Retour

Politique de confidentialité

1. Responsable du traitement

Le responsable du traitement des données est Hedi Nouar, Entrepreneur individuel, éditeur de la plateforme OsteoPad.

2. Données collectées

Dans le cadre de la gestion de cabinet, OsteoPad traite :

  • Données d'identité : nom, prénom, date de naissance, sexe, adresse, téléphone, email
  • Données de santé : antécédents médicaux, chirurgicaux et familiaux, allergies, traitements en cours, motif de consultation, examens cliniques, diagnostic, techniques utilisées, conseils thérapeutiques
  • Données de facturation : montants, moyens de paiement, numéros de reçu
  • Données techniques: adresse IP, agent utilisateur (pour les journaux d'audit)

3. Base légale du traitement

  • Données de santé : consentement explicite du patient (article 9.2.a du RGPD) et nécessité pour la prise en charge sanitaire (article 9.2.h du RGPD), soumis au secret professionnel (article L.1110-4 du Code de la santé publique).
  • Données d'identité et de facturation : exécution du contrat de soins (article 6.1.b du RGPD) et obligations légales (comptabilité, fiscalité — article 6.1.c).

4. Finalités du traitement

Les données sont collectées pour les finalités suivantes :

  • Gestion des consultations et du suivi patient
  • Facturation et émission de reçus
  • Suivi de l'historique médical du patient
  • Communication avec le patient (rappels, courriers)

5. Destinataires des données

Les données personnelles sont accessibles uniquement par :

  • Le praticien : seul le praticien ayant créé la fiche patient peut accéder aux données de ses patients
  • Sous-traitants techniques: hébergeur (OVH SAS), service d'envoi d'emails — dans le strict cadre de leurs prestations techniques

Aucune donnée n'est vendue, cédée ou partagée avec des tiers à des fins commerciales.

6. Mesures de sécurité

OsteoPad met en œuvre les mesures techniques suivantes :

  • Chiffrement des données de santé: toutes les données médicales sont chiffrées au niveau applicatif avec l'algorithme AES-256-GCM avant stockage. La clé de chiffrement n'est jamais stockée sur le serveur d'hébergement.
  • Transport sécurisé : toutes les communications sont chiffrées via HTTPS/TLS.
  • Authentification : accès par identifiant et mot de passe hashé (bcrypt), sessions sécurisées avec expiration.
  • Journaux d'audit : chaque accès et modification de données de santé est tracé (qui, quand, quoi).
  • Portail patient sécurisé : accès par jeton unique et code PIN optionnel.

7. Durée de conservation

  • Dossiers patients : 20 ans à compter de la dernière consultation (article R.1112-7 du Code de la santé publique).
  • Données de facturation : 10 ans (obligations comptables et fiscales).
  • Journaux d'audit : 3 ans.
  • Données de session : 7 jours après expiration.

8. Vos droits

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

  • Droit d'accès : obtenir une copie de vos données
  • Droit de rectification : corriger des données inexactes
  • Droit à l'effacement : demander la suppression de vos données (sous réserve des obligations légales de conservation)
  • Droit à la portabilité : recevoir vos données dans un format structuré (JSON)
  • Droit d'opposition : vous opposer au traitement dans certaines conditions
  • Droit à la limitation : demander la limitation du traitement de vos données

Pour exercer ces droits, contactez votre praticien directement ou écrivez à dpo@osteopad.fr.

9. Sous-traitants

  • Hébergement : Scalingo SAS (Strasbourg, France) — plateforme certifiée HDS (Hébergeur de Données de Santé), ISO 27001 et SecNumCloud (IaaS). Base de données PostgreSQL et cache Redis managés en instances HDS. Données hébergées exclusivement en France (région osc-fr1, Paris).
  • Intelligence artificielle : Groq Inc. (transcription vocale Whisper et synthèses IA GPT OSS 120B) et Anthropic (Claude, en option si clé praticien configurée) — toutes les données sont anonymisées côté serveur avant envoi (noms, coordonnées et identifiants supprimés). Seules les données cliniques anonymisées sont transmises. Aucune donnée personnelle au sens du RGPD n'est communiquée.
  • Emails : Resend Inc. (notifications email transactionnelles) avec fallback SMTP OVH Zimbra.
  • Paiements : Stripe Inc. (traitement des paiements par carte bancaire). Stripe est certifié PCI-DSS niveau 1. OsteoPad ne stocke aucune donnée de carte bancaire — elles sont traitées exclusivement par Stripe.

Un Data Processing Agreement (DPA) conforme à l'article 28 du RGPD est en place avec chaque sous-traitant accédant à des données personnelles.

10. Transfert hors UE

L'ensemble des données personnelles et de santé est hébergé en France par Scalingo SAS (certifié HDS, ISO 27001), région osc-fr1 (Paris). Les seules communications vers des sous-traitants hors UE (Groq, Anthropic — États-Unis) concernent des données cliniques préalablement anonymisées (aucun nom, prénom, coordonnée ou identifiant n'est transmis). L'anonymisation est effectuée côté serveur avant tout envoi. Ces sous-traitants ne reçoivent donc aucune donnée personnelle au sens du RGPD.

11. Cookies

OsteoPad utilise uniquement un cookie de session (osteopad_session) strictement nécessaire à l'authentification. Aucun cookie tiers, publicitaire ou analytique n'est utilisé.

12. Réclamation

Si vous estimez que le traitement de vos données n'est pas conforme, vous pouvez adresser une réclamation à la CNIL (Commission Nationale de l'Informatique et des Libertés) :

CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
www.cnil.fr

Dernière mise à jour : avril 2026Mentions légales