Politique de confidentialité de Thrive

Dernière mise à jour : 2 juillet 2025

Bienvenue

Bienvenue chez Thrive Global Holdings, Inc. (« Thrive Global », « Thrive », « nous », « notre » ou « nos »). Thrive propose des solutions de changement de comportement, appuyées par des données scientifiques, conçues pour améliorer le bien-être mental, émotionnel et physique. Notre site Web (« Site »), notre application mobile (« Application ») et nos intégrations avec des plateformes tierces, comme Slack ou Microsoft Teams, permettent aux utilisateurs (« vous », « votre » ou « Utilisateurs ») d’accéder à des outils, à des ressources et à du contenu personnalisés. Parmi ceux-ci figurent des micro-actions, des évaluations, des expériences d’apprentissage et des fonctionnalités de soutien comportemental qui favorisent l’adoption d’habitudes durables et l’amélioration du bien-être général. L’ensemble des services que nous fournissons par l’intermédiaire du Site, de l’Application et des expériences numériques connexes sont désignés comme le(s) « Service(s) ».

Pour fournir et améliorer ces Services, nous pouvons recueillir et traiter divers types de renseignements, y compris des renseignements personnels, des données sur l’interaction (comme la façon dont vous interagissez avec le contenu et les fonctionnalités), des perspectives comportementales, des renseignements liés à la santé et d’autres catégories de données sensibles, conformément aux lois applicables. Nous procédons ainsi en nous fondant sur des bases juridiques adéquates et nous obtenons votre consentement lorsque la loi l’exige.

Thrive s’engage à protéger votre vie privée et à gérer vos données de manière responsable. Nous appliquons les principes de protection de la vie privée et de la sécurité dès la conception et par défaut, et nous mettons en œuvre des mesures de protection techniques et organisationnelles adéquates. Nos pratiques en matière de données sont conçues pour être conformes aux réglementations applicables en matière de protection de la vie privée, notamment la loi HIPAA, le RGPD, la loi CCPA/CPRA et d’autres cadres réglementaires régionaux qui peuvent s’appliquer en fonction de votre emplacement et de la nature de votre interaction avec nos Services.

Accès rapide : Exercez vos droits en matière de protection de la vie privée à l’adresse https://preferences.thriveglobal.com/privacy ou consultez la section Coordonnées ci-dessous.

Objet de la présente politique de confidentialité

La présente politique de confidentialité explique les renseignements personnels que nous recueillons par l’intermédiaire des Services, la manière dont nous les utilisons et les communiquons, ainsi que vos choix concernant nos pratiques en matière de données. Cette politique de confidentialité fait partie intégrante de notre entente sur les conditions d’utilisation, qui est accessible à l’adresse https://www.thriveglobal.com/terms-fr.

Les utilisateurs situés dans différentes régions peuvent être assujettis à des normes de protection des données distinctes, déterminées par l’entente sur la protection des données (EPD) conclue entre leur employeur et Thrive Global. Ce document comprend des sections consacrées aux consommateurs de l’Espace économique européen (EEE), du Royaume-Uni (R.-U.), de la Suisse et de la Californie, ainsi qu’à leurs droits en matière de protection de la vie privée.

Modifications de la politique de confidentialité

Nous pouvons mettre à jour cette politique de confidentialité à mesure que les Services évoluent. Les modifications importantes seront communiquées par courriel 30 jours avant leur entrée en vigueur. Les mises à jour mineures sont publiées avec une nouvelle date de « Dernière mise à jour ». Le fait de continuer à utiliser les Services vaut acceptation des modifications.

Cadre de conformité légale

Nous nous conformons aux lois applicables en matière de protection de la vie privée, y compris le RGPD, la CCPA/CPRA, les lois des États et d’autres exigences juridictionnelles. Notre programme de conformité comprend des examens juridiques réguliers, des évaluations des contrôles et des mises à jour des pratiques de protection de la vie privée au fur et à mesure de l’évolution des lois. Nous travaillons avec des conseillers juridiques pour nous assurer que nos pratiques répondent aux normes réglementaires en vigueur.

Gouvernance en matière de la protection de la vie privée

Notre programme de protection de la vie privée comprend des responsables désignés qui sont chargés de la conformité, de la formation et de la réponse aux incidents en matière de protection de la vie privée. Nous offrons une formation régulière sur la protection de la vie privée à notre personnel et nous appliquons des mesures de responsabilisation pour assurer une conformité continue aux obligations en la matière et à la protection de vos renseignements personnels.

Principes de protection des données

Nous recueillons, utilisons et traitons les renseignements personnels uniquement à des fins légitimes qui correspondent à nos activités commerciales et à nos obligations légales. Nous précisons les fins de la collecte au moment de celle-ci ou avant, nous limitons la collecte aux données nécessaires et nous appliquons les principes de minimisation des données. Nous revoyons périodiquement nos pratiques en matière de données pour éliminer les traitements inutiles et nous mettons en œuvre des mesures techniques et organisationnelles pour protéger votre vie privée.

Principes du droit d’accès

Nous nous engageons à ce que les personnes aient un accès adéquat à leurs renseignements personnels. Sur demande, nous fournirons l’accès à vos données personnelles dans les meilleurs délais, sous réserve de la vérification de votre identité et des exigences légales applicables. Nous pouvons refuser l’accès dans des circonstances limitées, par exemple lorsque la loi l’exige ou lorsque l’accès porterait atteinte à la vie privée d’autrui.

Évaluations des facteurs relatifs à la vie privée

Nous effectuons des évaluations des facteurs relatifs à la vie privée afin de cerner et d’atténuer les risques pour les renseignements personnels. Ces évaluations examinent nos activités de traitement des données, y compris les nouveaux projets, systèmes ou technologies, afin de garantir la conformité avec les lois sur la protection de la vie privée et les exigences de sécurité. Lorsque des risques sont identifiés, nous mettons en œuvre des mesures de protection adéquates pour protéger vos données et votre vie privée.

Précisions sur la limitation de la collecte

Nous limitons la collecte de renseignements personnels à ce qui est nécessaire aux fins déterminées. Nous ne recueillons que les données qui sont pertinentes, adéquates et directement liées aux fins légitimes décrites dans la présente politique. La collecte s’effectue par des moyens licites et transparents, avec un préavis et un consentement appropriés lorsque la loi applicable l’exige.

Fondement juridique du traitement

Nous traitons les renseignements personnels en nous appuyant sur les fondements juridiques suivants, conformément aux lois applicables en matière de protection de la vie privée :

• Consentement : lorsque vous avez donné votre consentement libre, spécifique, éclairé et univoque à des activités de traitement comme les communications commerciales ou la collecte de données facultatives.
• Exécution d’un contrat : le traitement nécessaire à l’exécution de notre contrat de Services avec vous ou pour prendre des mesures à votre demande avant de conclure un contrat.
• Obligation légale : le traitement nécessaire pour se conformer aux lois, aux réglementations ou aux procédures judiciaires applicables.
• Intérêts légitimes : le traitement nécessaire à la poursuite de nos intérêts commerciaux légitimes, comme la sécurité, la prévention de la fraude et l’amélioration des services, lorsque ces intérêts ne prévalent pas sur vos droits en matière de protection de la vie privée.

Renseignements que nous recueillons

Utilisateurs de l’Application

• Renseignements sur le compte : nom, adresse de courriel et autres coordonnées
• Renseignements du profil : photo de profil, biographie, renseignements sur le pays et données démographiques
• Données sur l’interaction avec l’Application : votre interaction avec les sondages sur le bien-être, les webinaires et les activités d’apprentissage et vos réponses
• Renseignements sur la santé et l’activité : données sur le sommeil, le mouvement, la fréquence cardiaque et d’autres données sur le bien-être (y compris des indicateurs physiques, comportementaux ou émotionnels) uniquement si vous choisissez de les fournir directement ou par l’intermédiaire d’un objet personnel connecté
• Communications : messages échangés avec nous ou dans l’Application, y compris les demandes de soutien et les fonctionnalités sociales
• Remarque concernant les utilisateurs mineurs (de 13 à 15 ans) : Si les Services sont mis à la disposition de personnes à charge ou de membres de la famille âgés de 13 à 15 ans dans le cadre d’un programme parrainé ou autorisé par un employeur, Thrive ne traite leurs renseignements personnels qu’avec le consentement vérifié d’un parent ou d’un tuteur, ou avec le consentement de l’organisation qui parraine le programme, conformément aux lois applicables sur la protection de la vie privée des enfants. Tout accès de ce type reste soumis à la section « Protection de la vie privée des enfants » de la présente politique.

Utilisateurs du Site

• Renseignements personnels que vous fournissez : les renseignements saisis lors de l’inscription sur le site (courriel et mot de passe) ou envoyés par voie électronique au moyen de formulaires, de demandes de contact, d’inscriptions à des événements ou d’abonnements à des courriels, comprenant généralement le nom, les coordonnées, les renseignements sur l’entreprise et le numéro de téléphone

Données recueillies automatiquement

• Données de journal : adresse IP, type et paramètres du navigateur, date et heure des demandes et habitudes d’interaction
• Témoins : renseignements provenant des témoins et d’autres technologies (voir la section « Témoins »)
• Renseignements sur l’appareil : type d’appareil, système d’exploitation, paramètres, identifiants uniques et renseignements sur le réseau
• Données d’utilisation : contenu consulté, fonctionnalités utilisées, mesures prises, interactions avec les utilisateurs et durée d’utilisation

Avis de classification réglementaire

La plateforme de Thrive est conçue comme une solution de bien-être général qui aide les personnes à adopter de saines habitudes et à améliorer leurs conditions de vie générales. Bien que nous puissions traiter des renseignements sur la santé lorsque vous choisissez de nous les fournir, nos Services :

• ne sont pas destinés à diagnostiquer, à traiter, à guérir ou à prévenir une maladie ou un problème de santé, ni à remplacer les conseils d’un professionnel de la santé agréé. Si vous avez des préoccupations concernant votre santé mentale ou physique, veuillez consulter un fournisseur de soins de santé qualifié;
• ne constituent pas des instruments médicaux au sens de la réglementation de la Food and Drug Administration (FDA);
• fournissent des informations générales sur le bien-être plutôt que des recommandations cliniques;
• peuvent être offerts dans le cadre de programmes de mieux-être en entreprise soumis à la réglementation de l’EEOC (Equal Employment Opportunity Commission);
• lorsque nos Services sont fournis dans le cadre du programme de mieux-être de votre employeur, nous nous conformons à toutes les réglementations applicables, y compris la loi HIPAA (lorsque nous agissons en tant qu’associés d’affaires), l’ADA, la GINA et les exigences de l’EEOC en matière de programmes de mieux-être.

Comment nous utilisons les renseignements

Principes de limitation de l’utilisation

Nous limitons strictement l’utilisation des renseignements personnels aux fins autorisées définies au moment de la collecte. L’utilisation des données reste conforme aux justifications initiales de la collecte et aux fondements juridiques. Nous ne traitons pas les renseignements personnels à des fins incompatibles avec celles pour lesquelles ils ont été initialement recueillis sans obtenir le consentement approprié ou établir un nouveau fondement juridique.

Intérêts commerciaux légitimes

Amélioration des Services :

• Répondre aux demandes de renseignements et satisfaire aux demandes de service.
• Personnaliser les Services en fonction des habitudes d’utilisation et des préférences.
• Envoyer des renseignements administratifs concernant les Services, les conditions et les modifications de la politique.
• Fournir, maintenir et améliorer le contenu et les fonctionnalités.

Recherche et gestion des données :

• Mener des recherches et fournir des informations agrégées et anonymisées sur l’utilisation.
• Conserver des données de base pour empêcher tout traitement non souhaité après une demande de suppression.

Sécurité et conformité légale :

• Prévenir la fraude, les activités criminelles et l’utilisation abusive des services.
• Garantir la sécurité des systèmes informatiques et respecter les obligations légales.
• Répondre aux demandes légitimes et faire respecter nos conditions d’utilisation.
• Protéger nos activités, nos droits et la sécurité des utilisateurs.

Systèmes d’IA que nous déployons

Nous utilisons l’intelligence artificielle (IA), y compris les technologies d’apprentissage automatique, pour améliorer nos Services, classés comme suit :

Systèmes d’IA à risque limité (soumis à des obligations de transparence) :

• Systèmes de génération de contenu : l’IA crée du contenu et des recommandations personnalisés sur le bien-être.
• Moteurs de recommandation : les algorithmes d’apprentissage automatique suggèrent des micro-actions et des fonctionnalités.
• Agents conversationnels et assistants virtuels : outils de soutien alimentés par l’IA.

Systèmes d’IA à risque minimal :

• Détection de la fraude : l’IA identifie les activités suspectes et les menaces pour la sécurité.
• Optimisation des systèmes : l’apprentissage automatique améliore les performances de l’application et l’expérience de l’utilisateur.
• Traitement analytique : l’IA génère des informations anonymisées sur l’utilisation.

Conformité à la loi européenne sur l’IA

• Mesures de transparence : divulgation claire, par des notifications appropriées, lorsque l’IA intervient dans votre expérience.
• Surveillance humaine : tous les systèmes d’IA fonctionnent sous une surveillance humaine significative, avec du personnel qualifié pour en suivre les performances, et les utilisateurs peuvent demander une intervention humaine.
• Exactitude et robustesse : des mesures appropriées garantissent la fiabilité de l’IA, notamment la validation des performances, la surveillance des erreurs et des biais, et l’amélioration continue.
• Gestion des risques : procédures d’évaluation et d’atténuation des risques, y compris l’évaluation des systèmes, la documentation des capacités et la réponse aux incidents.

Gouvernance des données pour l’entraînement de l’IA

• Données d’entraînement : nous utilisons des données d’utilisateur anonymisées et agrégées, dans le respect de la confidentialité et de la sécurité.
• Modèles de tiers : nous n’utilisons pas vos données personnelles pour entraîner des modèles d’IA externes sans votre consentement explicite.
• Qualité des données : nous mettons en œuvre des mesures pour garantir l’exactitude, la représentativité et l’atténuation des biais des données d’entraînement.

Vos droits et contrôles en matière d’IA

• Droit à l’information : demander des détails sur les systèmes d’IA qui vous affectent de manière significative, comprendre la logique des décisions automatisées, accéder aux informations sur les données d’entraînement.
• Droits de contrôle : désactiver la personnalisation par l’IA, demander un examen humain, contester le contenu généré par l’IA.

Marketing

Nous pouvons communiquer avec vous au sujet de contenus, de services ou de produits qui, selon nous, pourraient vous intéresser. Lorsque la loi l’exige (par exemple pour les utilisateurs de l’UE), nous n’enverrons des informations commerciales qu’avec votre consentement.

Options de retrait : suivez les instructions de désabonnement figurant dans les courriels, modifiez vos paramètres d’utilisateur ou communiquez avec nous.

Les communications relatives au service, nécessaires à sa prestation, ne sont pas affectées par les préférences de retrait des communications commerciales.

Mise à jour de vos renseignements

Nous fournissons un accès approprié aux renseignements personnels sur demande, sous réserve de la vérification de l’identité et des exigences légales. Nous maintenons des mesures raisonnables pour garantir l’exactitude et la qualité des données. Si vous estimez que des renseignements sont inexacts, veuillez communiquer avec nous pour les faire corriger.

Pour exercer vos droits en matière de protection de la vie privée : Visitez https://preferences.thriveglobal.com/privacy ou consultez la section « Coordonnées ».

Résolution des plaintes

Nous prenons au sérieux les plaintes concernant nos pratiques en matière de protection de la vie privée. Si vous avez des préoccupations sur la manière dont nous traitons vos renseignements personnels, veuillez communiquer avec nous en utilisant les coordonnées figurant dans la section « Coordonnées ». Nous mènerons une enquête dans les plus brefs délais, nous accuserons réception de votre plainte dans les sept jours ouvrables et nous nous efforcerons de résoudre le problème dans les 30 jours. Vous pouvez également avoir le droit de déposer une plainte auprès d’une autorité de contrôle.

Droits de participation et de recours

Nous respectons votre droit de participer aux décisions concernant vos renseignements personnels. Vous pouvez demander l’accès, la rectification ou la suppression de vos données, sous réserve des lois applicables et de la vérification de votre identité. Nous répondrons aux demandes dans des délais raisonnables et fournirons des recours ou des explications, comme l’exige la loi. Vous avez le droit de contester nos décisions de traitement et de demander réparation par les voies appropriées.

Cadre de protection des données

Nous participons volontairement au Cadre de protection des données UE–États-Unis, à son extension au Royaume-Uni et au Cadre de protection des données Suisse–États-Unis, et nous nous y conformons. Nous sommes soumis à la surveillance de la FTC (Federal Trade Commission) et demeurons responsables du traitement effectué par les fournisseurs et prestataires de services qui serait incompatible avec les principes du Cadre.

Règlement des différends : Communiquez avec nous d’abord pour toute plainte relative au Cadre de protection des données. Les plaintes non résolues sont renvoyées à JAMS, un service de règlement extrajudiciaire des différends, sans frais pour vous.

Données d’utilisation et programmes de Thrive Global

Nous tirons des renseignements de votre utilisation des Services et pouvons créer des données agrégées ou anonymisées à des fins d’analyse opérationnelle, de rapports financiers, d’audit et à d’autres fins commerciales. Lors du traitement de données provenant de programmes de mieux-être d’employeurs, nous veillons à ce que tous les rapports agrégés respectent les normes d’anonymisation appropriées afin d’empêcher la réidentification des personnes.

Pour les programmes Thrive (webinaires, événements, concours), la participation nous accorde le droit d’utiliser le contenu soumis à des fins commerciales légitimes. La participation vaut acceptation de ces conditions.

Communication et divulgation des renseignements

Communication à des fins commerciales légitimes

Fournisseurs et prestataires de services : nous communiquons des données à des tiers pour l’hébergement, les communications par courriel, le soutien à la clientèle et les analyses (p. ex., Google Analytics, Google Cloud, Microsoft Azure). Tous les fournisseurs se conforment à des normes de confidentialité strictes dans le cadre d’ententes écrites.

Transferts d’entreprise : Les données personnelles peuvent être transférées dans le cadre de fusions, d’acquisitions ou de ventes d’actifs.

Exigences légales : Nous pouvons divulguer des données pour nous conformer à des obligations légales, protéger des droits ou des biens, ou assurer la sécurité publique.

Communication des renseignements à votre demande

Nous pouvons communiquer des données lorsque vous autorisez l’accès à des tiers ou que vous choisissez de communiquer des rapports d’interaction avec des clients d’entreprise. Vous pouvez volontairement communiquer des renseignements à d’autres utilisateurs par l’intermédiaire des fonctionnalités communautaires de l’application.

Règlement général sur la protection des données (RGPD), RGPD du R.-U. et Loi fédérale sur la protection des données (LPD) de la Suisse

Portée et transferts de données

Cette section s’applique aux utilisateurs de l’EEE, du R.-U. et de la Suisse. Lorsque vous accédez à nos Services, les données personnelles sont transmises à nos serveurs aux États-Unis avec des garanties appropriées, y compris des clauses contractuelles types, des certifications du Cadre de protection des données et des mesures de sécurité techniques et organisationnelles.

Rôles de responsable du traitement et de sous-traitant

Responsable du traitement : lorsque vous fournissez des données personnelles par l’intermédiaire de notre plateforme, nous déterminons les finalités du traitement et nous nous conformons aux lois applicables, notamment en réalisant des évaluations des facteurs relatifs à la vie privée lorsque cela est nécessaire.

Sous-traitant : lorsque nous traitons des données pour le compte de clients d’entreprise, nous agissons conformément à leurs instructions et dans le respect des obligations applicables aux sous-traitants.

Vos droits en vertu du RGPD

• Droit d’accès : obtenir la confirmation que vos données personnelles sont traitées et en recevoir une copie.
• Droit de rectification : demander la correction de données personnelles inexactes ou incomplètes.
• Droit à l’effacement : demander la suppression de vos données lorsque certaines conditions sont remplies.
• Droit à la limitation du traitement : demander que nous limitions l’utilisation de vos données.
• Droit à la portabilité des données : recevoir les données dans un format structuré, couramment utilisé et lisible par machine.
• Droit d’opposition : vous opposer à tout moment au traitement de vos données personnelles.
• Droit de retirer son consentement : retirer à tout moment un consentement donné antérieurement.
• Droits relatifs à la prise de décision automatisée : ne pas faire l’objet de décisions fondées exclusivement sur un traitement automatisé.
• Droit de déposer une plainte : déposer une plainte auprès de votre autorité locale de protection des données.

Procédures de demande d’accès

Nous fournissons un accès approprié aux renseignements personnels sur demande, sous réserve de la vérification de l’identité et des exigences légales applicables. Pour demander l’accès, communiquez avec nous en utilisant les coordonnées figurant dans la section « Coordonnées ». Nous pouvons refuser l’accès dans des circonstances limitées, par exemple lorsque la loi l’exige ou lorsque l’accès porterait atteinte à la vie privée d’autrui. Nous répondrons dans les délais applicables et fournirons des explications pour tout refus.

Procédures relatives aux droits des personnes concernées

• Traitement des demandes : nous disposons de procédures normalisées pour traiter les demandes relatives aux droits à la protection de la vie privée, y compris la vérification de l’identité, la validation de la demande, l’évaluation des exceptions et la coordination des réponses entre les unités commerciales.
• Délais de réponse : les demandes normales reçoivent une réponse dans les 30 jours, avec des prolongations possibles de 60 jours pour les demandes complexes. Nous vous informerons de tout retard et nous en donnerons les raisons.
• Exigences en matière de vérification : la vérification de l’identité peut inclure une confirmation par courriel, une authentification du compte ou des documents supplémentaires pour les demandes à haut risque afin d’empêcher tout accès frauduleux.

Transferts internationaux de données

Nous mettons en œuvre des garanties appropriées, y compris des clauses contractuelles types, des décisions d’adéquation et des mesures supplémentaires, comme l’exige l’article 46 du RGPD. Pour les transferts vers des pays sans décision d’adéquation, nous effectuons des évaluations d’impact des transferts et nous mettons en œuvre des mesures techniques et organisationnelles supplémentaires, notamment un chiffrement renforcé, des contrôles d’accès et des protections contractuelles pour garantir une protection adéquate.

Conservation des données

Nous ne conservons les données personnelles qu’aussi longtemps que nécessaire pour les besoins de la collecte, le respect des obligations légales ou le règlement des différends. Les données sont éliminées en toute sécurité par des méthodes de suppression ou d’anonymisation conformes aux normes du secteur. Les périodes de conservation sont documentées et révisées chaque année.

Exactitude et qualité des données

Nous nous efforçons de maintenir l’exactitude, l’exhaustivité et la pertinence des renseignements personnels que nous détenons. Nous mettons en œuvre des mesures raisonnables pour garantir la qualité des données, notamment en mettant à jour les dossiers lorsque des inexactitudes sont décelées. Si vous estimez que vos renseignements personnels sont inexacts ou incomplets, veuillez communiquer avec nous pour les faire corriger en utilisant les coordonnées figurant dans la section « Coordonnées ».

Limites d’utilisation

Nous n’utilisons les renseignements personnels qu’aux fins précisées au moment de la collecte et à des fins compatibles. Nous n’utilisons pas vos données à des fins non liées sans obtenir le consentement approprié ou établir un nouveau fondement juridique. Nos activités de traitement sont documentées et régulièrement révisées pour garantir une conformité continue avec les finalités déclarées.

Traitement des renseignements médicaux protégés et conformité à la loi HIPAA

Nous pouvons traiter des renseignements médicaux protégés (« RMP ») conformément à la loi HIPAA. Les RMP comprennent des données sur la santé comme les antécédents médicaux, les données biométriques et les renseignements sur les activités liées à la santé recueillis dans le cadre de programmes de mieux-être parrainés par l’employeur ou lorsque vous choisissez explicitement de fournir de tels renseignements. Le traitement est strictement limité au soutien de nos Services dans le cadre de garanties appropriées, et les RMP ne sont communiqués qu’à des parties autorisées dans le cadre d’ententes d’associé d’affaires.

Périodes de conservation des données

• Dossiers de RMP et de RMP électroniques : au moins 6 ans, comme l’exige la loi HIPAA, article 164.316(b)(2)(i), des exigences propres à certains États pouvant prévoir des périodes plus longues.
• Journaux d’audit des RMP : au moins 6 ans pour tous les systèmes contenant ou traitant des RMP électroniques, y compris les journaux d’accès, les registres de modification et les journaux d’événements de sécurité.
• Documentation HIPAA : 6 ans pour toute la documentation de conformité à la loi HIPAA, y compris les politiques, les procédures, les évaluations des risques, les dossiers de formation et les rapports d’incident.

Conservation générale des données :

• Données de compte : période d’activité plus 90 jours après la suppression à des fins de sécurité.
• Données de suivi du bien-être : jusqu’à la résiliation du contrat plus 90 jours.
• Préférences commerciales : jusqu’à ce que vous exerciez votre droit de retrait, plus toute période légalement requise.
• Communications de soutien : 1 an pour nous aider à améliorer nos services.
• Journaux de sécurité (autres que les RMP) : 1 an pour la protection des systèmes et la réponse aux incidents.
• Documents commerciaux : 7 ans, comme l’exigent les réglementations financières et fiscales.

Procédures de conservation légale : il se peut que nous devions conserver des données plus longtemps si cela est nécessaire dans le cadre de procédures judiciaires, d’enquêtes ou de questions réglementaires. Ces obligations de conservation légale priment sur les délais de suppression standard jusqu’à ce que notre équipe juridique lève cette obligation.

Sous-traitants

Voici notre liste exhaustive de sous-traitants et de tiers responsables du traitement, chacun étant lié par des exigences strictes en matière de confidentialité et de sécurité dans le cadre d’ententes écrites. Cette liste est régulièrement mise à jour. Vous pouvez vous inscrire à notre liste de diffusion pour être informé des changements.

Tous les services :

• Coda* : interaction avec les utilisateurs et gestion de projets. Adresse : 888 Villa St, Floor 4, Mountain View, CA 94041
• Datagrail : automatisation de la protection de la vie privée. Adresse : 164 Townsend Street, Suite 12, San Francisco, CA 94107 US
• Fivetran : pipeline ETL de données. Adresse : 405 14th St floor 11, Oakland, CA 94612 US
• Google Cloud Platform : entrepôt de données. Adresse : 1600 Amphitheatre Pkwy Mountain View, CA 94043 US
• Google Workspace* : création de contenu. Adresse : 1600 Amphitheatre Pkwy Mountain View, CA 94043 US
• HubSpot : marketing par courriel. Adresse : 25 First Street, 2nd Floor Cambridge, MA 02141
• Looker : analyse de données. Adresse : 101 Church Street, 4th Floor, Santa Cruz, CA 95060 US
• Microsoft Azure : fournisseur d’hébergement infonuagique. Adresse : One Microsoft Way, Redmond, WA 980527 US
• Rethink Autism* : fournisseur de soins pour personnes neurodivergentes. Adresse : 49 West 27th Street, New York, NY 10001
• Salesforce : gestion de la relation client. Adresse : The Landmark @ One Market, Suite 300 San Francisco, CA 94105 US
• Segment : analyse des utilisateurs. Adresse : 100 California Street, Suite 700 San Francisco, CA 94111 US
• Typeform* : plateforme de sondages. Adresse : Calle de Pallars 108 (Aticco), 08018 - Barcelone (Espagne)
• Zapier* : automatisation des flux de travail. Adresse : 548 Market St. #62411, San Francisco, CA 94104
• Zendesk : logiciel de soutien aux utilisateurs. Adresse : 450 Park Ave S, New York, NY 10016

Sous-traitants pour le Site uniquement :

• Webflow : hébergeur du site Web de marketing. Adresse : 398 11th Street, 2nd Floor, San Francisco, CA 94103

Sous-traitants pour l’Application uniquement :

• Amazon Web Services* : SFTP. Adresse : 410 Terry Avenue North, Seattle, WA 98109 US
• Datadog : plateforme de surveillance de l’infrastructure et de la sécurité. Adresse : 620 8th Avenue, Floor 45, New York, NY 10018
• HumanAPI* : intégration des appareils vestimentaires. Adresse : 951 Mariners Island Blvd, Suite 300
• Qualtrics : plateforme de sondages. Adresse : 333 W River Park Dr, Provo, UT 84604, US
• Mailgun : courriels transactionnels. Adresse : 112 E Pecan Street, San Antonio, TX 78205 US

* Peut ne pas s’appliquer à tous les utilisateurs

Exigences en matière de protection de la vie privée pour les entrepreneurs et les sous-traitants

Tous les entrepreneurs et les sous-traitants se conforment à des normes strictes dans le cadre d’ententes écrites exigeant le respect du RGPD, de la CCPA et de la loi HIPAA, des mesures de sécurité appropriées, des notifications de violation dans les 72 heures, des audits réguliers et la restitution ou la destruction des données à la fin du contrat.

Signalement des incidents de protection de la vie privée

Nous maintenons des mécanismes de signalement transparents pour documenter et traiter les incidents, les demandes et les activités de conformité liés à la protection de la vie privée. Nous examinons régulièrement nos pratiques en la matière et nous rendons compte aux parties prenantes concernées, y compris les organismes de réglementation, comme l’exige la loi. En cas de violation de données, nous informerons rapidement les personnes concernées et les autorités, conformément aux obligations légales applicables.

Divulgation relative à la protection de la vie privée en Californie

Signaux « Interdire le suivi » et la CCPA

Nous ne répondons pas aux signaux « Interdire le suivi ». Nous ne vendons pas de renseignements personnels en contrepartie d’une somme d’argent, mais la définition large du terme « vente » dans la loi californienne exige la divulgation de la communication de données de témoins à des fournisseurs tiers.

Droits des consommateurs californiens

Droit à l’information : catégories et sources de renseignements personnels recueillis, finalités du traitement, catégories de communication à des tiers et finalités de la divulgation à des fins commerciales.

Droits de contrôle : droit de refuser la « vente » de données, de demander la suppression (sous réserve d’exceptions) et de ne pas faire l’objet de discrimination pour l’exercice de ces droits.

Comment exercer vos droits : Visitez https://preferences.thriveglobal.com/privacy ou consultez la section « Coordonnées ».

Protection de la vie privée des enfants

Les Services de Thrive sont destinés à être utilisés par des personnes âgées de 16 ans ou plus dans le cadre de programmes parrainés par l’employeur. Nous ne recueillons pas sciemment de renseignements personnels auprès d’enfants de moins de 16 ans sans le consentement approprié d’un parent, d’un tuteur ou d’un employé autorisé de l’organisation participante. Si nous apprenons que des renseignements personnels ont été recueillis auprès d’un enfant sans le consentement nécessaire, nous supprimerons ces renseignements dans les plus brefs délais et prendrons des mesures pour empêcher toute collecte future. Pour les utilisateurs de moins de 18 ans, l’accès aux Services peut nécessiter l’autorisation d’un parent ou d’un tuteur, conformément aux lois applicables comme la COPPA (Children’s Online Privacy Protection Act), la CCPA/CPRA et le RGPD. Thrive ne commercialise pas ses Services directement auprès des enfants et ne permet pas l’auto-inscription des mineurs. Si vous pensez que nous avons pu recueillir des renseignements auprès d’un enfant en violation de cette section, veuillez communiquer avec nous immédiatement à l’adresse privacy@thriveglobal.com.

Programme de conformité à la loi HIPAA

Conformité à la réglementation HIPAA

• Conformité à la Règle sur la protection de la vie privée : nous nous conformons aux exigences de la Règle sur la protection de la vie privée de la loi HIPAA, y compris les droits des individus, la norme du minimum nécessaire, l’avis sur les pratiques de confidentialité et les mesures de protection administratives, physiques et techniques.
• Conformité à la Règle sur la sécurité : nous mettons en œuvre les spécifications requises et celles pouvant être mises en œuvre en vertu de la Règle sur la sécurité de la loi HIPAA, avec des décisions documentées concernant ces dernières, basées sur des évaluations des risques et les capacités de l’organisation.
• Application et sanctions : nous reconnaissons l’autorité d’application de la loi HIPAA du Bureau des droits civils du département de la Santé et des Services sociaux et nous maintenons des programmes de conformité pour prévenir les violations qui pourraient entraîner des sanctions pécuniaires civiles ou des poursuites pénales.
• Conformité aux lois des États : nous nous conformons aux lois des États applicables en matière de protection de la vie privée et de sécurité qui peuvent offrir des protections supplémentaires pour les renseignements sur la santé au-delà des exigences de la loi HIPAA.

Responsable de la protection de la vie privée et responsable de la sécurité

Responsable de la protection de la vie privée : chargé d’élaborer, de mettre en œuvre et de maintenir les politiques et les procédures de protection de la vie privée, d’offrir de la formation en la matière, d’enquêter sur les plaintes et de veiller à la conformité avec les exigences de la Règle sur la protection de la vie privée de la loi HIPAA.

Responsable de la sécurité : chargé d’élaborer, de mettre en œuvre et de maintenir les politiques et les procédures de sécurité, d’offrir de la formation en matière de sécurité, de gérer les contrôles d’accès et de veiller à la conformité avec les exigences de la Règle sur la sécurité de la loi HIPAA.

Gestion des associés d’affaires

Ententes d’associé d’affaires : Tous les fournisseurs, les entrepreneurs et les sous-traitants qui traitent des RMP en notre nom doivent signer des ententes d’associé d’affaires qui comprennent les éléments suivants :

• Les utilisations et les divulgations autorisées des RMP.
• Les mesures de protection visant à empêcher toute utilisation ou divulgation non autorisée.
• Les exigences en matière de notification de violation.
• La restitution ou la destruction des RMP à la résiliation du contrat.
• Les droits de surveillance de la conformité et d’audit.

Surveillance des sous-traitants : les associés d’affaires doivent obtenir notre approbation avant d’engager des sous-traitants et s’assurer de la signature d’une entente d’associé d’affaires appropriée avec tous les sous-traitants qui traitent des RMP.

Évaluation des risques et surveillance de la conformité à la loi HIPAA

Évaluations annuelles des risques : nous effectuons des évaluations des risques chaque année pour cerner les vulnérabilités, évaluer les mesures de protection actuelles et déterminer les mesures de sécurité supplémentaires nécessaires pour la protection des RMP électroniques.

Formation du personnel : tous les membres du personnel reçoivent une formation sur la protection de la vie privée et la sécurité en vertu de la loi HIPAA à l’embauche et chaque année par la suite, avec une formation propre à leur rôle pour le personnel ayant des responsabilités d’accès aux RMP.

Surveillance de la conformité : nous assurons une surveillance continue de la conformité par les moyens suivants :

• Examens réguliers des journaux d’audit et surveillance des accès
• Examens trimestriels des contrôles d’accès et validation des privilèges
• Examens et mises à jour annuels des politiques et procédures
• Suivi des incidents et gestion des mesures correctives

Norme du minimum nécessaire : nous limitons l’utilisation, la divulgation et les demandes de RMP au minimum nécessaire pour accomplir la finalité prévue, à l’exception des divulgations à la personne concernée ou lorsqu’elles sont précisément autorisées.

Droits individuels en vertu de la loi HIPAA : Vous avez le droit :

• d’accéder à vos RMP et d’en obtenir des copies;
• de demander des modifications à des RMP inexacts ou incomplets;
• de demander des restrictions sur l’utilisation ou la divulgation des RMP;
• de demander des communications confidentielles;
• de recevoir un relevé des divulgations de RMP;
• de déposer des plaintes concernant le traitement des RMP.

Mesures de sécurité prévues par la loi HIPAA

Mesures administratives :

• Un responsable de la sécurité désigné en vertu de la loi HIPAA, chargé de la sécurité des RMP électroniques
• Procédures de formation du personnel et de gestion des accès
• Gestion de l’accès à l’information basée sur le principe du minimum nécessaire
• Procédures en cas d’incident de sécurité et planification d’urgence
• Évaluations régulières de la sécurité et des risques

Mesures physiques :

• Contrôles de l’accès aux installations limitant l’accès physique aux systèmes de RMP électroniques
• Contrôles des appareils et des supports pour la création, la réception et la conservation des RMP électroniques
• Procédures d’élimination sécurisée des appareils et des supports contenant des RMP électroniques

Mesures techniques :

• Identification unique de l’utilisateur et procédures de déconnexion automatique
• Chiffrement des RMP électroniques au repos (AES-256) et en transit (TLS 1.2 et plus)
• Contrôles d’audit pour le suivi de l’accès aux RMP électroniques et de leurs modifications
• Contrôles d’intégrité empêchant l’altération non autorisée des RMP électroniques
• Sécurité de la transmission pour les communications de RMP électroniques

Sécurité

Nous examinons et mettons régulièrement à jour nos pratiques de sécurité pour faire face à l’évolution des menaces et des attentes réglementaires. Bien que nous prenions des mesures rigoureuses pour protéger vos renseignements, aucune transmission par Internet ou par courriel n’est entièrement sécurisée. Veuillez faire preuve de prudence lorsque vous communiquez des renseignements sensibles par courriel ou par des canaux de communication ouverts. Thrive ne peut garantir les actions des autres utilisateurs avec qui vous choisissez de communiquer des renseignements, et nous ne sommes pas responsables de tout contournement des paramètres de confidentialité ou des fonctions de sécurité des Services. Pour en savoir plus sur la posture de Thrive en matière de sécurité et sa certification, veuillez consulter la page https://thriveglobal.com/security

Témoins

Nous utilisons des témoins et d’autres technologies pour exploiter les Services, améliorer l’expérience de l’utilisateur et recueillir des données sur l’utilisation.

Types de témoins

Témoins nécessaires (toujours actifs) :

• HubSpot : préférences en matière de confidentialité (__hs_do_not_track, __hs_cookie_cat_pref)
• Cloudflare : protection de la sécurité (_cfuvid)

Témoins de fonctionnalité (facultatifs) :

• Spotify : préférences musicales (sp_landing, sp_t)

Témoins analytiques (facultatifs) :

• HubSpot : suivi de l’utilisation (hubspotutk, __hstc, __hssrc, __hssc)
• Thrive Global : suivi de l’interaction (ajs_anonymous_id)
• Google Analytics : analyse du trafic (_gat_gtag_UA_87667366_5, _ga_C4ZNYJBEB7, _ga_0S15647RW6, _ga, _gid)
• Rippling : surveillance des performances (__cf_bm)
• YouTube : analyse vidéo (YSC)
• WordPress Engine : test de fonctionnalité (wordpress_test_cookie)

Témoins publicitaires (facultatifs) :

• YouTube : personnalisation des publicités (VISITOR_INFO1_LIVE)

Vos choix

La plupart des navigateurs permettent de contrôler les témoins dans leurs paramètres. La limitation des témoins peut affecter la fonctionnalité du site. Le contrôle du suivi sur les appareils mobiles peut être limité.

Liens vers d’autres sites Web

Les Services peuvent contenir des liens vers des sites tiers que nous ne contrôlons pas. La communication de renseignements sur les sites tiers est régie par leurs politiques de confidentialité, et non par la nôtre. Cela ne constitue pas une approbation des sites liés.

Coordonnées

Équipe de la protection de la vie privée

• Courriel : privacy@thriveglobal.com
• Portail de la protection de la vie privée : https://preferences.thriveglobal.com/privacy
• Téléphone : 1 888 700-8474

Délégué à la protection des données

• Courriel : dpo@thriveglobal.com

Équipe de la sécurité

• Courriel : security@thriveglobal.com

Adresse postale

Thrive Global Holdings, Inc.
599 Broadway, 6th Floor
New York, NY 10012

Tél. : 1 888 700-8474

Résidents de l’UE, du R.-U. et de la Suisse (DataRep)

• Formulaire en ligne : www.dpr.eu.com/thriveglobal
• Courriel : thriveglobal@datarep.com
• Irlande : DataRep, Phoenix House, Monahan Road, Cork, T12 H1XY, République d’Irlande
• Islande : DataRep, Laugavegur 13, 101 Reykjavik, Islande

---

© 2025 Thrive Global Holdings, Inc. Tous droits réservés.