Privacy Policy
BioSked websites, the Momentum web application, and the Momentum mobile app
Effective date: 25 June 2026 · Last updated: 25 June 2026
This Privacy Policy explains how BioSked (“BioSked”, “we”, “us”) collects, uses, shares and protects personal data when you visit our websites at biosked.com and biosked.fr, when you use the Momentum web application, and when you use the Momentum mobile app for iOS and Android (together, the “Services”).
Momentum is a workforce-scheduling tool for healthcare organizations. It helps staff view their schedules and manage their shifts. It is not a clinical system and is not used to process patients’ medical records.
1. Who is responsible for your data
The BioSked entity responsible for your personal data depends on where you are:
- If you are in Europe or Switzerland: Bio-Optronics Sàrl, Nyon (1260), Switzerland.
- If you are in the United States, Canada or elsewhere: BioSked Inc., Fairport, New York 14450, USA.
Our Data Protection Officer is Jean-Baptiste Cochery, who can be reached at dpo@biosked.com for both Europe and the United States.
When we provide Momentum to a healthcare organization (typically your employer or the organization that gave you access), that organization decides how your scheduling data is used: it is the data controller and the BioSked entity above acts as its processor under our customer agreement. In that case, your organization’s own privacy notice also applies and we handle that data on its documented instructions. For our websites, our marketing and our product analytics, BioSked is the controller.
2. The information we process
When you visit our websites
- Technical data: your public IP address, connection logs (date and time of visit), browser and device type, and pages viewed.
- Approximate location derived from your IP address (country/region).
- Cookies and similar technologies (see “Cookies” below).
- Form data: when you request a demo or contact us, the name, business and/or personal email, phone number, organization, job role and any message you provide.
When you use the Momentum applications (web and mobile)
Account & authentication — Your instance (site) identifier, username and password, which are stored securely; or, where your organization uses single sign-on, an authentication token issued by your organization’s Microsoft Entra ID. Sign-in tokens are stored in the device’s secure storage.
Scheduling & workforce data — Your name, role or specialty, work location, and (where your organization provides it) a contact number; your shifts and assignments, on-call and standby duties, time-off and absence requests, scheduling preferences (“wishes”), and related notes. This data is provided and controlled by your organization.
Notifications — If you enable notifications, a device push token (via Apple Push Notification service and Google Firebase Cloud Messaging) so we can deliver schedule notifications to your device.
Biometric unlock (mobile) — If you choose to enable it, your device’s Face ID, Touch ID or fingerprint is used to unlock the app. This check happens entirely on your device; we never receive, see or store your biometric data.
Voice and assistant input (mobile) — Where assistant features are enabled for your organization, the text you type and the audio you record (together with its transcription) are processed solely to carry out your request. We do not use your voice to identify you and we do not profile you from it.
Offline cache (mobile) — So that you can view your schedule without a connection, recent schedule and request data is stored in an encrypted database on your device and is removed when you sign out.
Product analytics & diagnostics — We use PostHog, hosted in the European Union, to understand how the applications are used and to detect and fix errors. This includes screen views, feature usage, app and device information (such as app version, operating system and device model), and crash/error reports, linked to a pseudonymous identifier — not your name. We do not use session recording or screen recording.
3. Why we process your data, and our legal bases
Where the GDPR, the Swiss Data Protection Act or equivalent law applies, we rely on the following legal bases:
Provide and operate the Services — Performance of a contract, and the legitimate interests of you and your organization in running the schedule.
Authenticate you and keep accounts and data secure — Performance of a contract, our legitimate interest in security and fraud prevention, and legal obligations.
Deliver schedule and operational notifications — Performance of a contract and our legitimate interest (you can disable notifications at any time).
Maintain, troubleshoot, secure and improve the Services (analytics and crash diagnostics) — Our legitimate interest in a reliable, high-quality product, using pseudonymous data.
Respond to demo, sales and support requests — Steps taken at your request prior to a contract, and our legitimate interest in responding.
Send marketing communications — Your consent, which you may withdraw at any time, or our legitimate interest for existing business contacts where permitted.
Comply with legal obligations and establish or defend legal claims — Compliance with a legal obligation and our legitimate interest.
4. Cookies and similar technologies
On our websites we use cookies and similar technologies in the following categories:
- Necessary — required for the site to function and to keep it secure.
- Functional — remember choices you make (such as language).
- Preferences — store your settings to personalize your experience.
- Statistics — help us understand how the site is used (audience measurement).
- Marketing — measure and, where you consent, support our marketing.
Non-essential cookies are set only with your consent. You can give, refuse or withdraw consent at any time through the cookie banner on our website, and you can also control cookies through your browser settings. The Momentum mobile app does not use advertising cookies or third-party ad trackers.
5. What we do not do
- We do not process patients’ health or medical records through Momentum. Momentum is a staff-scheduling tool, not a clinical or patient-data system.
- We do not use the Services to monitor, surveil or profile employees’ behaviour, wellbeing or performance, and we do not perform burnout, emotion or health inference.
- We do not sell or rent your personal data.
- We do not use your data for third-party advertising or cross-context behavioural advertising.
- We do not record your screen or your in-app activity for replay.
6. How we share your data
We share personal data only as needed to provide the Services and as described here:
Your organization and its authorized users — So that schedules, requests and related information can be managed.
Service providers — Acting on our instructions under written contracts: cloud hosting and infrastructure (including Google Cloud); Apple and Google for push-notification delivery and app distribution; PostHog for product analytics (hosted in the EU); Microsoft for single sign-on (within your organization’s own Microsoft tenant); our website hosting provider; and, where assistant features are enabled, our cloud and AI processing providers.
Professional advisers and auditors — Such as lawyers, accountants and security auditors, under confidentiality obligations.
Authorities and other parties — Where required by law, to comply with legal process, or to protect our rights, our users or the public.
Corporate transactions — In connection with a merger, acquisition, financing or reorganization, subject to appropriate confidentiality and safeguards.
We require our service providers to protect your data under written agreements. A current list of our service providers is available on request through the support form on our website.
7. Where your data is hosted, and international transfers
We host customer data regionally. For customers in Europe and Switzerland, Momentum data is hosted in Europe. For customers in the United States, Canada and the rest of the world, it is hosted in the United States. Our product analytics are hosted in the European Union.
Where personal data is accessed from another country — for example for technical support or by one of our service providers — we put appropriate safeguards in place, such as the European Commission’s Standard Contractual Clauses or a recognized adequacy decision.
8. How long we keep your data
Website connection logs — Up to 12 months.
Demo, sales and prospect data — For the duration of our relationship and up to 3 years thereafter for commercial prospection.
Momentum account and scheduling data — For as long as your organization maintains its account; we delete or return it on your organization’s instruction or at the end of the contract, subject to any legal retention requirements.
Product analytics and diagnostics — Retained for a limited period in pseudonymous form.
Mobile offline cache — Until you sign out of the app or remove the app from your device.
Support and rights requests — For the time needed to handle them and any applicable limitation periods.
9. How we protect your data
- Encryption in transit using TLS for all connections to our Services.
- Encryption at rest, including an SQLCipher-encrypted database for any schedule data cached on your mobile device.
- Secure storage of sign-in credentials in the device keychain/keystore, with an optional biometric lock.
- Access controls, least-privilege principles, logging and ongoing monitoring.
No method of transmission or storage is completely secure, but we work to protect your data and to address any incident appropriately.
10. Your rights
Depending on where you live, you may have the right to access your personal data, to have it corrected or erased, to restrict or object to its processing, to data portability, and to withdraw consent at any time (without affecting prior processing).
To exercise your rights, use the support form on our website, or contact our Data Protection Officer at dpo@biosked.com. We may need to verify your identity. Where your personal data is controlled by your organization within Momentum, please address your request to your organization; we will assist it as its processor.
You may also lodge a complaint with your supervisory authority — in France, the CNIL (cnil.fr); in Switzerland, the Federal Data Protection and Information Commissioner (edoeb.admin.ch); in Belgium, the Data Protection Authority (autoriteprotectiondonnees.be); or your local authority.
Account deletion
Momentum accounts are created and managed by your organization. To deactivate or delete an account, contact your organization’s Momentum administrator or use the support form on our website. You can remove the mobile app and the data stored on your device at any time by uninstalling the app.
United States and Canada
If you are a California resident, or a resident of another US state with privacy legislation, you may have the right to know about, access, delete and correct your personal information and to opt out of its “sale” or “sharing.” We do not sell your personal information and we do not share it for cross-context behavioural advertising, and we will not discriminate against you for exercising your rights. In Canada, you may access and correct your personal information and withdraw consent, subject to legal and contractual limits. To make a request, use the support form on our website or contact dpo@biosked.com.
11. Children
The Services are intended for healthcare professionals and other authorized adults and are not directed to children. We do not knowingly collect personal data from children.
12. Changes to this Privacy Policy
We may update this Privacy Policy from time to time. We will post the updated version here with a new “last updated” date and, where required, notify you or your organization.
13. Contact us
For any question about this Privacy Policy or your personal data, use the support form on our website, or contact our Data Protection Officer, Jean-Baptiste Cochery, at dpo@biosked.com.
Politique de confidentialité
Sites BioSked, application web Momentum et application mobile Momentum
Date d’entrée en vigueur : 25 juin 2026 · Dernière mise à jour : 25 juin 2026
La présente Politique de confidentialité explique comment BioSked (« BioSked », « nous ») collecte, utilise, partage et protège les données personnelles lorsque vous consultez nos sites biosked.com et biosked.fr, lorsque vous utilisez l’application web Momentum et lorsque vous utilisez l’application mobile Momentum pour iOS et Android (ensemble, les « Services »).
Momentum est un outil de planification des équipes pour les établissements de santé. Il permet aux professionnels de consulter leur planning et de gérer leurs services. Ce n’est pas un système clinique et il n’est pas utilisé pour traiter les dossiers médicaux des patients.
1. Qui est responsable de vos données
L’entité BioSked responsable de vos données personnelles dépend de votre localisation :
- Si vous êtes en Europe ou en Suisse : Bio-Optronics Sàrl, Nyon (1260), Suisse.
- Si vous êtes aux États-Unis, au Canada ou ailleurs : BioSked Inc., Fairport, New York 14450, États-Unis.
Notre Délégué à la protection des données est Jean-Baptiste Cochery, joignable à dpo@biosked.com pour l’Europe comme pour les États-Unis.
Lorsque nous fournissons Momentum à un établissement de santé (généralement votre employeur ou l’organisation qui vous a donné accès), cette organisation décide de l’utilisation de vos données de planning : elle est le responsable du traitement et l’entité BioSked ci-dessus agit en qualité de sous-traitant dans le cadre de notre contrat client. Dans ce cas, la politique de confidentialité de votre organisation s’applique également et nous traitons ces données sur ses instructions documentées. Pour nos sites, notre marketing et nos analyses d’usage produit, BioSked est le responsable du traitement.
2. Les informations que nous traitons
Lorsque vous consultez nos sites
- Données techniques : votre adresse IP publique, les journaux de connexion (date et heure de visite), le type de navigateur et d’appareil, les pages consultées.
- Localisation approximative déduite de votre adresse IP (pays/région).
- Cookies et technologies similaires (voir « Cookies » ci-dessous).
- Données de formulaire : lorsque vous demandez une démonstration ou nous contactez, vos nom, adresse e-mail professionnelle et/ou personnelle, numéro de téléphone, organisation, fonction et tout message communiqué.
Lorsque vous utilisez les applications Momentum (web et mobile)
Compte et authentification — Votre identifiant d’instance (site), votre identifiant et votre mot de passe, conservés de manière sécurisée ; ou, lorsque votre organisation utilise l’authentification unique, un jeton émis par le service Microsoft Entra ID de votre organisation. Les jetons de connexion sont stockés dans l’espace sécurisé de l’appareil.
Données de planning et d’équipe — Vos nom, rôle ou spécialité, lieu de travail et (lorsque votre organisation le fournit) un numéro de contact ; vos services et affectations, gardes et astreintes, demandes de congés et d’absences, vœux de planning et notes associées. Ces données sont fournies et contrôlées par votre organisation.
Notifications — Si vous les activez, un jeton de notification de l’appareil (via Apple Push Notification service et Google Firebase Cloud Messaging) afin de vous adresser des notifications de planning.
Déverrouillage biométrique (mobile) — Si vous l’activez, le Face ID, Touch ID ou l’empreinte de votre appareil sert à déverrouiller l’application. Cette vérification s’effectue entièrement sur votre appareil ; nous ne recevons, ne voyons ni ne conservons jamais vos données biométriques.
Saisie vocale et assistant (mobile) — Lorsque des fonctions d’assistant sont activées pour votre organisation, le texte que vous saisissez et l’audio que vous enregistrez (ainsi que sa transcription) sont traités uniquement pour exécuter votre demande. Nous ne les utilisons pas pour vous identifier et n’établissons aucun profil.
Cache hors connexion (mobile) — Afin de consulter votre planning sans connexion, les données récentes de planning et de demandes sont stockées dans une base de données chiffrée sur votre appareil et supprimées lorsque vous vous déconnectez.
Analyses d’usage et diagnostics produit — Nous utilisons PostHog, hébergé dans l’Union européenne, pour comprendre l’utilisation des applications et détecter les erreurs. Cela comprend les écrans consultés, l’usage des fonctions, des informations sur l’application et l’appareil (version, système d’exploitation, modèle) et des rapports d’incident, associés à un identifiant pseudonyme — et non à votre nom. Nous n’utilisons aucun enregistrement de session ni d’écran.
3. Pourquoi nous traitons vos données et nos bases légales
Lorsque le RGPD, la loi suisse sur la protection des données ou une loi équivalente s’applique, nous nous fondons sur les bases légales suivantes :
Fournir et exploiter les Services — Exécution d’un contrat et intérêt légitime de vous-même et de votre organisation à faire fonctionner le planning.
Vous authentifier et sécuriser les comptes et les données — Exécution d’un contrat, intérêt légitime à la sécurité et à la prévention de la fraude, obligations légales.
Diffuser les notifications de planning et opérationnelles — Exécution d’un contrat et intérêt légitime (vous pouvez désactiver les notifications à tout moment).
Maintenir, dépanner, sécuriser et améliorer les Services (analyses et diagnostics) — Intérêt légitime à un produit fiable et de qualité, reposant sur des données pseudonymes.
Répondre aux demandes de démonstration, commerciales et de support — Mesures prises à votre demande avant la conclusion d’un contrat et intérêt légitime à y répondre.
Envoyer des communications marketing — Votre consentement, que vous pouvez retirer à tout moment, ou notre intérêt légitime pour les contacts professionnels existants lorsque la loi le permet.
Respecter nos obligations légales et faire valoir ou défendre des droits — Respect d’une obligation légale et intérêt légitime.
4. Cookies et technologies similaires
Sur nos sites, nous utilisons des cookies et technologies similaires selon les catégories suivantes :
- Nécessaires — indispensables au fonctionnement et à la sécurité du site.
- Fonctionnels — mémorisent vos choix (par exemple la langue).
- Préférences — enregistrent vos paramètres pour personnaliser votre expérience.
- Statistiques — nous aident à comprendre l’utilisation du site (mesure d’audience).
- Marketing — mesurent et, avec votre consentement, soutiennent nos actions marketing.
Les cookies non essentiels ne sont déposés qu’avec votre consentement. Vous pouvez donner, refuser ou retirer votre consentement à tout moment via le bandeau cookies de notre site, et également gérer les cookies dans les paramètres de votre navigateur. L’application mobile Momentum n’utilise ni cookies publicitaires ni traceurs publicitaires tiers.
5. Ce que nous ne faisons pas
- Nous ne traitons pas les données de santé ni les dossiers médicaux des patients via Momentum. Momentum est un outil de planification des équipes, et non un système clinique ou de données patients.
- Nous n’utilisons pas les Services pour surveiller, contrôler ou profiler le comportement, le bien-être ou la performance des salariés, et nous ne réalisons aucune inférence de burnout, d’émotions ou de santé.
- Nous ne vendons ni ne louons vos données personnelles.
- Nous n’utilisons pas vos données à des fins de publicité tierce ou de publicité comportementale inter-sites.
- Nous n’enregistrons ni votre écran ni votre activité dans l’application à des fins de relecture.
6. Comment nous partageons vos données
Nous ne partageons des données personnelles que dans la mesure nécessaire à la fourniture des Services et comme décrit ici :
Votre organisation et ses utilisateurs autorisés — Afin de gérer les plannings, les demandes et les informations associées.
Prestataires — Agissant sur nos instructions dans le cadre de contrats écrits : hébergement et infrastructure cloud (dont Google Cloud) ; Apple et Google pour la diffusion des notifications et la distribution des applications ; PostHog pour les analyses d’usage (hébergées dans l’UE) ; Microsoft pour l’authentification unique (au sein du tenant Microsoft de votre organisation) ; l’hébergeur de notre site ; et, lorsque des fonctions d’assistant sont activées, nos prestataires de traitement cloud et d’IA.
Conseils et auditeurs — Tels qu’avocats, experts-comptables et auditeurs de sécurité, soumis à des obligations de confidentialité.
Autorités et tiers — Lorsque la loi l’exige, pour répondre à une procédure légale, ou pour protéger nos droits, nos utilisateurs ou le public.
Opérations sur l’entreprise — Dans le cadre d’une fusion, acquisition, levée de fonds ou réorganisation, sous réserve de garanties appropriées.
Nous exigeons de nos prestataires qu’ils protègent vos données dans le cadre de contrats écrits. La liste à jour de nos prestataires est disponible sur demande via le formulaire de support de notre site.
7. Où vos données sont hébergées et transferts internationaux
Nous hébergeons les données clients par région. Pour les clients en Europe et en Suisse, les données Momentum sont hébergées en Europe. Pour les clients aux États-Unis, au Canada et dans le reste du monde, elles sont hébergées aux États-Unis. Nos analyses d’usage produit sont hébergées dans l’Union européenne.
Lorsque des données personnelles sont consultées depuis un autre pays — par exemple pour le support technique ou par l’un de nos prestataires — nous mettons en place des garanties appropriées, telles que les clauses contractuelles types de la Commission européenne ou une décision d’adéquation reconnue.
8. Durées de conservation
Journaux de connexion du site — Jusqu’à 12 mois.
Données de démonstration, commerciales et de prospection — Pendant la durée de notre relation, puis jusqu’à 3 ans à des fins de prospection commerciale.
Compte et données de planning Momentum — Tant que votre organisation conserve son compte ; nous les supprimons ou les restituons sur instruction de votre organisation ou à la fin du contrat, sous réserve des obligations légales de conservation.
Analyses et diagnostics produit — Conservés pour une durée limitée et sous forme pseudonyme.
Cache mobile hors connexion — Jusqu’à votre déconnexion ou la désinstallation de l’application.
Demandes de support et d’exercice des droits — Le temps nécessaire à leur traitement et les délais de prescription applicables.
9. Comment nous protégeons vos données
- Chiffrement en transit (TLS) pour toutes les connexions aux Services.
- Chiffrement au repos, dont une base de données chiffrée par SQLCipher pour les données de planning mises en cache sur votre appareil mobile.
- Stockage sécurisé des identifiants de connexion dans le trousseau/keystore de l’appareil, avec verrouillage biométrique optionnel.
- Contrôles d’accès, principe du moindre privilège, journalisation et surveillance continue.
Aucune méthode de transmission ou de stockage n’est totalement sûre, mais nous mettons tout en œuvre pour protéger vos données et traiter tout incident de manière appropriée.
10. Vos droits
Selon votre lieu de résidence, vous pouvez disposer du droit d’accéder à vos données, de les faire rectifier ou effacer, de limiter ou de vous opposer à leur traitement, à la portabilité, et de retirer votre consentement à tout moment (sans effet sur les traitements antérieurs).
Pour exercer vos droits, utilisez le formulaire de support de notre site, ou contactez notre Délégué à la protection des données à dpo@biosked.com. Nous pourrons être amenés à vérifier votre identité. Lorsque vos données sont contrôlées par votre organisation au sein de Momentum, adressez votre demande à votre organisation ; nous l’assisterons en notre qualité de sous-traitant.
Vous pouvez également introduire une réclamation auprès de votre autorité de contrôle — en France, la CNIL (cnil.fr) ; en Suisse, le Préposé fédéral à la protection des données et à la transparence (edoeb.admin.ch) ; en Belgique, l’Autorité de protection des données (autoriteprotectiondonnees.be) ; ou votre autorité locale.
Suppression de compte
Les comptes Momentum sont créés et gérés par votre organisation. Pour désactiver ou supprimer un compte, contactez l’administrateur Momentum de votre organisation ou utilisez le formulaire de support de notre site. Vous pouvez à tout moment supprimer l’application mobile et les données stockées sur votre appareil en la désinstallant.
États-Unis et Canada
Si vous résidez en Californie, ou dans un autre État américain doté d’une législation sur la vie privée, vous pouvez avoir le droit de connaître, de consulter, de supprimer et de corriger vos informations personnelles et de vous opposer à leur « vente » ou « partage ». Nous ne vendons pas vos informations personnelles et ne les partageons pas à des fins de publicité comportementale inter-sites, et nous ne vous traiterons pas de manière discriminatoire si vous exercez vos droits. Au Canada, vous pouvez consulter et corriger vos informations personnelles et retirer votre consentement, sous réserve des limites légales et contractuelles. Pour formuler une demande, utilisez le formulaire de support de notre site ou écrivez à dpo@biosked.com.
11. Mineurs
Les Services sont destinés aux professionnels de santé et autres adultes autorisés et ne s’adressent pas aux enfants. Nous ne collectons pas sciemment de données personnelles concernant des enfants.
12. Modifications de la présente politique
Nous pouvons mettre à jour la présente Politique de confidentialité. Nous en publierons la version à jour ici, avec une nouvelle date de « dernière mise à jour » et, lorsque cela est requis, nous vous en informerons, vous ou votre organisation.
13. Nous contacter
Pour toute question relative à la présente Politique de confidentialité ou à vos données personnelles, utilisez le formulaire de support de notre site, ou contactez notre Délégué à la protection des données, Jean-Baptiste Cochery, à dpo@biosked.com.
