POLITIQUE DE CONFIDENTIALITÉ

Bienvenue sur la politique de confidentialité de Tomo !

Cette page a vocation à vous présenter :

• Comment Tomo collecte vos informations sur sa plateforme et les sécurise
• Comment Tomo apporte de la transparence sur ses modalités de collecte et de traitement de vos données
• Comment nous respectons la réglementation applicable en matière de traitement de données
• Comment nous contacter pour répondre à vos demandes

NOUS CONTACTER :

• TOMO :
  🏢 21 rue Lamartine, 75009 PARIS, France
  📞 07 56 83 24 12
  📧 hello@jointomo.com

1. ARTICLE PRÉLIMINAIRE

Notre politique de confidentialité (la « Politique de Confidentialité »), est éditée par la société TOMO ( « Tomo ») pour notre plateforme éponyme disponible à l’adresse https://www.jointomo.com/, ou à toute autre adresse web qui serait ultérieurement définie par Tomo (la « Plateforme »). A ce titre, Tomo est considérée comme responsable du traitement de vos informations, en ce qu’elle en détermine les moyens et les finalités des traitements opérés via la Plateforme.

La collecte de vos informations peut s’effectuer via trois canaux :

• Tomo est partenaire d’établissements de santé et de laboratoires, ainsi que de structures médico-sociales de manière générale (nos « Partenaires »). Dans ce cadre, nous sommes susceptibles de collecter les informations des personnes en charge de nos relations. Cette page n’a pas vocation à présenter à cette catégorie de personnes les modalités des traitements opérés dans le cadre de notre relation. Pour toute information, nous vous remercions de bien vouloir vous référer au document dédié directement auprès du Partenaire concerné.
• Certaines catégories de personnes sont elles-mêmes patientes de nos Partenaires (les « Patients ») : vous vous inscrivez à notre Plateforme sur proposition du Partenaire.
• Tomo a créé un réseau de « pairs-aidants » : vous souhaitez candidater pour cette fonction. Le cas échéant, vous bénéficiez d’un compte utilisateur sur notre Plateforme (les « Pairs-Aidants »).

La Plateforme permet ainsi :

• Pour les Partenaires, de proposer les services de notre Plateforme aux Patients ;
• Pour les Patients, de bénéficier de la mise en relation avec des Pairs-Aidants ;
• Pour les Pairs-Aidants, de rencontrer et d’échanger avec des Patients.

Les Patients et Pairs-Aidants sont après désignés, pour les besoins des présentes, comme les « Utilisateurs » de notre Plateforme.

Notre modèle est plus amplement décrit dans nos conditions générales d’utilisation (les « CGU »), que nous vous invitons à lire pour davantage d’informations. La Politique de Confidentialité complète nos CGU sur les modalités de collecte de vos données.

La Politique de Confidentialité a pour objet d’informer les Utilisateurs de la Plateforme des moyens mis en œuvre par Tomo pour assurer la sécurité de la collecte et du traitement de leurs données à caractère personnel via la Plateforme.

Tomo porte en effet une attention toute particulière au traitement respectueux des données de ses utilisateurs et respecte en ce sens la loi n°2018-93 du 20 juin 2018 relative à la protection des données personnelles, qui a modifié la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, ainsi que le Règlement (UE) 2016/679 du Parlement et du Conseil en date du 27 avril 2016 (le « RGPD ») (et collectivement, la « Réglementation »).

Plus précisément, conformément aux dispositions de l'article 5 du RGPD la collecte, le traitement et l’hébergement des données des Utilisateurs de la Plateforme respectent les grands principes suivants :

• Licéité, loyauté et transparence : les données ne peuvent être collectées et traitées que sur l’un des fondements prévus par la Réglementation en vigueur, avec le consentement de l'Utilisateur. Dès lors que des données à caractère personnel seront collectées, il sera indiqué à l'Utilisateur que ses données sont collectées, et les raisons pour lesquelles elles sont collectées. Vous pouvez toujours consulter cette page pour prendre connaissance des modalités de collecte, en toute transparence.
• Finalités limitées : la collecte et le traitement de vos données sont réalisés pour répondre à un ou plusieurs objectifs déterminés dans la Politique de Confidentialité.
• Minimisation de la collecte et du traitement des données : seules les données à caractère personnel nécessaires à la bonne exécution des objectifs poursuivis par la Plateforme sont collectées.
• Conservation des données réduites dans le temps : les données sont conservées pour une durée limitée, dans le respect de la législation en vigueur et dont l'Utilisateur est informé.
• Intégrité et confidentialité des données collectées et traitées : nous garantissons que les données à caractère personnel que nous collectons sont exactes, complètes et à jour. Elles ne sont accessibles qu’aux personnes dûment autorisées à les connaître et sont protégées par des mesures techniques et organisationnelles que nous mettons en œuvre.

Nous nous réservons le droit de modifier notre Politique de Confidentialité en raison : de la modification de nos procédures internes ; du changement des fonctionnalités de la Plateforme ; ou encore en fonction de l’évolution de la Réglementation, sous réserve de vous en informer préalablement dans la mesure où les modifications affecteraient de manière significative vos droits et libertés. Vous pouvez toujours consulter la dernière version de la Politique de Confidentialité sur la présente page, ou directement dans votre Compte Personnel (si vous en disposez). Nous publierons toute modification des règles de confidentialité sur cette page et, dans le cas où il s’agirait de modifications significatives, nous publierons un avertissement mis en évidence (y compris, pour certains services, par le biais d’une notification par e-mail, ou visible depuis votre Compte Personnel une fois connecté).

2. DEFINITIONS

En plus des mots définis dans la Politique de Confidentialité, les mots ci-après définis, commençant par une lettre majuscule et pris indifféremment au singulier ou au pluriel, auront la signification suivante :

« Compte Personnel » désigne l’espace personnel créé par un Utilisateur sur la Plateforme lui permettant de bénéficier des fonctionnalités offertes par Tomo.

« Donnée » : désigne toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Dans le cadre de la collecte de Données sur la Plateforme, constituent les personnes physiques identifiées ou identifiables les Utilisateurs.

« Pair-Aidant » : désigne la catégorie d’Utilisateur suivante : la personne atteinte d’une pathologie déterminée demandant à s’inscrire sur la Plateforme en vue d’être sélectionnée, sur critères préalablement définis au sein des CGU, par Tomo, afin d’aider les Patients à comprendre et vivre avec leur maladie.

« Partenaire » : désigne l’établissement de santé, le laboratoire, ou toute structure médico-sociale, partenaire de Tomo, qui propose à ses Patients de bénéficier de s’inscrire sur la Plateforme et de bénéficier de ses fonctionnalités.

« Patient » : désigne la catégorie d’Utilisateur, patiente du Partenaire, atteinte d’une pathologie déterminée et souhaitant bénéficier des fonctionnalités de la Plateforme sur proposition du Partenaire, pour échanger sur l’expérience de sa pathologie avec un Pair-Aidant.

« Utilisateur » : désigne la personne physique âgée de quinze (15) ans ou plus (conformément aux dispositions de l’article 45 de la loi Informatique et Liberté), Patient ou Pair-Aidant, se créant un Compte Personnel aux fins de bénéficier des fonctionnalités offertes sur la Plateforme et dont les Données sont collectées à cet effet, ce à quoi il consent expressément.

3. QUELLES SONT LES DONNEES COLLECTEES PAR TOMO ET SUR QUEL FONDEMENT ?

Tomo est susceptible de collecter les Données suivantes sur les fondements juridiques suivants :

Lors de :	les Données collectées via la Plateforme sont :	dont le fondement juridique est :
La création du Compte Personnel, selon le choix de l’Utilisateur :	Nom d’utilisateur Adresse e-mail Numéro de téléphone Mot de passe A défaut de communication de ces Données, l’Utilisateur est dûment informé qu’il ne pourra créer de Compte Personnel ni bénéficier des services de la Plateforme (nonobstant les modalités d’inscription avec le compte Facebook ou Google décrites ci-après). Les Données de l’Utilisateur liées à son compte personnel Google ou Facebook : nom, prénom, adresse e-mail, l’avatar et la liste de ses amis parmi la liste de l’Utilisateur Facebook connectés sur la Plateforme (si l’Utilisateur choisit de partager ces informations). L’Utilisateur est informé du fait que la Plateforme ne transmettra jamais les informations ou Données collectées via l’utilisation de la Plateforme à Google ou Facebook. En particulier, aucune des activités qu’il aura effectuée via l’utilisation de la Plateforme ne sera communiquée à Facebook, ou même simplement publiée sur le mur de son profil Facebook. L’Utilisateur est informé que Tomo aura accès à la liste d’amis sur Facebook connectés à la Plateforme via Tomo si vous l’acceptez, ainsi que le type d’audience que vous acceptez de partager. L’accès à la Plateforme par Google ou Facebook s’effectue directement via vos profils et les mots de passe associés via la technologie OAuth (documentation de sécurité disponible ici). Néanmoins, les informations que vous communiquez via la Plateforme ne seront jamais transmises à Google ou Facebook. Vous pouvez à tout moment supprimer cet accès de la manière suivante : Pour Google, se connecter sur son compte Google. Sélectionner l’onglet « sécurité ». Faire défiler la page jusqu’à « se connecter avec d’autres sites » et appuyer sur « se connecter à l’aide de Google ». Sélectionner l’application Tomo et cliquer sur « supprimer l’accès ». Toutes les informations de Google ici et ici. Pour Facebook, se connecter sur son compte Facebook, puis cliquer sur la photo de profil en haut à droite de Facebook. Aller dans « paramètres et confidentialité », puis cliquer sur « paramètres » ; cliquer sur « applications et sites Web » dans le menu de gauche. Cliquez sur « supprimer » à côté de Tomo. Vous pouvez sélectionner l’option suivante : « autoriser Facebook à avertir Tomo que votre connexion a été supprimée ». Tomo vous proposera une autre méthode de connexion. Toutes les informations de Facebook ici.	Ces Données sont collectées sur la base du consentement exprès de l’Utilisateur (en cochant la case correspondante au moment de son inscription). Lors de votre inscription, vous serez également invité à lire la présente page et à en valider les termes. En outre, les Données d’inscription sont également collectées sur le fondement de l’exécution du contrat qui nous lie (CGU pour les Patients et contrat pour le Pair-Aidant).
La gestion du Compte Personnel par l’Utilisateur	Photographie, avatar de l’Utilisateur L’Utilisateur peut, selon sa seule volonté, ajouter une photographie ou un avatar à son Compte Personnel. Il peut également renseigner son nom de famille, son sexe, sa date de naissance, sa ville.
La navigation de l’Utilisateur sur la Plateforme	Les données « cookies », plus amplement décrites à l’article 10 de la Politique de Confidentialité.	Ces Données sont collectées sur le fondement du recueil du consentement (si celui-ci est requis) l’Utilisateur lors de sa validation du bandeau cookie apparaissant lors de sa navigation sur la Plateforme.
L’utilisation du Compte Personnel de l’Utilisateur et des fonctionnalités de la Plateforme	Les Données relatives au parcours Utilisateur et aux actions des Utilisateurs en utilisant les fonctionnalités de la Plateforme, à savoir : les Données relatives aux prises de rendez-vous Pairs-Aidants/Patients : date, créneau horaire, nom, pathologie sélectionnée pour le Patient : les Données relatives aux questionnaires. Les questionnaires comprennent certaines demandes d’informations pour aider le Pair-Aidant à préparer le rendez-vous avec le Patient. Ces questionnaires sont donc susceptibles de contenir toutes les informations que le Patient communiquera volontairement, dont des données portant sur son état de santé. Les Données que les Utilisateurs communiquent volontairement pour remonter d’éventuels problèmes rencontrés sur la Plateforme. Les Données collectées dans le cadre de la messagerie disponible sur la Plateforme, dédiée aux échanges confidentiels entre les Pairs-Aidants et les Patients. Nous vous informons que Tomo, par défaut, n’accède pas au contenu des messages échanges entre les Patients et les Pairs-Aidants, sauf en cas de contentieux et/ou de litige entre les Utilisateurs et que ces derniers les remontent explicitement à Tomo.	Ces Données sont collectées sur la base du consentement de l’Utilisateur exprès (en cochant la case correspondante au moment de son inscription), ainsi que sur l’exécution de notre relation contractuelle dans le cadre de la mise à disposition d’un Compte Personnel sur la Plateforme (pour les Patients : CGU ; pour les Pairs-Aidants : contrat).
L’exercice des droits des Utilisateurs (article 9 de la Politique de Confidentialité)	Les coordonnées de l’Utilisateur (adresse e-mail ou adresse postale, le cas échéant) ; Le contenu de sa demande d’exercice ; S’il existe un doute raisonnable sur l’identité de l’Utilisateur, un justificatif d’identité.	En exerçant ses droits, l’Utilisateur consent à la collecte et au traitement de ses Données. De même, pour Tomo, ce traitement est opéré pour répondre aux obligations légales qui lui incombent en qualité de responsable du traitement, à savoir, respecter vos droits.
L’inscription à la newsletter	L’adresse e-mail.	Cette Donnée est collectée sur la base du consentement de l’Utilisateur exprès (en cochant la case correspondante au moment de son inscription).
Le recrutement d’un Patient-Aidant	De manière générale, Tomo collecte les informations nécessaires à l’évaluation de la pertinence de la candidature du Patient-Aidant et de son respect des valeurs et principes éthiques du modèle de pair-aidance adopté et revendiqué par Tomo. Le nom, prénom et coordonnées du Pair-Aidant ; Les réponses à un questionnaire d’auto-évaluation ; Les comptes-rendus d’un premier échange établi entre un professionnel de santé et un Pair-Aidant recruté et expérimenté ; Les comptes-rendus de l’évaluation individuelle réalisé par un comité éthique Son justificatif d’identité ; Un justificatif de diplôme le cas échéant ; Les informations relatives au suivi de la formation imposée par Tomo pour bénéficier de la qualité de Pair-Aidant (réussite à la formation, certificat de réussite, nombre d’heures de formation, niveau etc.) ; Les informations contenues dans le contrat liant Tomo et le Pair-Aidant (le cas échéant, numéro SIRET, profession, attestation d’assurance de responsabilité civile etc.) ; Toutes les informations que le Pair-Aidant communiquera volontairement pour être recruté en cette qualité.	En soumettant sa candidature en tant que Pair-Aidant, ce dernier consent à la collecte et au traitement de ses Données. En outre, ces informations sont collectées sur le fondement de la prise de mesures précontractuelles à la demande du Pair-Aidant. Enfin, il est de l’intérêt légitime de Tomo de procéder aux vérifications nécessaires et préalables sur la situation personnelle du Pair-Aidant, permettant de déterminer s’il répond aux critères d’éligibilité mis en place par Tomo pour bénéficier de cette qualité, pour la sécurité et l’intérêt du Patient.
Les retours d’expérience des Utilisateurs	Tomo est susceptible de solliciter de ses Utilisateurs, si ces derniers l’acceptent, leurs retours d’expérience sur l’utilisation de la Plateforme. Dans ces conditions, Tomo est susceptible de collecter : Les réponses à des questionnaires d’utilisation pour les Patients, leur avis sur les Pairs-Aidants ; Les réponses à des questionnaires d’utilisation pour les Pairs-Aidants, le respect des conditions de qualification des Pairs-Aidants. Les Utilisateurs sont soumis aux conditions de rédaction des contenus des Conditions Générales, disponibles sur ce lien (notamment, de rédaction de qualité, de soumission de contenus non contraires aux bonnes mœurs, à la moralité, à la loi et/ou à l’ordre public, non diffamatoire).	Il est de l’intérêt légitime de Tomo de solliciter des retours d’expérience des Utilisateurs sur la Plateforme, ses fonctionnalités. La vérification opérée sur la qualité des échanges des Pairs-Aidants est par nature nécessaire à Tomo pour s’assurer que les Pairs-Aidants exécutent convenablement leurs obligations contractuelles. Il en va en effet de la nécessité de sauvegarde de l’intérêt vital de chaque Patient. Par exemple : si un Patient est dans une situation de détresse, mais que le Pair-Aidant n’a pas enclenché la procédure d’urgence.

De manière générale, nous invitons les Utilisateurs à ne jamais communiquer de données sensibles ou confidentielles, relevant notamment de votre prétendue origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, d’appartenance syndicale, vos données biométriques etc. Les informations à communiquer sont celles qui sont liées à votre état de santé en vue d’améliorer votre suivi par la pair-aidance. Ces dispositions sont également applicables aux échanges effectués dans la messagerie du Compte Personnel.

4. POURQUOI TOMO COLLECTE-T-ELLE VOS DONNÉES ?

Les Données collectées par Tomo et ci-dessus listées sont collectées pour les finalités suivantes :

Dans les situations suivantes,	vos Données sont collectées pour les finalités suivantes :
La création du Compte Personnel, selon le choix de l’Utilisateur Nom d’utilisateur, adresse e-mail, numéro de téléphone, mot de passe	vous permettre de créer votre Compte Personnel ; vous permettre de bénéficier des fonctionnalités de la Plateforme ; vous compter parmi notre liste de Patients, et notre liste de Pair-Aidant ; établir des statistiques sur le nombre de Patients et de Pair-Aidant utilisant notre Plateforme ; assurer la sécurité de notre Plateforme via votre mot de passe ; vous permettre de modifier votre mot de passe en cas d’oubli.
La gestion du Compte Personnel par l’Utilisateur Photographie, avatar, nom de famille, sexe, date de naissance, ville	vous permettre de personnaliser votre Compte Personnel (il est rappelé que les Données collectées lors de ce traitement ne sont pas obligatoires pour se créer un Compte Personnel) ; nous collectons également ces informations pour nous permettre d’établir des statistiques anonymes sur nos Patients et Pairs-Aidants ; nous collectons date de naissance et sexe pour optimiser le matching entre un patient et un pair aidance ; nous collectons votre ville pour rapprocher au mieux les Patients et Pairs-Aidants en fonction de leur lieu géographique. En effet, ils sont susceptibles de pouvoir échanger sur des établissements de santé qu’ils ont tous deux fréquentés dans le cadre du traitement de leur pathologie.
La navigation de l’Utilisateur sur la Plateforme Données « cookies » (article 10 de la Politique de Confidentialité)	De manière générale, les données via le placement de cookies permettent de comprendre le parcours des Utilisateurs aux fins d’amélioration constante de la Plateforme, en nous permettant de comprendre les fonctionnalités les plus appréciées, les plus utiles, ou à l’inverse, les moins appréciées, les moins inutiles. Des cookies sont également placés aux fins d’assurer la sécurité de la Plateforme. Le placement de cookies permet également l’optimisation de la navigation sur la Plateforme notamment en fonction de vos besoins (exemple : langue d’affichage ; connexion rapide) et vous permettre de nous faire des reportings sur tout dysfonctionnement que vous auriez pu constater. L’objectif étant de vous proposer des services performants et adaptés à vos besoins. L’étude de votre connexion et de votre navigation sur la Plateforme nous permet également de réaliser des statistiques de mesure d’audience et de fréquentation. Par exemple, si nous constatons qu’une fonctionnalité n’est jamais utilisée par les Utilisateurs, nos équipes techniques et opérationnelles la remanient, l’améliorent ou la suppriment. Si vous ne vous connectez plus sur la Plateforme, nous pourrons également proposer de vous y connecter pour bénéficier de l’aide de Pair-Aidant ou de proposer votre aide en qualité de Pair-Aidant, ou encore de supprimer votre Compte Personnel si vous n’en avez plus d’utilité.
L’utilisation du Compte Personnel de l’Utilisateur et des fonctionnalités de la Plateforme Prises de rendez-vous (date, créneau, horaire, nom, pathologie), réponses aux questionnaires, toute donnée renseignée volontairement par le Patient /le Pair-Aidant	Les Données collectées lors de votre utilisation de la Plateforme nous permettent de : vous proposer nos fonctionnalités ; trouver le Pair-Aidant le plus susceptible de répondre aux besoins du Patient ; proposer son aide aux Patients ; aider le personnel médical en charge du Patient à améliorer le suivi constant de sa pathologie ; optimiser la navigation sur la Plateforme notamment en fonction de vos besoins (exemple : langue d’affichage) et vous permettre de nous faire des reportings sur tout dysfonctionnement que vous auriez pu constater ; réaliser des statistiques de mesure d’audience et de fréquentation de la Plateforme.
L’exercice des droits des Utilisateurs (article 9 de la Politique de Confidentialité) Coordonnées de l’Utilisateur, contenu de la demande, pièce d’identité en cas de doute raisonnable	Gérer et répondre à vos demandes d’exercice des droits.
L’inscription à la newsletter Adresse e-mail	Communiquer sur nos activités et sur le sujet de la pair-aidance de manière générale ; Établir un suivi des ouvertures de nos e-mails et de l’engagement des membres de notre communauté.
Le recrutement d’un Patient-Aidant Nom, prénom, coordonnées postales et électroniques, justificatif d’identité, diplôme le cas échéant, parcours de suivi de la formation Tomo ; réponses au questionnaire d’auto-évaluation ; comptes-rendus des échanges avec le professionnel de santé / Pair-Aidant expérimenté ; comptes-rendus des évaluations opérées par un comité éthique	Constituer un vivier de Pairs-Aidants susceptibles de répondre aux besoins des Patients ; Procéder à toutes les vérifications nécessaires portant sur la qualité du profil du Pair-Aidant, conformément à notre procédure de recrutement des Pairs-Aidants. Nous vous invitons à consulter la documentation contractuelle pour davantage d’informations sur cette procédure ; Permettre au Pair-Aidant de suivre les formations proposées par Tomo en vue de son recrutement ; Proposer le profil du Pair-Aidant aux Patients.
Les retours d’expérience des Utilisateurs sur la Plateforme et les fonctionnalités associées Les réponses à des questionnaires d’utilisation pour les Patients, leur avis sur les Pairs-Aidants ; les réponses à des questionnaires d’utilisation pour les Pairs-Aidants, le respect des conditions de qualification des Pairs-Aidants.	Vérifier le correct fonctionnement de la Plateforme ; Vérifier la pertinence des fonctionnalités ; Améliorer constamment les services pour satisfaire les Utilisateurs ; Vérifier que les Pairs-Aidants respectent les principes de la pair-aidance mis en place par Tomo ; Assurer la sécurité des Patients.

Comment Tomo peut proposer aux Pairs-Aidants le profil de Patients et inversement ?

En vous inscrivant sur la Plateforme, vous confiez vos Données à nos équipes internes pour que votre profil soit communiqué aux Pairs-Aidants (pour les Patients) et les Patients aux Pairs-Aidants (pour les Pairs-Aidants).

L’évaluation de la pertinence du Pair-Aidant sélectionné par le Patient est effectuée directement par les équipes de Tomo, en fonction des données renseignées, afin de « matcher » directement les Pairs-Aidants au profil des Patients, notamment en fonction de la pathologie dont ils souffrent, sur le fondement de votre consentement.

5. QUI A ACCÈS AUX DONNÉES DES UTILISATEURS ?

Les catégories de destinataires de vos Données sont :

• Tomo, ses équipes internes, pour assurer la mise à disposition de la Plateforme et de ses fonctionnalités.

Les équipes internes de Tomo sont dûment habilitées à cet effet : l’équipe opérationnelle, en charge de trouver le meilleur Pair-Aidant pour le Patient ; l’équipe technique en charge du développement de la Plateforme (notamment, pour vérification des mesures de sécurité et application des durées de conservation).

• Les Pairs-Aidants sélectionnés par Tomo pour répondre aux besoins des Patients sont également destinataires des Données des Patients pour leur permettre d’assurer les échanges les plus pertinents. De même, les Patients auront accès au profil des Pair-Aidant pertinents pour comprendre dans quelle mesure ils disposent des facultés essentielles pour répondre aux besoins du Patient.
• Ses sous-traitants, pour la prestation d’hébergement, de développement et maintenance de la Plateforme, ainsi que l’envoi des e-mails de communication dans la stricte exécution des contrats qui nous lient.
• Les Partenaires de Tomo ont accès aux informations des Patients dans le cadre du suivi de leur dossier médical.
• Le partenaire de formation de Tomo est également destinataire des Données des Pairs-Aidants dans le cadre du suivi de leur formation. Le partenaire de formation est également certifié Qualiopi.

Tomo s’engage à ne jamais communiquer les Données collectées dans le cadre des présentes sans le consentement des Utilisateurs, nonobstant les cas où leur transmission répondrait à une sollicitation explicite d’une autorité et/ou d’un organisme étatique dans le respect de la Réglementation en vigueur.

6. QUI EST L’HÉBERGEUR DES DONNÉES COLLECTÉES SUR LA PLATEFORME ?

Tomo informe les Utilisateurs que les Données collectées sur la Plateforme sont hébergées chez les prestataires suivants :

et

Nous vous informons que, dans le cadre de l’utilisation de la Plateforme, notamment lors de :

• la communication des réponses aux questionnaires permettant de matcher le profil d’un Patient à un Pair-Aidant ;

Tomo collecte des Données concernant votre santé. Les Données concernant la santé sont définies comme « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne » (article 4. 15) du RGPD).

Du fait de la sensibilité particulière de ce type de Données et aux fins de respect des dispositions du Code de la santé publique, Tomo a pris soin de faire appel à des hébergeurs spécialement certifiés pour héberger des données concernant la santé :

et

Tomo informe les Utilisateurs que leurs Données ne font l’objet d’aucun transfert en dehors de l’Espace économique européen.

7. COMBIEN DE TEMPS VOS DONNÉES SONT-ELLES CONSERVÉES ?

Tomo informe les Utilisateurs que les Données collectées via la Plateforme sont conservées pour les durées qui n’excèdent pas celles nécessaires aux finalités initiales de leur collecte, à savoir :

Dans les situations suivantes, les Données collectées…	… sont conservées pour les durées suivantes :
La création du Compte Personnel, selon le choix de l’Utilisateur Nom d’utilisateur, adresse e-mail, numéro de téléphone, mot de passe	Ces Données sont conservées pour la durée d’inscription de l’Utilisateur à la Plateforme. En cas de désinscription à la Plateforme par l’Utilisateur dans les conditions indiquées aux CGU, il est dûment informé que ses Données collectées lors de la création de son Compte Personnel seront conservées trois (3) ans à compter de la désinscription, puis feront l’objet d’une suppression définitive. L’Utilisateur pourra solliciter de Tomo une restitution de ses Données précédemment chargées via son Compte Personnel.
La gestion du Compte Personnel par l’Utilisateur Photographie, avatar, nom de famille, sexe, date de naissance, ville	Ces Données sont conservées pour la durée d’inscription de l’Utilisateur à la Plateforme. 15 jours après la désinscription, Tomo procèdera à la suppression de ces Données.
La navigation de l’Utilisateur sur la Plateforme Données « cookies »	Ces Données sont conservées pour une durée maximum de vingt-quatre (24) mois (cf. article « cookies » dédié).
L’utilisation du Compte Personnel de l’Utilisateur et des fonctionnalités de la Plateforme Prises de rendez-vous (date, créneau, horaire, nom, pathologie), réponses aux questionnaires, toute donnée renseignée volontairement par le Patient	Ces Données sont conservées pour la durée de votre inscription sur le Plateforme. Suite à votre désinscription sur la Plateforme, nous procèderons à une pseudonymisation et un chiffrement de ces informations et nous conserverons ces informations protégées pour une durée de 5 ans à compter de votre désinscription, à titre de preuve en cas de contentieux, avec Utilisateur ou un Partenaire. En tout état de cause, ces informations sécurisées ne seront accessibles qu’aux personnes le nécessitant selon une procédure d’habilitation interne. En revanche, les données issues de votre pathologie font l’objet d’une suppression immédiate dès votre désinscription. En outre, en cas d’absence de connexion de l’Utilisateur sur la Plateforme à l’issue d’une durée de 2 ans, un e-mail l’invitant à se connecter ou à procéder à la suppression de son Compte Personnel sera envoyé. A défaut de réponse dans un délai de 6 mois, une autre sollicitation sera envoyée. A l’issue d’une nouvelle relance, en cas d’absence de réponse dans un même délai de 6 mois, le Compte Personnel sera clôturé. La clôture n’empêche pas l’Utilisateur de solliciter un nouveau Compte Personnel, sous réserve pour le Pair- Aidant de répondre aux critères requis pour bénéficier de cette qualité, étant précisé que les Données précédemment chargées ne pourront pas être récupérées.
L’exercice des droits des Utilisateurs (article 9 de la Politique de Confidentialité) Coordonnées de l’Utilisateur, contenu de la demande, pièce d’identité en cas de doute raisonnable	Suppression dans un délai de : un an en cas d’exercice du droit d’accès ou de rectification à compter de la date de réception de la demande, pour des considérations de preuve ; trois ans en cas d’exercice du droit d’opposition à compter de la date de réception de la demande ; pour des considérations de preuve.
L’inscription à la newsletter Adresse e-mail	Cette adresse e-mail est conservée le temps de l’inscription de l’Utilisateur à la newsletter. Il est rappelé que l’Utilisateur peut se désinscrire à tout moment en cliquant sur le lien de désabonnement intégré à nos newsletters.
Le recrutement d’un Patient-Aidant Nom, prénom, coordonnées postales et électroniques, justificatif d’identité, diplôme le cas échéant, parcours de suivi de la formation Tomo ; réponses au questionnaire d’auto-évaluation ; comptes-rendus des échanges avec le professionnel de santé / Pair-Aidant expérimenté ; comptes-rendus des évaluations opérées par un comité éthique	Les informations du Pair-Aidant sont conservées le temps de leur inscription sur la Plateforme. Dès leur désinscription, de leur propre fait, ou sur décision de Tomo, notamment, si le Pair-Aidant ne répondait plus aux conditions requises, Tomo conservera les informations pour une durée de 5 ans à compter de la désinscription pour des considérations de preuve en cas de contentieux. Ces Données seront alors pseudonymisées et ne seront accessibles qu’à un nombre restreint de personne dûment habilitées (notamment, aux équipes juridiques). Les Données issues de la pathologie du Pair-Aidant seront immédiatement supprimées.
Les retours d’expérience des Utilisateurs sur la Plateforme et les fonctionnalités associées Les réponses à des questionnaires d’utilisation pour les Patients, leur avis sur les Pairs-Aidants ; les réponses à des questionnaires d’utilisation pour les Pairs-Aidants, le respect des conditions de qualification des Pairs-Aidants.	Les durées de conservation de ces traitements dépendront de la situation : dans le cas où un dysfonctionnement serait remonté sur la Plateforme, seul le dysfonctionnement en lui-même sera conservé par Tomo pour des considérations de sécurité ; dans le cas où une problématique particulière serait remontée sur le comportement d’un Pair-Aidant, les informations communiquées seront conservées par Tomo en fonction des conséquences effectives (par exemple, si une action pénale devait être engagée).

8. QUELS SONT VOS DROITS SUR VOS DONNÉES ?

Tomo informe ses Utilisateurs qu’ils disposent à l’égard de leurs Données collectées et traitées via la Plateforme, de l’existence des droits suivants :

• un droit d’information, ce qui signifie que vous avez le droit d’obtenir des informations claires, transparentes, compréhensibles et accessibles aisément sur la manière dont nous utilisons vos Données. C’est la raison pour laquelle nous créé cette page ;
• un droit d’accès, ce qui signifie que vous pouvez obtenir et vérifier vos Données collectées et traitées via la Plateforme (sous réserve des dispositions ci-après) ;
• un droit de rectification, ce qui signifie que vous pouvez rectifier les informations inexactes ou périmées vous concernant, ainsi que de demander qu’elles soient complétées si elles sont incomplètes ou mises à jour ;
• un droit d’effacement ou droit à l’oubli, ce qui signifie que vous pouvez solliciter l’effacement de vos Données. Ceci n’est néanmoins pas un droit absolu, dans la mesure ou Tomo (ou le Partenaire) peut être contraint de conserver les Données pour des motifs d’ordre légal ;
• un droit à la portabilité de vos Données, ce qui signifie que vous pouvez solliciter la communication d’une copie de vos Données pour les réutiliser ailleurs, auprès d’un autre responsable de traitement. Ce droit s’applique uniquement aux traitements opérés sur la base de votre consentement ou sur un contrat et qu’il est effectué à l’aide de procédés automatisés. Le droit à la portabilité implique que vous ayez fourni vos Données dans un format structuré, couramment utilisé. Tomo se chargera de la transmission si cela est techniquement possible ;
• un droit à la limitation, ce qui signifie que vous pouvez « geler » l’utilisation de vos Données (par exemple, lorsque vous exercez en parallèle un autre droit en cours de vérification ou d’examen) ;
• un droit d’opposition au traitement des Données basé sur l’intérêt légitime, ce qui signifie que vous pouvez vous opposer à l’utilisation de vos Données pour des raisons tenant à votre situation particulière.

Conformément à la réglementation concernant le traitement des données à caractère personnel, l'Utilisateur possède les droits ci-après énumérés, et consultables sur le site de la CNIL à l’adresse suivante : https://www.cnil.fr/les-droits-pour-maitriser-vos-donnees-personnelles.

De manière générale, vous avez le droit d’accéder à vos Données et de demander qu’elles soient rectifiées, complétées ou mises à jour. Vous pouvez également demander la suppression de vos Données, en limiter le traitement, ou vous opposer à leur traitement en invoquant des raisons tenant à votre situation particulière.

Si votre demande d’opposition ne concerne pas une forme de sollicitation par la société TOMO, celle-ci ne pourra justifier son refus qu’aux motifs suivants :

• il existe des motifs légitimes et impérieux à traiter les Données ou que celles-ci sont nécessaires à la constatation, exercice ou défense de droits en justice ;
• vous avez consenti – vous devez alors retirer ce consentement et non vous y opposer ;
• un contrat vous lie avec Tomo ;
• une obligation légale lui impose de traiter vos Données ;
• le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique.

Vous pouvez exercer vos droits en remplissant le formulaire accessible ici ou par courrier à l’adresse suivante : Tomo, service RGPD, 21 rue Lamartine, 75009, Paris. L’origine et la date de la collecte de vos Données devra être indiquée (exemple : « j’étais inscrit sur la Plateforme en qualité de Pair-Aidant depuis le 1er janvier 2022 » ; « je me suis inscrite à la newsletter de Tomo le 20 septembre 2023 »). Dans le cas où Tomo aurait un doute sur votre identité, pour protéger vos informations et éviter les usurpations d’identité, une demande de preuve pourrait être sollicitée, notamment, un justificatif d’identité. Tomo dispose d’un délai d’un (1) mois à compter de la réception de votre demande pour y répondre, sauf si elle est mal-fondée, manifestement excessive ou si une difficulté nécessite une extension de délai, portée à trois (3) mois maximum.

Vous êtes également informés que vous pouvez solliciter la suppression de votre Compte Personnel directement depuis la Plateforme dans l’onglet « Supprimer mon compte », ou par e-mail, à l’adresse hello@jointomo.com. Pour une demande de suppression de Compte Personnel, une fois le formulaire réceptionné, le compte sera suspendu pendant 15 jours, puis supprimé.

Vous pouvez enfin formuler des directives relatives à la conservation, à l’effacement et à la communication de vos Données après votre décès.

Enfin, conformément aux dispositions du RGPD, l'Utilisateur a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un procédé automatisé si la décision produit des effets juridiques le concernant, ou l'affecte de manière significative de façon similaire.

Vos droits en matière d’opposition aux sollicitations à des fins de recherche/statistiques

Nous sommes susceptibles d’utiliser vos coordonnées dans le cadre de sollicitations à des fins de recherche/statistique, en conformité avec la loi applicable et les clauses de la présente Politique de Confidentialité. Vous pouvez à tout moment vous opposer à ces sollicitations en cliquant sur le lien de désabonnement prévu dans chaque e-mail, en vous rendant sur votre Compte Personnel ou en contactant hello@jointomo.com.

Dans le cas où Tomo décide de ne pas répondre à la demande de l'utilisateur, et que l'utilisateur souhaite contester cette décision, ou, s'il pense qu'il est porté atteinte à l'un de ses droits, il est en droit d’introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés (CNIL) :

https://www.cnil.fr/fr/plaintes, ou par courrier, à l’adresse : CNIL - 3 place de Fontenoy TSA 80715 – 75334 Paris Cedex 07.

Nous vous informons également qu'un délégué à la protection des données (DPO) a bien été désigné auprès de la CNIL et qu’il est joignable à l’adresse suivante : hello@jointomo.com.

9. QUELLES SONT LES MESURES DE SÉCURITÉ ADOPTÉES PAR TOMO ?

En qualité de responsable du traitement, Tomo met en œuvre toutes les mesures techniques et organisationnelles appropriées (disponible sur cette page) pour s’assurer de la sécurité des traitements effectués dans le cadre des présentes, garantir la protection des droits et répondre aux exigences de la Réglementation.

En outre, l’Utilisateur est informé que l’accès aux Données en interne n’est autorisé qu’aux personnes strictement habilitées à cet effet. Tomo a en effet sensibilisé et formé son personnel au traitement des Données, aux dispositions de la Réglementation en vigueur, et à ses conséquences.

Tomo porte une attention toute particulière à la sécurité des Données et informe les Utilisateurs mettre en œuvre toutes les mesures techniques et organisationnelles appropriées pour garantir leur confidentialité, intégrité et sécurité, y compris la protection contre leur perte, leur destruction ou les dégâts d’origine accidentelle, ainsi que la résilience constante des systèmes et services des traitements effectués dans le respect de leurs droits (mesures d’authentification sur les comptes administrateur de gestion de la Plateforme, mise en place d’une politique de mots de passe, sécurisation des locaux, chiffrement de certaines Données, et chiffrement en transit, chiffrement du mot de passe…).

En aucun cas vos Données ne sont revendues à des tiers. Et elles ne seront pas transmises à des tiers sans que l'Utilisateur n'en ait été informé. Une telle transmission respectera les finalités pour lesquelles ces Données ont été collectées.

De plus, le responsable du traitement des Données s'engage à notifier l'Utilisateur en cas de rectification ou de suppression des Données, à moins que cela n'entraîne pour lui des formalités, coûts et démarches disproportionnées.

Dans le cas où l'intégrité, la confidentialité ou la sécurité des Données de l'Utilisateur est compromise, le responsable du traitement s'engage à informer l'Utilisateur par tout moyen, si la Réglementation l’exigence.

10. COMMENT PARAMÉTRER MES COOKIES ?

Tomo utilise des cookies et technologies de traçage. Un cookie est un fichier texte placé sur le terminal de l’Utilisateur dès lors qu’il se connecte et navigue sur la Plateforme. Le cookie reconnaît le terminal chaque fois que l’Utilisateur accède à un contenu numérique comportant des cookies du même émetteur.

Tomo informe l’Utilisateur placer les cookies suivants sur la Plateforme, pour les finalités et durées suivantes :

Nom du cookie	Finalité	Durée de vie
Tarteaucitron Documentation ici	Utilisé pour se rappeler des préférences de l'Utilisateur en matière de cookies.	1 an
Crisp Documentation ici	Utilisé pour recueillir de manière anonyme des Données sur le parcours de l'Utilisateur.	6 mois
_GRECAPTCHA Documentation ici	reCAPTCHA définit ce cookie nécessaire lorsqu'il est exécuté dans le but de fournir son analyse des risques.	6 mois
_tomo_session Documentation ici	Se rappeler de la session de l’Utilisateur pour qu’il se connecte directement lors de sa prochaine visite.	Session

L’Utilisateur peut consentir au placement de tels cookies via le bandeau d’information qui apparaît sur la page de la Plateforme lors de sa navigation.

L’Utilisateur peut également :

• refuser tout placement de cookies, mais est dûment informé que ce refus global pourra entraîner l’impossibilité de navigation et/ou d’utilisation des fonctionnalités de la Plateforme ;
• paramétrer les cookies, en choisissant ceux qu’il accepte et ceux qu’il refuse ;
• paramétrer son navigateur de la manière suivante :

Firefox : instructions ici

Google Chrome : instructions ici

Safari : instructions ici

Vous êtes dûment informés que le refus de placement de cookies peut parfois empêcher la navigation et l’utilisation optimale de la Plateforme.

Pour gérer les cookies de la Plateforme, Tomo fait appel au prestataire Tarteaucitron. Nous avons paramétré les cookies pour que votre consentement soit redemandé tous les 12 mois.

À tout moment, vous pouvez retirer ou modifier votre consentement, en nous contactant à l’adresse e-mail suivante hello@jointomo.com.

11. POINT LÉGAL

La Politique de Confidentialité est régie par la loi française et toute contestation ou litige qui pourraient naître de l’interprétation ou de l’exécution de celle-ci seront de la compétence exclusive des tribunaux selon les règles édictées par le Code de procédure civile français. L’autorité chef de file est la CNIL. La langue de référence, pour le règlement de contentieux éventuels, est le français.

Si Tomo fait l’objet d’une acquisition par une autre entreprise ou d’une fusion avec une autre entreprise, nous nous engageons à garantir la confidentialité de vos Données et à vous informer que celles-ci ne soient transférées ou soumises à de nouvelles règles de confidentialité moins fortes.

12. POUR TOUTE QUESTION SUR VOS DONNÉES, CONTACTEZ TOMO !

Pour toute question relative à la collecte ou au traitement de vos Données, n’hésitez pas à contacter le DPO de Tomo :

• Par téléphone au numéro : 07 56 83 24 12 ;
• Par courrier, à l’adresse postale : Tomo, service RGPD, 21 rue Lamartine, 75009 Paris (France) ;
• Par email, à l’adresse électronique : hello@jointomo.com

Toute question sera toujours accueillie avec bienveillance !

Dernière version de la Politique de Confidentialité : 03 mars 2025

PRIVACY POLICY

Welcome to Tomo's privacy policy!

This page is designed to explain:

• How Tomo collects and secures your information on its platform
• How Tomo keeps you informed about how your data is collected and processed
• How we comply with the regulations applicable to data processing
• How to contact us if you have any questions

CONTACT US:

• TOMO:
  🏢 21 rue Lamartine, 75009 PARIS, France
  📞 07 56 83 24 12
  📧 hello@jointomo.com

1. INTRODUCTORY ARTICLE

Our privacy policy (the “Privacy Policy”) is published by TOMO (“Tomo”) for our eponymous platform available at https://www.jointomo.com/, or any other web address that Tomo may later define (the “Platform”). As such, Tomo is considered the data controller because it determines the purposes and means of the processing carried out through the Platform.

Your information may be collected through three different channels:

• Tomo partners with healthcare facilities and laboratories, as well as with medico-social organisations in a broad sense (our “Partners”). In that context, we may collect information about the people responsible for our relationship. This page is not intended to explain to that audience how their data is processed. For more information, please refer to the document provided directly by the relevant Partner.
• Certain categories of people are themselves patients of our Partners (the “Patients”): you register on our Platform at the Partner’s request.
• Tomo has created a network of “peer supporters”: you may want to apply for this role. If you do, you will receive a user account on our Platform (the “Peer Supporters”).

The Platform therefore allows:

• Partners to offer our Platform’s services to Patients;
• Patients to be put in touch with Peer Supporters;
• Peer Supporters to meet and interact with Patients.

Patients and Peer Supporters are collectively referred to as the “Users” of our Platform for the purposes of this document.

Our service model is described in greater detail in our terms of use (the "Terms of Use"), which we encourage you to read for more information. This Privacy Policy supplements our Terms of Use by explaining how your data is collected.

This Privacy Policy informs Users of the measures implemented by Tomo to keep their personal data safe when it is collected and processed through the Platform.

Tomo attaches great importance to handling its users’ data with care and in compliance with Law no. 2018-93 of 20 June 2018 on the protection of personal data, which amended Law no. 78-17 of 6 January 1978 on information technology, files, and civil liberties, and with the General Data Protection Regulation no. 2016/679 of 27 April 2016 (“GDPR”).

We reserve the right to amend our Privacy Policy due to changes in our internal procedures, changes in the Platform’s features, or developments in the Regulations, provided that we inform you beforehand if those changes may significantly affect your rights and freedoms. You can always view the latest version of the Privacy Policy on this page or directly from your Personal Account (if you have one). We will publish any updates to the privacy rules on this page and, if they are significant, we will display a prominent notice (including, for certain services, by email or via a notification visible from your Personal Account once you are logged in).

2. DEFINITIONS

In addition to the terms defined elsewhere in this Privacy Policy, the following capitalised terms, whether used in the singular or plural, have the meanings set out below:

“Personal Account” means the personal space created by a User on the Platform that enables them to access the features offered by Tomo.

“Data” means any information relating to an identified or identifiable natural person; an “identifiable natural person” is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to their physical, physiological, genetic, mental, economic, cultural or social identity. For the purposes of the data collected on the Platform, the identified or identifiable natural persons are the Users.

“Peer Supporter” means the following category of User: a person diagnosed with a specific condition who applies to register on the Platform in order to be selected, based on the criteria defined in the Terms of Use, by Tomo to support Patients as they understand and live with their illness.

“Partner” means the healthcare facility, laboratory, or any other medico-social organisation partnering with Tomo that offers its Patients the possibility of registering on the Platform and benefitting from its features.

“Patient” means the category of User who is a patient of a Partner, has been diagnosed with a particular condition, and wishes to use the Platform’s features at the Partner’s invitation to share their experience of the condition with a Peer Supporter.

“User” means any natural person aged fifteen (15) or over (in accordance with Article 45 of the French Data Protection Act), whether Patient or Peer Supporter, who creates a Personal Account to enjoy the features available on the Platform and whose Data is collected for that purpose, with their express consent.

3. WHAT DATA DOES TOMO COLLECT AND ON WHAT LEGAL BASIS?

Tomo may collect the following Data on the legal bases set out below:

When:	The Data collected via the Platform is:	The legal basis is:
Creating the Personal Account, depending on the User's choices:	Username Email address Phone number Password If these Data are not provided, the User is informed that they will not be able to create a Personal Account or benefit from the Platform's services (notwithstanding the Facebook or Google sign-in flows described below). The User Data linked to their Google or Facebook account: first name, last name, email address, avatar, and the list of the User's Facebook friends who are also connected to the Platform (if the User chooses to share this information). The User is informed that the Platform will never transmit the information or Data collected through the Platform to Google or Facebook. In particular, none of the actions they perform on the Platform will be shared with Facebook or published on their Facebook profile wall. The User is informed that Tomo may access the list of Facebook friends who connect to the Platform through Tomo if the User consents, as well as the type of audience they allow to be shared. Access to the Platform through Google or Facebook is managed directly through your profiles and associated passwords using OAuth technology (security documentation available here). However, the information you provide via the Platform will never be transmitted to Google or Facebook. You can revoke this access at any time: For Google, log in to your Google account. Select the “Security” tab. Scroll to “Signing in with other sites” and click “Signing in with Google”. Select the Tomo app and click “Remove access”. Full information from Google is available here and here. For Facebook, log in to your Facebook account, click your profile picture in the upper-right corner, select “Settings & privacy” then “Settings”; click “Apps and Websites” in the left-hand menu. Click “Remove” next to Tomo. You can select “Allow Facebook to notify Tomo that your login was removed”. Tomo will then offer another sign-in method. More information from Facebook is available here.	This Data is collected on the basis of the User's express consent (by ticking the relevant box at registration). During sign-up you will also be invited to read this page and accept its terms. Additionally, registration Data is collected on the basis of performing the contract between us (the Terms of Use for Patients and the agreement for Peer Supporters).
Managing the User's Personal Account	User's photo or avatar The User may, at their discretion, add a photo or avatar to their Personal Account. They may also add their family name, gender, date of birth, and city.
Browsing the Platform	“Cookie” Data, described in more detail in Article 10 of this Privacy Policy.	This Data is collected on the basis of the User's consent (where required) when they validate the cookie banner that appears while browsing the Platform.
Using the User's Personal Account and the Platform's features	Data relating to the User journey and their actions when using the Platform's features, namely: Data relating to Peer Supporter/Patient appointments: date, time slot, name, and selected condition For the Patient: Data relating to the questionnaires. These questionnaires include questions that help the Peer Supporter prepare the appointment with the Patient. Consequently, they may contain any information that the Patient voluntarily chooses to share, including health data. Data voluntarily shared by Users to report any issues encountered on the Platform. Data collected through the Platform's messaging feature, which allows confidential exchanges between Peer Supporters and Patients. Please note that Tomo does not access the content of the messages exchanged between Patients and Peer Supporters, unless there is a dispute and the Users explicitly share it with Tomo.	This Data is collected on the basis of the User's express consent (by ticking the relevant box at registration), and in order to perform our contractual relationship when we provide a Personal Account on the Platform (for Patients: Terms of Use; for Peer Supporters: the agreement).

4. WHY DOES TOMO COLLECT YOUR DATA?

Tomo collects your Data for the following purposes:

Purposes of the processing	Legal basis
Managing sign-up and access to the Personal Account and the Platform's features: Creating your Personal Account Managing Tomo's relationship with the User Managing support requests for technical issues Sending alerts and notifications to Users who consent when their profile matches another User Invoicing Tomo's services	Contractual performance: these purposes are necessary for Tomo to provide the Platform's services to Users.
Providing access to the Platform's messaging service: Peer Supporters and Patients can communicate securely directly within the Platform.	Contractual performance
Analysing the usage of the Platform (statistics) and improving our services: Monitoring overall usage of the Platform Improving the User experience Understanding User expectations Offering new services (trusted doctors, pathology guides, blog, etc.)	Legitimate interest: Tomo needs to understand how the Platform performs and how Users experience it.
Ensuring the security and proper functioning of the Platform: Preventing fraudulent use of the Platform Preserving the integrity of the Platform	Legitimate interest: customising the Platform so that Users can enjoy a reliable environment.
Managing Tomo's relationship with Partners: Managing the contact details of Partner representatives Following up with Partners Improving the quality of the services delivered to Partners	Legitimate interest: providing quality follow-up for partners.
Responding to your requests to exercise your rights through the Platform: Processing requests to access, rectify, erase, and port Data Managing objections to processing Managing requests to restrict processing	Legal obligation: complying with requests submitted pursuant to Article 12 GDPR.

With your express consent, Tomo also shares with certain Partners a report summarising the support provided. This report is shared by Tomo with the Partner to keep them informed about the support given to the Patients referred by that Partner.

In addition to the purposes listed above, your Data may also be used to comply with legal and regulatory obligations, notably at the request of a judiciary body.

5. WHO CAN ACCESS USER DATA?

The categories of recipients of your Data are as follows:

• Tomo and its internal teams, in order to provide the Platform and its features.

Tomo's internal teams are duly authorised for this purpose: the operations team, which is responsible for finding the best Peer Supporter for each Patient; and the technical team in charge of developing the Platform (in particular, to verify the security measures and apply the retention periods).

• The Peer Supporters selected by Tomo to address Patients' needs also receive the Patients' Data so that they can provide the most relevant conversations. Likewise, Patients access the profiles of relevant Peer Supporters so that they can understand how their skills meet the Patient's needs.
• Tomo's processors, for hosting, development and maintenance of the Platform, and for sending communication emails strictly in accordance with the contracts that bind us.
• Tomo's Partners, who access Patient information as part of their medical follow-up.
• Tomo's training partner, which receives Peer Supporter Data in order to track their training. The training partner holds the Qualiopi certification.

Tomo undertakes never to disclose the Data collected under this Policy without the Users' consent, except where disclosure is made in response to an explicit request from a regulatory or governmental authority in compliance with applicable Regulations.

6. WHO HOSTS THE DATA COLLECTED ON THE PLATFORM?

Tomo informs Users that the Data collected on the Platform is hosted by the following providers:

and

We inform you that when you use the Platform, and in particular when:

• you submit answers to questionnaires so that a Patient profile can be matched with a Peer Supporter;

Tomo collects Data about your health. Health Data is defined as “personal data related to the physical or mental health of a natural person, including the provision of healthcare services, which reveal information about that person's health status” (Article 4(15) GDPR).

Given the sensitive nature of this Data and in accordance with the French Public Health Code, Tomo uses hosting providers specifically certified to host health data:

and

Tomo informs Users that their Data is not transferred outside the European Economic Area.

7. HOW LONG DO WE KEEP YOUR DATA?

Tomo informs Users that the Data collected via the Platform is retained for no longer than required for the purposes for which it was initially collected, namely:

In the following situations, the Data collected…	… is retained for the following periods:
Creating the Personal Account, depending on the User's choice Username, email address, phone number, password	This Data is stored for as long as the User is registered on the Platform. If the User unsubscribes from the Platform in accordance with the Terms of Use, they are informed that the Data collected when creating their Personal Account will be retained for three (3) years from the date of unsubscribing, after which it will be permanently deleted. The User may ask Tomo to return the Data previously stored in their Personal Account.
Managing the Personal Account by the User Photo, avatar, family name, gender, date of birth, city	This Data is retained for as long as the User is registered on the Platform. Fifteen days after unsubscribing, Tomo will delete this Data.
Browsing the Platform Cookie Data	This Data is retained for a maximum of twenty-four (24) months (see the dedicated “cookies” section).
Using the User's Personal Account and the Platform's features Appointments (date, time slot, name, condition), questionnaire answers, any data voluntarily provided by the Patient	This Data is stored for as long as you are registered on the Platform. Once you unsubscribe from the Platform, we pseudonymise and encrypt this information and keep it protected for five (5) years from your unsubscription, as evidence in case of disputes with a User or a Partner. In any case, this secure information is only accessible to duly authorised persons through an internal permissions procedure. Data relating to your condition is deleted immediately when you unsubscribe. If a User does not log in to the Platform for two years, we will email them asking to log in or delete their Personal Account. If they do not respond within six months, we will send a reminder. After a further reminder, if there is still no response within the same six-month period, the Personal Account will be closed. Closure does not prevent the User from requesting a new Personal Account, provided that Peer Supporters continue to meet the eligibility criteria. Please note that previously uploaded Data cannot be recovered.

8. WHAT ARE YOUR DATA RIGHTS?

You have the rights listed below, which you can exercise by sending an email to hello@jointomo.com or by writing to the following address: Tomo, service RGPD, 21 rue Lamartine, 75009 Paris (France). Please remember to specify which Data you would like to access, rectify, or delete. To protect confidentiality and ensure your identification, Tomo will ask you to provide proof of identity.

If you exercise this right…	… here is how Tomo will respond:
Right of access to Data (Article 15 GDPR) You may request confirmation that a User’s personal Data is or is not being processed and, where it is, request access to it.	Tomo will provide: a copy of the personal Data undergoing processing; any available information on the source of the Data, the purposes of processing, the categories of Data concerned, the recipients or categories of recipients to whom the Data have been or will be disclosed, particularly those in third countries or international organisations, where possible, the envisaged period for which the personal Data will be stored or, if not possible, the criteria used to determine that period, the existence of the right to request rectification or erasure of Data, the right to restrict processing and the right to object to processing, the right to lodge a complaint with the Commission Nationale de l’Informatique et des Libertés (CNIL), where the Data are not collected from the User, any available information as to their source, the existence of automated decision-making, including profiling, and, at least in those cases, meaningful information about the logic involved and the significance and envisaged consequences of such processing for the User. Tomo will provide a copy of the Data being processed. Tomo may charge a reasonable fee based on administrative costs for any additional copies requested by the User.
Right to Data portability (Article 20 GDPR) You may receive the personal Data concerning you, which you have provided to Tomo, in a structured, commonly used, machine-readable format, and transmit those Data to another controller without hindrance from Tomo.	This right applies only when the processing is based on consent or on a contract, and when the processing is carried out by automated means.
Right to rectification of Data (Article 16 GDPR) You may obtain the rectification of inaccurate personal Data concerning you. Taking into account the purposes of the processing, you may also have incomplete personal Data completed, including by providing a supplementary statement.	You can also update your information directly from your Personal Account.
Right to erasure of Data – right to be forgotten (Article 17 GDPR) Tomo processes Data for a limited period in connection with your relationship with Tomo. Beyond that period, the Data is deleted or anonymised. You may withdraw your consent at any time when the processing is based on consent.	Tomo may refuse to delete Data when the processing is justified by a legal obligation or necessary to exercise or defend legal claims.
Right to object (Article 21 GDPR) You may object at any time, on grounds relating to your particular situation, to the processing of Data necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in Tomo, or necessary for the purposes of legitimate interests pursued by Tomo or a third party.	You can exercise this right in your Personal Account. Tomo may still process Data when there are compelling legitimate grounds that override your interests and rights or for the establishment, exercise or defence of legal claims.
Right to restriction of processing (Article 18 GDPR) You may have the processing of your Data restricted in the cases permitted by the regulations.	This right allows you to have the processing of your Data suspended, for example while we verify the accuracy of the Data.

If you exercise any of the rights listed above, we will respond within one (1) month following receipt of your request. If necessary, that period may be extended by two (2) months, taking into account the complexity and number of requests. Tomo will inform you within one (1) month of receiving the request, stating the reasons for any extension. When the User submits a request electronically, the information will be provided electronically where possible, unless the User requests otherwise.

If your requests are manifestly unfounded or excessive, particularly due to their repetitive nature, Tomo may either charge a reasonable fee that covers the administrative costs of providing the information, or refuse to act on the request.

You may also set out instructions regarding the storage, deletion, and disclosure of your Data after your death.

In accordance with the GDPR, Users have the right not to be subject to a decision based solely on automated processing if that decision produces legal effects concerning them or significantly affects them in a similar way.

Your right to object to research/statistics communications

We may use your contact details for research or statistical purposes, in compliance with applicable law and this Privacy Policy. You may object to such communications at any time by clicking the unsubscribe link in each email, by visiting your Personal Account, or by contacting hello@jointomo.com.

If Tomo decides not to act on a User's request and the User wishes to challenge this decision, or if they believe that their rights have been infringed, they may lodge a complaint with the Commission Nationale de l’Informatique et des Libertés (CNIL):

https://www.cnil.fr/fr/plaintes, or by post at CNIL - 3 place de Fontenoy TSA 80715 – 75334 Paris Cedex 07.

We also inform you that a data protection officer (DPO) has been appointed with the CNIL and can be contacted at the following address: hello@jointomo.com.

9. WHAT SECURITY MEASURES HAS TOMO IMPLEMENTED?

As the data controller, Tomo implements all appropriate technical and organisational measures (available on this page) to ensure the security of the processing carried out hereunder, protect Users' rights, and meet Regulatory requirements.

In addition, Users are informed that access to Data internally is restricted to people who are expressly authorised. Tomo has trained and raised awareness among its staff about Data processing, applicable Regulations, and the corresponding implications.

Tomo pays very close attention to Data security and informs Users that it implements all appropriate technical and organisational measures to ensure confidentiality, integrity, and security, including protection against accidental loss, destruction or damage, as well as ensuring the resilience of the systems and services that process the Data (administrator account authentication measures, password policy, securing premises, encrypting certain Data, encryption in transit, password hashing, etc.).

Your Data is never sold to third parties. It will not be shared with third parties unless Users have been informed beforehand. Any such sharing will be limited to the purposes for which the Data were collected.

The data controller also undertakes to notify the User in case Data is rectified or erased, unless doing so would entail disproportionate efforts, costs, or steps.

If the integrity, confidentiality, or security of the User's Data is compromised, the data controller will inform the User by any appropriate means, where required by the Regulations.

10. HOW CAN I MANAGE MY COOKIES?

Tomo uses cookies and tracking technologies. A cookie is a text file stored on the User’s device as soon as they connect to and browse the Platform. The cookie recognises the device each time the User accesses digital content containing cookies from the same issuer.

Tomo places the following cookies on the Platform, for the purposes and durations shown below:

Cookie name	Purpose	Lifespan
Tarteaucitron Documentation here	Remembers the User's cookie preferences.	1 year
Crisp Documentation here	Collected anonymously to understand the User journey.	6 months
_GRECAPTCHA Documentation here	Set by reCAPTCHA when it runs, so it can provide its fraud-risk analysis.	6 months
_tomo_session Documentation here	Remembers the User session so they can be signed in automatically at their next visit.	Session

The User may consent to these cookies via the information banner that appears on the Platform when browsing.

The User may also:

• refuse all cookies, whilst understanding that this overall refusal may prevent them from browsing and/or using the Platform's features;
• manage cookies by choosing the ones they accept and refuse;
• configure their browser as follows:

Firefox: instructions here

Google Chrome: instructions here

Safari: instructions here

Please note that refusing cookies may prevent you from browsing or using the Platform in optimal conditions.

To manage the Platform's cookies, Tomo uses the service Tarteaucitron. We configured cookies so that your consent is requested again every 12 months.

You can withdraw or change your consent at any time by emailing us at hello@jointomo.com.

11. LEGAL NOTICE

This Privacy Policy is governed by French law, and any disputes arising from its interpretation or execution will be subject to the exclusive jurisdiction of the courts designated by the French Code of Civil Procedure. The lead supervisory authority is the CNIL. The reference language for settling any disputes is French.

If Tomo is acquired by or merges with another company, we will continue to ensure the confidentiality of your Data and will inform you if it is transferred or becomes subject to less protective privacy rules.

12. QUESTIONS ABOUT YOUR DATA? CONTACT TOMO!

If you have any questions about the collection or processing of your Data, please contact Tomo's DPO:

• By phone: +33 (0)7 56 83 24 12;
• By post: Tomo, service RGPD, 21 rue Lamartine, 75009 Paris (France);
• By email: hello@jointomo.com

We will always be happy to help!

Latest version of the Privacy Policy: 3 March 2025