Politique de Confidentialité

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées via 1ClicAgenda est :

2. Données collectées

Nous collectons les catégories de données suivantes :

Données d'identification

• Nom et prénom
• Adresse email

Données professionnelles

• Informations sur vos patients (nom, prénom, email, téléphone)
• Notes médicales et pathologies (données sensibles)
• Rendez-vous et contraintes horaires

Données techniques

• Adresse IP
• Logs de connexion
• Données de navigation

3. Finalités du traitement

Vos données sont collectées pour les finalités suivantes :

• Gestion de votre compte utilisateur
• Fourniture et amélioration du Service
• Gestion de votre agenda et de vos rendez-vous
• Envoi de notifications par email
• Facturation et gestion des abonnements
• Respect de nos obligations légales

4. Base légale du traitement

Le traitement de vos données repose sur :

• L'exécution du contrat (Article 6.1.b RGPD) : pour fournir le Service auquel vous avez souscrit
• Le consentement (Article 6.1.a RGPD) : pour l'envoi de communications marketing (le cas échéant)
• L'obligation légale (Article 6.1.c RGPD) : pour respecter nos obligations fiscales et comptables

Traitement des données de santé (Article 9 RGPD)

Les données de santé (notes médicales, pathologies) bénéficient d'une protection renforcée au titre de l'article 9 du RGPD. Leur traitement repose sur les bases légales suivantes :

• Prise en charge sanitaire (Article 9(2)(h) RGPD) : Le traitement est nécessaire aux fins de la médecine préventive, de la prise en charge sanitaire ou de la gestion des systèmes et services de soins de santé. Il est effectué par un professionnel de santé soumis au secret professionnel (article L.1110-4 du Code de la santé publique).
• Consentement explicite (Article 9(2)(a) RGPD) : Le praticien donne son consentement explicite au traitement des données de santé de ses patients lors de son inscription et de l'acceptation des présentes conditions.

Le praticien reste responsable du traitement au sens du RGPD pour les données de santé qu'il saisit dans 1ClicAgenda. Il s'assure de la licéité de la collecte et de l'information de ses patients conformément à ses obligations déontologiques et légales.

5. Destinataires des données

Vos données peuvent être transmises aux destinataires suivants :

• Notre hébergeur (infrastructure technique)
• Notre prestataire de paiement (Stripe)
• Notre prestataire d'envoi d'emails (Brevo)
• Les autorités compétentes (sur requête légale)

Ces destinataires agissent en qualité de sous-traitants et sont contractuellement tenus de respecter la confidentialité de vos données.

6. Durée de conservation

Vos données sont conservées selon les durées suivantes :

• Données de compte : pendant la durée de votre inscription + 3 ans après suppression du compte (archivage conforme aux obligations de conservation des cabinets)
• Données de facturation : 10 ans (obligation légale comptable et fiscale)
• Audit logs : 2 ans à compter de leur création, puis purge automatique
• Logs de connexion : 1 an (conformément au décret n°2011-219)
• Données patients : conservées tant que le compte praticien est actif, supprimées à la suppression du patient ou du cabinet par le praticien
• Données de santé (Art.9) : les notes médicales et pathologies suivent la même durée de conservation que les données patient auxquelles elles sont rattachées — elles sont supprimées à la suppression du patient ou du cabinet
• Archives cabinet : 3 ans après suppression du cabinet, puis purge automatique de l'ensemble des données associées

7. Hébergement et transfert de données

L'infrastructure applicative de 1ClicAgenda est hébergée sur un VPS Hostinger, localisé dans un datacenter situé en France (Paris) :

• Application web (Next.js) : VPS Hostinger, datacenter Paris (France) — conteneur Docker
• Backend et API (PocketBase) : VPS Hostinger, datacenter Paris (France) — conteneur Docker
• Base de données (SQLite) : VPS Hostinger, datacenter Paris (France) — chiffrée au repos

Aucun transfert de données personnelles vers un pays tiers à l'Union Européenne n'est effectué depuis l'infrastructure applicative. Les composants principaux sont hébergés sur des serveurs physiquement situés en France.

Statut de certification HDS (Hébergement de Données de Santé)

Le service n'est actuellement PAS hébergé chez un prestataire certifié HDS au sens de l'article L.1111-8 du Code de la santé publique. Cette information est communiquée de manière explicite à l'Utilisateur avant toute utilisation du Service.

Recommandation formelle aux praticiens utilisateurs

Nous recommandons formellement aux praticiens utilisateurs de NE PAS enregistrer d'informations médicales identifiantes (diagnostic, traitement, antécédents, résultats biologiques, éléments cliniques, prescriptions, etc.) dans les champs libres `notes médicales` ou assimilés. Ces champs doivent rester strictement administratifs (par exemple : préférences horaires, langue du patient, besoins d'accessibilité mobilité, disponibilités particulières) tant que la certification HDS n'a pas été obtenue.

La Plateforme fournit des champs structurés permettant une gestion administrative du rendez-vous (identité, coordonnées, disponibilités) sans nécessiter le stockage d'éléments cliniques.

La certification HDS est prévue après validation du marché et atteinte d'un seuil d'utilisateurs permettant l'investissement correspondant. Un avis de mise à jour sera notifié aux Utilisateurs par email dès que la procédure de certification sera engagée puis obtenue.

Le praticien qui, malgré cette recommandation, saisirait des données de santé identifiantes dans les champs libres, engage sa responsabilité exclusive en sa qualité de responsable de traitement au sens du RGPD.

Les sous-traitants suivants interviennent dans le cadre du Service :

La liste des sous-traitants ci-dessus est maintenue à jour. Toute consultation des DPA peut être sollicitée auprès du DPO à l'adresse dpo@1clicagenda.com.

8. Notification de violation de données

Conformément à l'article 33 du RGPD, en cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, 1ClicAgenda procédera :

• À la notification de la violation à la CNIL dans un délai de 72 heures à compter de sa découverte, sauf si cette violation est peu susceptible d'engendrer un risque au sens de l'article 33.1 RGPD.
• À l'information des personnes concernées dans les meilleurs délais et sans délai injustifié, lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés (article 34 RGPD).
• À la documentation interne de toute violation, de ses effets et des mesures prises, tenue à disposition de la CNIL (article 33.5 RGPD).

Toute personne (Utilisateur, patient, tiers) qui suspecterait une violation de données peut la signaler immédiatement au DPO à l'adresse dpo@1clicagenda.com. Le signalement fera l'objet d'un accusé de réception sous 72 heures et d'une instruction dans les délais réglementaires.

9. Vos droits (RGPD)

Conformément au Règlement Général sur la Protection des Données (RGPD), vous disposez des droits suivants :

9.1 Droit d'accès

Vous pouvez obtenir la confirmation que vos données sont traitées et en recevoir une copie.

9.2 Droit de rectification

Vous pouvez demander la correction de données inexactes ou incomplètes.

9.3 Droit à l'effacement

Vous pouvez demander la suppression de vos données dans les conditions prévues par le RGPD.

9.4 Droit à la portabilité

Vous pouvez recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV).

9.5 Droit d'opposition

Vous pouvez vous opposer au traitement de vos données pour des motifs légitimes.

9.6 Droit à la limitation du traitement

Vous pouvez demander la limitation du traitement de vos données dans certains cas.

L'exercice des droits RGPD (accès, rectification, effacement, portabilité, limitation, opposition) se fait par email à : dpo@1clicagenda.com

Délai maximum de réponse : 1 mois à compter de la réception de la demande, conformément à l'article 12.3 du RGPD. Ce délai peut être prolongé de 2 mois supplémentaires pour les demandes complexes ou nombreuses, avec information préalable du demandeur dans le mois suivant sa demande.

Le responsable du traitement peut demander tout élément raisonnable permettant de vérifier l'identité du demandeur avant de donner suite à la demande, conformément à l'article 12.6 du RGPD.

Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr).

10. Cookies

1ClicAgenda utilise des cookies strictement nécessaires au fonctionnement du Service (authentification, préférences). Aucun cookie de tracking publicitaire n'est utilisé.

11. Sécurité des données

Nous mettons en oeuvre des mesures de sécurité appropriées pour protéger vos données :

• Chiffrement des données en transit (HTTPS/TLS 1.3)
• Hashage des mots de passe (bcrypt)
• Isolation des données par praticien
• Journalisation des accès (audit logs)
• Sauvegardes régulières

12. Contact

Pour toute question relative à cette politique ou à vos données personnelles, contactez le Délégué à la Protection des Données :

13. Modification de la politique

Nous nous réservons le droit de modifier cette politique à tout moment. Toute modification sera notifiée par email. La date de dernière mise à jour est indiquée en haut de ce document.