Politique de Confidentialité

Chez Doclify, la protection de vos données personnelles et de celles de vos patients est notre priorité absolue. Cette politique de confidentialité détaille comment nous collectons, utilisons, stockons et protégeons vos informations conformément au Règlement Général sur la Protection des Données (RGPD) et à la législation française.

Doclify SAS

SIRET : 123 456 789 00012

Adresse : 42 Avenue de la Grande Armée, 75017 Paris, France

Email : contact@doclify.fr

Téléphone : +33 1 23 45 67 89

Data Protection Officer (DPO) :

Email : dpo@doclify.fr

2.1 Données des professionnels de santé (utilisateurs)

• Informations d'identification : nom, prénom, email professionnel, numéro de téléphone
• Informations professionnelles : spécialité médicale, numéro RPPS, adresse du cabinet
• Informations de connexion : adresse IP, journaux de connexion, type d'appareil
• Informations de facturation : adresse de facturation, mode de paiement (traité par notre prestataire sécurisé)
• Données d'utilisation : statistiques d'utilisation de la plateforme, nombre de consultations enregistrées

2.2 Données médicales (patients)

• Enregistrements audio de consultations médicales (temporaires)
• Transcriptions textuelles des consultations
• Résumés générés par IA
• Métadonnées : date, durée, mots-clés
• Informations patient (si saisies) : nom, prénom, date de naissance (optionnel)

Important : Les données médicales sont des données sensibles au sens du RGPD (Art. 9). Nous appliquons les mesures de sécurité les plus strictes pour les protéger.

Finalité	Base légale
Fourniture du service de transcription	Exécution du contrat
Traitement des données de santé	Consentement explicite du patient + obligation légale (secret médical)
Amélioration du service	Intérêt légitime (données anonymisées)
Support technique	Exécution du contrat
Conformité légale et réglementaire	Obligation légale

4.1 Hébergement 100% français

Toutes vos données sont hébergées exclusivement en France, sur des serveurs sécurisés situés dans des datacenters certifiés ISO 27001.

• Datacenter principal : Île-de-France
• Datacenter de secours : Auvergne-Rhône-Alpes
• Aucun transfert hors de l'Union Européenne
• Certification HDS (Hébergeur de Données de Santé) en cours

4.2 Sous-traitants

Nous travaillons uniquement avec des sous-traitants conformes RGPD et situés en Europe :

• Hébergement : OVH Cloud (France) - Certification HDS
• Paiements : Stripe (Irlande) - Certifié PCI-DSS niveau 1
• Emails transactionnels : Brevo (France) - Conforme RGPD

Garantie : Aucune donnée médicale n'est jamais transmise à nos sous-traitants. Seules les données strictement nécessaires au service (emails, paiements) leur sont communiquées.

5.1 Mesures de sécurité techniques

• Chiffrement en transit : TLS 1.3 minimum pour toutes les communications
• Chiffrement au repos : AES-256 pour les données stockées
• Chiffrement mobile : XChaCha20-Poly1305 avant upload depuis l'application
• Base de données : PostgreSQL avec Transparent Data Encryption (TDE)
• Authentification : OAuth2/OIDC avec JWT, 2FA optionnel
• Certificate pinning : Protection contre les attaques man-in-the-middle

5.2 Mesures organisationnelles

• Accès aux données limité au strict nécessaire (principe du moindre privilège)
• Authentification forte obligatoire pour tous les employés
• Logs d'audit immutables pour toutes les actions sensibles
• Analyses de sécurité trimestrielles par organisme tiers indépendant
• Plan de continuité d'activité (PCA) et plan de reprise d'activité (PRA)
• Formation annuelle de l'équipe aux bonnes pratiques de sécurité

5.3 Suppression automatique des audios

Les fichiers audio sont automatiquement et définitivement supprimés dans les 24 heures suivant la transcription réussie. Seules les transcriptions textuelles sont conservées.

Conformément au RGPD, vous disposez des droits suivants :

6.1 Droit d'accès (Art. 15)

Vous pouvez obtenir une copie de toutes vos données personnelles. Délai de réponse : 1 mois maximum.

6.2 Droit de rectification (Art. 16)

Vous pouvez corriger vos données inexactes ou incomplètes directement depuis votre interface Doclify.

6.3 Droit à l'effacement / Droit à l'oubli (Art. 17)

Vous pouvez demander la suppression complète de vos données. Nous procédons à la suppression sous 30 jours.

6.4 Droit à la limitation du traitement (Art. 18)

Vous pouvez demander la limitation du traitement de vos données dans certains cas.

6.5 Droit à la portabilité (Art. 20)

Vous pouvez récupérer vos données dans un format structuré (JSON, CSV, PDF) et les transférer à un autre prestataire.

6.6 Droit d'opposition (Art. 21)

Vous pouvez vous opposer au traitement de vos données à des fins de marketing ou d'analyse (données anonymisées).

6.7 Droit de retirer votre consentement

Vous pouvez retirer votre consentement à tout moment, sans affecter la licéité du traitement antérieur.

Comment exercer vos droits ?

Pour exercer l'un de ces droits, contactez notre DPO :

• Email : dpo@doclify.fr
• Courrier : Doclify SAS - DPO, 42 Avenue de la Grande Armée, 75017 Paris

Joignez une copie de votre pièce d'identité pour vérification.

Droit de réclamation

Vous avez le droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) :

CNIL - 3 Place de Fontenoy, 75007 Paris
Téléphone : +33 1 53 73 22 22
Site web : www.cnil.fr

Type de données	Durée de conservation
Fichiers audio	24 heures maximum après traitement
Transcriptions et résumés	365 jours par défaut (paramétrable)
Données de compte utilisateur	Durée de l'abonnement + 30 jours
Données de facturation	10 ans (obligation légale)
Logs d'audit	3 ans (sécurité et conformité)

Au-delà de ces durées, les données sont automatiquement et définitivement supprimées de nos systèmes, y compris des sauvegardes.

8.1 Cookies essentiels (obligatoires)

Nécessaires au fonctionnement du site et de l'application :

• Session d'authentification (JWT)
• Préférences de langue
• Sécurité (CSRF protection)

8.2 Cookies analytiques (optionnels)

Avec votre consentement, pour améliorer le service :

• Statistiques d'utilisation anonymisées (outil auto-hébergé, pas Google Analytics)
• Durée : 13 mois maximum

Vous pouvez gérer vos préférences de cookies à tout moment depuis les paramètres de votre compte.

Doclify ne transfère AUCUNE donnée en dehors de l'Union Européenne.

Toutes nos opérations (hébergement, traitement IA, stockage, backups) sont effectuées sur le territoire français. Nous ne faisons appel à aucun service cloud américain (AWS, Google Cloud, Azure) ou chinois pour les données médicales.

En cas de violation de données personnelles susceptible de présenter un risque pour vos droits et libertés, nous nous engageons à :

• Notifier la CNIL dans les 72 heures suivant la découverte de la violation
• Vous informer directement si la violation présente un risque élevé
• Documenter tous les incidents dans notre registre des violations
• Prendre immédiatement des mesures correctives

Nous pouvons mettre à jour cette politique de confidentialité pour refléter les évolutions de nos pratiques ou de la législation.

En cas de modification substantielle, nous vous en informerons par email au moins 30 jours avant l'entrée en vigueur des changements.

Date de dernière mise à jour : 1er janvier 2025

Pour toute question concernant cette politique de confidentialité ou le traitement de vos données :

Data Protection Officer (DPO)

Email : dpo@doclify.fr

Téléphone : +33 1 23 45 67 89

Adresse : Doclify SAS - DPO, 42 Avenue de la Grande Armée, 75017 Paris, France

Contact général

Email : contact@doclify.fr