POLITIQUE DE PROTECTION DES DONNÉES PERSONNELLES

Date de dernière mise à jour : 08/10/2025

ARTICLE 1. PRÉAMBULE

La présente politique de protection des données personnelles (Privacy Policy), ci-après la « Politique », s’applique aux données collectées et traitées dans le cadre de l’application « Staying Alive LU », ci-après « l’Application ».

L’Application est développée par la société à responsabilité limitée à associé unique de droit français FDBS-STAYING ALIVE, sise au F-75016 Paris (France), 57, rue du Docteur Blanche, inscrit au Registre national des entreprises français sous le numéro 840 498 406.

L’Application est promue par l’établissement public Corps grand-ducal d’incendie et de secours, en abrégé « CGDIS », établi et ayant son siège à L-1821 Luxembourg, 3, boulevard de Kockelscheuer, inscrit au registre de commerce et des sociétés de Luxembourg sous le numéro J64, représenté par son conseil d’administration actuellement en fonctions.

ARTICLE 2. DÉFINITIONS

ALERTE : désigne le message par lequel un Utilisateur est averti de la nécessité d’intervention à proximité dans le cadre d’un Incident avant l’arrivée sur les lieux des Secours publics.

APPLICATION : désigne le programme informatique développé par FDBS-Staying Alive, nommé Staying Alive LU, et accessible via les plateformes de téléchargement Apple App Store et Google Play Store.

CARDIAC FIRST RESPONDER (CFR) : désigne les Utilisateurs inscrits en tant que secouristes collaborateurs bénévoles, disposant ou non de qualifications spécifiques, alertés par l’Application pour intervenir dans des situations d’urgence.

CARDIAC FIRST RESPONDER (CFR) NON FORMÉ : désigne les Utilisateurs inscrits dirigés vers le défibrillateur le plus proche par itinéraire minuté afin de l’amener à la victime.

CARDIAC FIRST RESPONDER FORMÉ : désigne les Utilisateurs inscrits, formés aux gestes de premiers secours, alertés pour intervenir et réaliser un massage cardiaque jusqu’à l’arrivée des Secours Publics.

CGDIS : désigne le Corps grand-ducal d’incendie et de secours, établissement public, établi et ayant son siège à L-1821 Luxembourg, 3, boulevard de Kockelscheuer, inscrit au registre de commerce et des sociétés de Luxembourg sous le numéro J64.

CNPD : désigne la Commission nationale pour la protection des données, autorité publique indépendante luxembourgeoise.

COMPTE : désigne le compte personnel de chaque Utilisateur permettant la connexion, la modification des informations et l’accès aux Services.

CONSENTEMENT DE LA PERSONNE CONCERNÉE : manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte un Traitement.

CONTRIBUTEUR : désigne les Utilisateurs de l’Application qui contribuent à la cartographie des DAE.

CSU ou CSU-112 : désigne le Central des Secours d’Urgences du 112.

DAE : défibrillateurs automatiques externes utilisés en cas d’arrêt cardiaque.

DONNÉE À CARACTÈRE PERSONNEL : toute information se rapportant à une personne physique identifiée ou identifiable.

FDBS-STAYING ALIVE : société à responsabilité limitée à associé unique de droit français FDBS-STAYING ALIVE.

IDENTIFIANTS : codes d’accès personnels permettant à l’Utilisateur de s’authentifier sur l’Application.

INCIDENT : arrêt cardiaque signalé au CSU entraînant la diffusion d’une Alerte.

LIMITATION DU TRAITEMENT : marquage des données conservées afin d’en limiter le traitement futur.

PROFILAGE : traitement automatisé visant à évaluer certains aspects personnels.

RÈGLEMENT OU RGPD : Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données.

RESPONSABLE DU TRAITEMENT : personne ou organisme déterminant les finalités et moyens du Traitement.

SECOURS PUBLICS : CSU / Ambulance / SAMU / Police / Pompiers.

SERVICES : ensemble des fonctionnalités offertes par l’Application.

SOUS-TRAITANT : organisme traitant des données pour le compte du Responsable du Traitement.

TIERS : personne ou organisme autre que la Personne Concernée, le Responsable du Traitement et le Sous-traitant.

TRAITEMENT : toute opération appliquée à des données personnelles.

UTILISATEUR / PERSONNE CONCERNÉE : toute personne accédant à l’Application dont les données sont traitées.

VIOLATION DE DONNÉES PERSONNELLES : violation de sécurité entraînant destruction, perte, altération, divulgation ou accès non autorisé.

ARTICLE 3. RÔLES ET RESPONSABILITÉS

Le Responsable du Traitement des Données Personnelles collectées dans le cadre de la visite et de l’utilisation des Services de l’Application est le FDBS-Staying Alive.

L’Application a pour objectif de diminuer la mortalité liée à l’arrêt cardiaque en facilitant l’intervention rapide des secours, en mettant en relation les Cardiac First Responder avec les services de Secours Publics, en améliorant l’accessibilité aux DAE et en sensibilisant les Utilisateurs aux gestes de premiers secours.

ARTICLE 4. INFORMATION SUR LES DONNÉES PERSONNELLES TRAITÉES

Données personnelles fournies par l’Utilisateur

Toutes les données concernant les Personnes Concernées sont collectées directement auprès d’elles par le biais de formulaires d’inscription sur l’Application, conformément à la procédure d’inscription décrite dans les Conditions Générales d’Utilisation de l’Application.

Le FDBS-Staying Alive s’engage à informer tout Utilisateur des modalités de Traitement de ses Données Personnelles et de ses droits en la matière.

Données personnelles collectées automatiquement

Informations techniques : modèle de l’appareil, système d’exploitation, adresse IP, langue du système, données de services/diagnostics/performance, identifiant utilisateur.

Informations de localisation : données GPS lorsque la localisation est activée (réglages via Android/Apple).

Finalités du Traitement des Données Personnelles

Les Données Personnelles collectées sont utilisées exclusivement pour fournir les Services, notamment pour permettre l’intervention des Cardiac First Responders (CFR) en cas d’urgence médicale.

Le FDBS-Staying Alive ne collecte et ne traite que les Données strictement nécessaires (principe de minimisation, art. 5.1.c RGPD).

Traitements réalisés

Bases juridiques

Types de Données Personnelles traitées

Contributeur : prénom, adresse e-mail — suppression à la clôture du Compte ou après 18 mois d’inactivité.

Cardiac First Responder : identité (nom, prénoms), date de naissance, e-mail, code postal, téléphone, compétences/formation (pour les CFR formés) — suppression à la clôture du Compte ou après 18 mois d’inactivité.

Géolocalisation : seule la dernière position est conservée, effacée au bout de 15 jours sans nouvelle communication.

Logs : adresse IP, marque de l’appareil, version OS, configuration de l’Application, date/heure — conservés max. 24 mois.

MODALITÉS ET DURÉE DE CONSERVATION DES DONNÉES PERSONNELLES

Hébergement

Toutes les données personnelles collectées sur l’Application sont hébergées en Europe par Amazon Web Services EMEA S.à r.l.

Durées de conservation

ARTICLE 5. PARTAGE ET COMMUNICATION DES DONNÉES PERSONNELLES

Les principaux destinataires sont les collaborateurs et prestataires du FDBS-Staying Alive et le CGDIS. Les données peuvent être communiquées, dans la stricte mesure nécessaire, aux pompiers professionnels et volontaires, au personnel habilité et aux sous-traitants agissant dans leur périmètre.

Absence de communication à des acteurs commerciaux ou publicitaires.

Partages possibles : autorités publiques (si prévu par la loi), transmission de rapports d’intervention au CGDIS et autorités, obligations légales/défense des droits/sécurité, entités associées, prestataires tiers (assistance technique, QA, envoi d’e-mails, analyse d’audience) avec garanties contractuelles RGPD.

Délégué à la protection des données (DPD) : le gérant en fonctions du FDBS-Staying Alive.

ARTICLE 6. MESURES DE SÉCURITÉ TECHNIQUES ET ORGANISATIONNELLES

Mesures mises en place : gestion rigoureuse des accès, hébergement en Europe (AWS), chiffrement systématique des connexions entre l’Application et les serveurs.

Limites : impossibilité de garantir une protection absolue. Responsabilité non engagée en cas de manquement utilisateur, défaillance d’hébergeur ou incident imputable à un sous-traitant.

ARTICLE 7. DROITS DES UTILISATEURS

Droit de retirer son consentement

Possible à tout moment sans porter atteinte à la licéité des traitements antérieurs.

Droit d’accès

Accès aux données et informations listées à l’article 15 RGPD.

Droit de rectification

Rectification des données inexactes et complétude des données incomplètes (art. 16 RGPD).

Droit à l’effacement

Effacement selon l’article 17 RGPD, sous réserve des exceptions légales (expression, obligations légales, santé publique, recherche, justice).

Droit à la limitation

Limitation dans les cas prévus à l’article 18 RGPD.

Droit à la portabilité

Réception/transmission des données dans un format structuré, couramment utilisé et lisible par machine, lorsque applicable.

Droit d’opposition

Opposition au traitement fondé sur l’article 6(1)(e) ou (f), sauf motifs légitimes impérieux ou défense de droits.

Décisions automatisées et profilage

Droit à une intervention humaine, à exprimer son point de vue et à contester (art. 22 RGPD), lorsqu’applicable.

Sort des données après décès

Possibilité de définir des directives ; à défaut, destruction sauf nécessité probatoire ou obligation légale.

ARTICLE 8. ASSISTANCE ET CONTACT

Pour toute question ou réclamation concernant la présente Politique ou les pratiques de Traitement, ou pour signaler une violation de sécurité :

Réponse en principe sous un mois.

Réclamation CNPD : 15, Boulevard du Jazz L-4370 Belvaux — formulaire en ligne : cnpd.public.lu