moyens suivants :

examens réguliers des journaux d’audit et surveillance des accès,
examens trimestriels du contrôle d’accès et validation des privilèges,
examens et mises à jour annuelles des politiques et des procédures,
suivi des incidents et gestion des actions correctives.

Norme minimale nécessaire : nous limitons l’utilisation, la divulgation et les demandes de Données de santé aux éléments nécessaires à la réalisation de l’objectif visé, sauf dans le cas où la demande provient d’un individu ou l’autorisation est explicite.

Droits individuels dans le cadre de la loi HIPAA : Vous avez le droit :

d’accéder à vos Données de santé et d’en obtenir des copies ;
de demander la modification de Données de santé inexactes ou incomplètes ;
de demander des restrictions à l’utilisation ou à la divulgation des Données de santé ;
de demander des communications confidentielles ;
de recevoir un compte rendu des divulgations de Données de santé ;
de déposer une plainte concernant le traitement des Données de santé.

Garanties de sécurité HIPAA

Garanties administratives :

Responsable de la sécurité HIPAA chargé de la sécurité des Données numériques de santé
Formation du personnel et procédures de gestion de l’accès
Gestion de l’accès aux données basée sur les principes du minimum nécessaire
Procédures en cas d’incident de sécurité et plans d’urgence
Évaluations régulières de la sécurité et des risques

Garanties physiques :

Contrôles d’accès aux installations limitant l’accès physique aux systèmes de Données numériques de santé
Contrôles des dispositifs et des supports pour la création, la réception et la maintenance des Données numériques de santé
Procédures sécurisées d’élimination des dispositifs et supports contenant des Données numériques de santé

Garanties techniques :

Identification unique de l’utilisateur et procédures de déconnexion automatique
Chiffrement des Données numériques de santé au repos (AES-256) et en transit (TLS 1.2+)
Contrôles d’audit pour le suivi de l’accès aux Données numériques de santé et des modifications
Contrôles d’intégrité empêchant toute modification non autorisée des Données numériques de santé
Sécurité de la transmission des communications concernant les Données numériques de santé

Sécurité

Nous examinons et mettons régulièrement à jour nos pratiques de sécurité afin de répondre à l’évolution des menaces et des attentes réglementaires. Bien que nous prenions des garanties strictes pour protéger vos données, aucune transmission Internet ou par e-mail n’est totalement sécurisée. Faites preuve de prudence lorsque vous communiquez des informations sensibles par e-mail ou par le biais de canaux de communication ouverts. Thrive ne peut garantir les actions des autres utilisateurs avec lesquels vous choisissez de partager des informations. Nous ne sommes pas responsables de tout contournement des paramètres de confidentialité ou des fonctionnalités de sécurité au sein des Services. Pour de plus amples informations sur le niveau de sécurité et la certification de Thrive, consultez l’adresse https://thriveglobal.com/security.

Cookies

Nous utilisons des cookies et d’autres technologies pour faire fonctionner les Services, améliorer l’expérience utilisateur et collecter des données d’utilisation.

Types de cookies

Cookies nécessaires (toujours actifs) :

HubSpot : Préférences en matière de confidentialité (__hs_do_not_track, __hs_cookie_cat_pref)
Cloudflare : Protection de la sécurité (_cfuvid)

Cookies de fonctionnalité (facultatifs) :

Spotify : Préférences musicales (sp_landing, sp_t)

Cookies d’analyse (facultatif) :

HubSpot : Suivi de l’utilisation (hubspotutk, __hstc, __hssrc, __hssc)
Thrive Global : Suivi de l’engagement (ajs_anonymous_id)
Google Analytics : Analyses du trafic (_gat_gtag_UA_87667366_5, _ga_C4ZNYJBEB7, _ga_0S15647RW6, _ga, _gid)
Rippling : Suivi des performances (__cf_bm)
YouTube : Analyses vidéo (YSC)
WordPress Engine : Test de fonctionnalité (wordpress_test_cookie)

Cookies publicitaires (facultatifs) :

YouTube : Personnalisation des annonces (VISITOR_INFO1_LIVE)

Vos choix

La plupart des navigateurs proposent des paramètres permettant de contrôler les cookies. La limitation des cookies peut affecter la fonctionnalité du site. Le contrôle du suivi des appareils mobiles peut être limité.

Liens vers d’autres sites web

Les Services peuvent contenir des liens menant vers des Sites tiers que nous ne contrôlons pas. Le partage d’informations à des Sites tiers est régi par leurs politiques de confidentialité, et non par les nôtres. Nous ne cautionnons pas les sites mis en lien.

Coordonnées

Équipe chargée de la protection de la vie privée

E-mail : privacy@thriveglobal.com
Portail de la protection de la vie privée : https://preferences.thriveglobal.com/privacy
Téléphone : 1-888-700-8474

Délégué à la protection des données

E-mail : dpo@thriveglobal.com

Équipe de sécurité

E-mail : security@thriveglobal.com

Adresse postale

Thrive Global Holdings, Inc.
599 Broadway, 6th Floor
New York, NY 10012

Tél. : 1-888-700-8474

Résidents de l’UE, du Royaume-Uni, de la Suisse (DataRep)

Formulaire en ligne : www.dpr.eu.com/thriveglobal
E-mail : thriveglobal@datarep.com
Irlande : DataRep, Phoenix House, Monahan Road, Cork, T12 H1XY, République d’Irlande
Islande : DataRep, Laugavegur 13, 101 Reykjavik, Islande

AUTRES CONDITIONS

Votre accès et votre utilisation des Services sont soumis à toutes les autres conditions applicables à ces Services qui peuvent être publiées sur les Services de temps à autre, y compris, sans s’y limiter, les Conditions générales d’utilisation de Thrive Global sur le site https://www.thriveglobal.com/terms.

MODIFICATIONS DE LA POLITIQUE DE CONFIDENTIALITÉ

Les Services et nos activités peuvent parfois changer. Par conséquent, nous pouvons modifier la présente Politique de confidentialité à tout moment et, le cas échéant, nous publierons une version actualisée sur cette page et indiquerons la date de la dernière mise à jour ci-dessus, à moins qu’un autre type d’avis ne soit requis par la loi en vigueur. Il est recommandé de consulter régulièrement la présente Politique de confidentialité pour prendre connaissance des éventuelles modifications. En continuant à utiliser les Services ou à nous fournir des données après la publication d’une mise à jour de la Politique de confidentialité, ou après que nous vous l’avons notifiée le cas échéant, vous acceptez la Politique de confidentialité révisée et les pratiques qui y sont décrites.

RESPONSABLE DE LA PROTECTION DES DONNÉES

Vous pouvez contacter le ou la responsable de la protection des données en envoyant un e-mail à l’adresse dpo@thriveglobal.com

NOUS CONTACTER

N’hésitez pas à contacter notre équipe de protection des Données à caractère personnel si vous avez des questions sur la Politique de confidentialité de Thrive Global ou sur ses pratiques en matière de traitement de données des Services. Vous pouvez nous contacter par les moyens suivants : Vous pouvez envoyer un e-mail à l’adresse privacy@thriveglobal.com ou envoyer un courrier à l’adresse suivante :

Thrive Global Holdings, Inc.
Service clientèle
599 Broadway
6th Floor
New York, NY 10012
Tél. : 1-888-700-8474

Si vous souhaitez exercer vos droits en matière de confidentialité des données selon votre lieu de résidence, veuillez consulter le site https://preferences.thriveglobal.com/privacy. Pour toute question d’ordre général concernant les demandes et autres préoccupations en matière de confidentialité, veuillez envoyer un e-mail à l’adresse privacy@thriveglobal.com.