Politique de confidentialité
Dernière mise à jour: 14/05/2026
Chez PratiConnect, nous accordons une importance primordiale à la protection de vos données personnelles. Cette politique de confidentialité explique comment nous collectons, utilisons, stockons et protégeons vos informations lorsque vous utilisez notre plateforme.
Responsable du traitement
Le responsable du traitement des données personnelles est :
Nom: PratiConnect SAS
Adresse: 123 Avenue de la Sante, 75014 Paris, France
Délégué à la protection des données (DPO): dpo@praticonnect.com
Données collectées
Nous collectons différentes catégories de données selon votre statut :
Données des praticiens
- Données d'identification : nom, prénom, adresse email, numéro de téléphone
- Données professionnelles : spécialité, numéro SIRET, adresse du cabinet
- Données de facturation : coordonnées bancaires, historique des paiements
- Données de connexion : adresse IP, logs de connexion, préférences
- Documents professionnels : diplômes, certifications, assurance professionnelle
Données des patients (collectées par les praticiens)
- Données d'identification : nom, prénom, date de naissance, coordonnées
- Données de santé : anamnèse, antécédents médicaux, notes de consultation
- Documents médicaux : comptes-rendus, prescriptions, résultats d'examens
- Historique des rendez-vous et des téléconsultations
Finalités du traitement
- Fourniture et gestion de nos services de plateforme
- Gestion des comptes utilisateurs et authentification
- Traitement des paiements et facturation
- Amélioration de nos services et développement de nouvelles fonctionnalités
- Communication avec les utilisateurs (support, notifications)
- Respect de nos obligations légales et réglementaires
Base légale du traitement
- Exécution du contrat: Le traitement est nécessaire à l'exécution du contrat de service auquel vous avez adhéré.
- Consentement: Pour certains traitements spécifiques comme l'envoi de newsletters marketing.
- Intérêt légitime: Pour l'amélioration de nos services et la sécurité de la plateforme.
- Obligation légale: Pour le respect de nos obligations fiscales, comptables et légales.
- Sauvegarde d'intérêts vitaux: Pour la protection d'intérêts essentiels d'une personne, notamment dans le cadre du traitement de données de santé (Art. 6.1.d et Art. 9.2.c RGPD).
- Mission impérative d'intérêt public en santé: Le traitement des données de santé par les praticiens repose également sur l'Art. 9.2.h RGPD (médecine préventive, diagnostic, prestation de soins) sous la responsabilité du praticien soumis au secret professionnel.
Consentements granulaires
PratiConnect met à disposition des praticiens un onglet dédié dans Paramètres → Mes données & confidentialité (`/practitioner/settings/gdpr`) permettant de gérer 8 consentements distincts. Chaque consentement est traçable, daté, révocable à tout moment et sa preuve est conservée 5 ans (Art. 7.1 RGPD).
| Clé de consentement | Finalité | Base légale | Statut par défaut |
|---|---|---|---|
| tos_privacy CGU + Politique de confidentialité | Acceptation du contrat de service | Exécution du contrat (Art. 6.1.b) | Obligatoire à l'inscription |
| health_data_processing Traitement des données de santé patients | Tenue du dossier patient (HDS) | Mission impérative + Art. 9.2.h | Obligatoire pour les fonctions métier |
| marketing_emails Emails marketing & newsletter | Newsletter, conseils métier, nouveautés produit | Consentement (Art. 6.1.a) | Opt-in, désactivé par défaut |
| analytics_product Mesure d'usage produit | Analyse de l'utilisation des fonctionnalités | Consentement (Art. 6.1.a) | Opt-in, désactivé par défaut |
| anonymized_stats_sharing Statistiques agrégées anonymisées | Partage de statistiques sectorielles totalement anonymisées | Consentement (Art. 6.1.a) | Opt-in, désactivé par défaut |
| ai_training_optin Réutilisation pseudonymisée pour entraînement IA | Amélioration des modèles d'assistance IA (transcription, suggestions) | Consentement explicite (Art. 6.1.a) | Opt-in strict, désactivé par défaut |
| third_party_integrations Intégrations tierces (Scell, Viva, Google, LiveKit) | Activation de chaque intégration optionnelle | Exécution du contrat (Art. 6.1.b) par intégration | Opt-in granulaire par intégration |
| public_directory_listing Annuaire public PratiConnect | Visibilité publique sur l'annuaire (mode free_listing inclus) | Consentement (Art. 6.1.a) | Opt-in explicite à l'inscription |
Toutes les activations, désactivations et modifications de consentement sont horodatées et conservées 5 ans à des fins de preuve. Le journal complet est consultable depuis l'onglet RGPD du compte praticien.
Cycle de vie de l'abonnement et conservation
PratiConnect distingue plusieurs phases dans le cycle de vie d'un compte praticien, chacune assortie d'une politique de conservation des données spécifique :
Période d'essai
À l'inscription, le praticien bénéficie d'une période d'essai gratuite. L'ensemble des données saisies est conservé pendant toute cette durée.
Fenêtre de grâce post-essai (7 jours)
À l'issue de la période d'essai, en l'absence de souscription, le compte entre dans une fenêtre de grâce de 7 jours pendant laquelle l'accès complet aux données reste actif et un export RGPD peut être déclenché à tout moment.
Mode visibilité gratuite (free_listing)
Au-delà de la fenêtre de grâce, le compte bascule automatiquement en mode free_listing : la fiche du praticien reste visible sur l'annuaire public PratiConnect (sous réserve du consentement public_directory_listing), l'intégralité des données patientèle est conservée intacte, l'export RGPD complet reste disponible et le réabonnement est possible à tout moment sans perte de données. Aucune fonctionnalité de gestion active n'est cependant accessible tant que l'abonnement n'est pas réactivé.
Demande de suppression de compte (Art. 17 RGPD)
À tout moment, le praticien peut demander la suppression de son compte depuis l'onglet RGPD. La demande déclenche un workflow avec délai de réflexion (cooling-off) de 30 jours, durant lequel l'utilisateur peut se rétracter. Au terme du délai, les données sont supprimées ou anonymisées de façon irréversible, à l'exception des données soumises à une obligation légale de conservation (factures, journaux de sécurité, signatures eIDAS, données de santé soumises à conservation réglementaire).
Durée de conservation
Nous conservons vos données pour la durée nécessaire aux finalités pour lesquelles elles ont été collectées :
- Données de compte : pendant toute la durée de la relation contractuelle et 3 ans après la clôture du compte
- Données de facturation : 10 ans conformément aux obligations comptables
- Données de santé des patients : selon la réglementation applicable (minimum 20 ans après la dernière consultation)
- Logs de connexion : 1 an conformément à la réglementation
Détail par catégorie de données
- Factures émises : 10 ans (France, Art. L123-22 Code de commerce) ou 7 ans (Israël, Income Tax Ordinance §130)
- Journaux de sécurité (audit_logs) : 1 an minimum (recommandation CNIL + LCEN)
- Signatures électroniques eIDAS qualifiées : conservation permanente jusqu'à péremption de la créance ou de la valeur juridique du document
- Enregistrements de téléconsultation : 90 jours sauf litige en cours
- Données patients (compte actif) : durée de la relation contractuelle augmentée des obligations légales de conservation médicale
- Données patients (compte supprimé) : anonymisation immédiate sauf rétention légale (Art. 17 RGPD)
- Consentements RGPD : 5 ans à des fins de preuve (Art. 7.1 RGPD)
- Demandes RGPD (export, suppression, rectification) : 3 ans pour traçabilité de conformité
Partage des données
Nous pouvons partager vos données avec les catégories de destinataires suivantes :
- Prestataires de services : hébergement (Scaleway), paiement de l'abonnement (Viva Wallet ISV), encaissement de la patientèle (Viva.com / Viva Payment Services S.A.), envoi d'emails (sous contrat de sous-traitance RGPD)
- Partenaires technologiques : services de téléconsultation, signature électronique
- Autorités compétentes : en cas d'obligation légale ou sur réquisition judiciaire
- Auditeurs et conseils : dans le cadre de nos obligations légales
Nous ne vendons jamais vos données personnelles à des tiers à des fins commerciales ou publicitaires.
Liste détaillée des sous-traitants
Conformément à l'Art. 28 RGPD, l'ensemble des sous-traitants a signé un accord de traitement des données (DPA). La liste à jour est disponible sur demande à dpo@praticonnect.com.
- Scaleway (France) — hébergement principal et bucket S3 HDS-compliant. Juridiction UE, transfert : aucun.
- Amazon Web Services (Irlande) — services complémentaires de stockage objet. Juridiction UE, transfert : aucun, sous SCC pour services managés US le cas échéant.
- Viva Wallet & Viva Payment Services S.A. (Grèce) — paiements et facturation des abonnements ainsi que l'encaissement de la patientèle. Juridiction UE.
- Scell.io (France) — facturation électronique conforme et signatures eIDAS qualifiées. Juridiction UE.
- LiveKit (auto-hébergé sur infrastructure UE) — téléconsultation vidéo. Aucun transfert hors UE.
- Google Ireland Ltd. — synchronisation Google Calendar (sur consentement OAuth de l'utilisateur uniquement). Juridiction UE pour le compte de l'utilisateur, transferts cadrés par les SCC + Data Privacy Framework.
- Mistral AI (France) — services d'assistance IA optionnels. Juridiction UE, aucun transfert hors UE.
- AssemblyAI (États-Unis) — transcription audio optionnelle. Transfert encadré par les SCC de la Commission européenne ; activation soumise au consentement third_party_integrations.
- BulkGate (République tchèque) — envoi de SMS transactionnels. Juridiction UE.
- Resend, Inc. (États-Unis) — envoi des emails transactionnels et gestion des audiences marketing avec respect granulaire des consentements. DPA conforme à l'Art. 28 RGPD signé et disponible sur demande. Transfert encadré par les SCC + Data Privacy Framework.
Sécurité des données
Nous mettons en œuvre des mesures de sécurité techniques et organisationnelles appropriées pour protéger vos données :
- Chiffrement des données en transit (TLS/SSL) et au repos (AES-256)
- Authentification à deux facteurs disponible pour tous les comptes
- Hébergement sécurisé en France auprès de prestataires certifiés (HDS pour les données de santé)
- Accès restreint aux données selon le principe du moindre privilège
- Audits de sécurité réguliers et tests de pénétration
Cookies et traceurs
Notre site utilise des cookies pour assurer son bon fonctionnement et améliorer votre expérience.
Cookies essentiels
Ces cookies sont nécessaires au fonctionnement du site (authentification, sécurité, préférences de langue). Ils ne peuvent pas être désactivés.
Cookies analytiques
Ces cookies nous aident à comprendre comment les visiteurs utilisent le site. Nous utilisons des solutions respectueuses de la vie privée (Plausible Analytics) qui ne nécessitent pas de consentement.
Vous pouvez gérer vos préférences de cookies à tout moment via le lien "Préférences cookies" dans le pied de page.
Vos droits
Conformément au RGPD, vous disposez des droits suivants concernant vos données personnelles :
- Droit d'accès: Obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie.
- Droit de rectification: Faire corriger des données inexactes ou compléter des données incomplètes.
- Droit à l'effacement: Demander la suppression de vos données dans les conditions prévues par le RGPD.
- Droit à la limitation: Obtenir la limitation du traitement dans certains cas.
- Droit à la portabilité: Recevoir vos données dans un format structuré et les transmettre à un autre responsable.
- Droit d'opposition: Vous opposer au traitement de vos données pour des motifs légitimes.
- Retrait du consentement: Retirer votre consentement à tout moment lorsque le traitement est basé sur celui-ci.
Pour exercer ces droits, contactez notre DPO à l'adresse dpo@praticonnect.com ou via votre espace personnel.
Vous pouvez exercer l'ensemble de vos droits RGPD directement depuis votre espace praticien : rendez-vous dans Paramètres → Mes données & confidentialité (/practitioner/settings/gdpr) pour accéder à : export complet de vos données (Art. 20), gestion granulaire de vos consentements (Art. 7), demande de suppression de compte (Art. 17), journal d'accès à vos données (Art. 30), registre des traitements (Art. 30) et historique de toutes les demandes RGPD passées.
Transferts internationaux
Vos données sont principalement hébergées en France et dans l'Union Européenne. Si un transfert vers un pays tiers est nécessaire, nous nous assurons que des garanties appropriées sont en place (clauses contractuelles types, décisions d'adéquation de la Commission européenne).
Réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données viole vos droits, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr
Modifications de cette politique
Nous pouvons modifier cette politique de confidentialité à tout moment. En cas de modification substantielle, nous vous en informerons par email ou via une notification sur la plateforme au moins 30 jours avant l'entrée en vigueur des changements.
Avertissement
Cette politique de confidentialité a une vocation informative et synthétise notre démarche de conformité au RGPD. Pour toute situation spécifique, demande contractuelle particulière ou exercice contesté d'un droit, nous vous invitons à consulter votre conseiller juridique ou à contacter directement notre Délégué à la protection des données à dpo@praticonnect.com.
Nous contacter
Pour toute question concernant cette politique de confidentialité ou l'exercice de vos droits, vous pouvez nous contacter :
Email: dpo@praticonnect.com