Politique de confidentialité

Responsable du traitement : PALM CELINE, EI, SIRET 898 563 911 00020, 8 rue Maurice Sibille, 26200 Montélimar, France. Délégué à la protection des données : [email protected] Pour toute question relative au traitement de vos données personnelles, vous pouvez nous écrire à l'adresse ci-dessus ou par email.

Nous collectons uniquement les données nécessaires au fonctionnement du service : • Données d'identification : nom, prénom, email, numéro de téléphone • Données professionnelles : numéro RPPS, spécialité, adresse du cabinet • Données patients : informations démographiques, résultats d'évaluations, observations cliniques • Données techniques : journaux de connexion, préférences d'utilisation

Vos données sont utilisées exclusivement pour : • Permettre la gestion de vos patients et bilans • Générer des rapports d'évaluation cognitifs • Assurer le bon fonctionnement et la sécurité du service • Améliorer l'expérience utilisateur Nous ne vendons jamais vos données à des tiers.

Vos données sont protégées par : • Chiffrement en transit (HTTPS/TLS) et au repos (AES-256) • Authentification sécurisée avec tokens JWT • Isolation des données par praticien (Row Level Security) • Hébergement HDS (Hébergement de Données de Santé) sur infrastructure certifiée en France (OVH, Gravelines) • Attestation HDS OVHcloud disponible sur demande à [email protected] Durées de conservation par type de données : • Données de compte (nom, email, RPPS) : durée de l'abonnement + 30 jours après suppression du compte • Données patients (identité, coordonnées) : durée de l'abonnement, supprimées sur demande ou à la clôture du compte • Données cliniques (évaluations, bilans, rapports) : durée de l'abonnement — le praticien est responsable de sa propre conservation conformément au Code de la santé publique. Le praticien demeure responsable de la conservation des données cliniques conformément au Code de santé publique. Pour exercer vos droits RGPD sans connexion à votre compte, écrivez à [email protected]. • Journaux d'audit (accès, modifications) : 12 mois glissants (Art. 5.2 RGPD) • Données de connexion (logs techniques) : 12 mois (obligation légale LCEN) • Données de facturation : 10 ans (obligation comptable, Art. L.123-22 Code de commerce) • Cookies essentiels : session ou 12 mois maximum • Données pseudonymisées (après exercice du droit à l'effacement) : la date de naissance et les coordonnées sont supprimées, et le nom est remplacé par une empreinte non lisible (SHA-256, Art. 4(5) RGPD). Ces données résiduelles, dépourvues d'identifiant direct, peuvent être conservées à des fins d'intégrité statistique et de cohérence des bases.

Conformément à l'article 28 du RGPD, nous faisons appel aux sous-traitants suivants pour le fonctionnement du service : • OVHcloud (OVH SAS) — Hébergement serveur dédié HDS (base de données, conteneurs) — France (Gravelines, GRA04) • Supabase (Supabase Inc.) — Logiciel open-source auto-hébergé sur OVH (authentification, API, stockage) — France (via OVH) • Stripe (Stripe Inc.) — Traitement des paiements, certifié PCI-DSS — Union Européenne • Resend (Resend Inc.) — Envoi d'emails transactionnels — Union Européenne • Sentry (Functional Software Inc.) — Monitoring des erreurs, données anonymisées — Union Européenne (Francfort) • Klaviyo (Klaviyo Inc.) — Emails marketing et automation — États-Unis (clauses contractuelles types UE-US) • Cloudflare (Cloudflare Inc.) — Proxy/CDN et protection DDoS du site public uniquement (adresses IP des visiteurs) — États-Unis (clauses contractuelles types UE-US). L'application et l'API hébergeant les données de santé sont hors proxy Cloudflare (DNS-only) : aucune donnée de santé n'y transite. Chaque sous-traitant s'engage contractuellement à traiter vos données conformément au RGPD. Aucune donnée de santé n'est transmise aux sous-traitants.

Conformément au RGPD, vous disposez des droits suivants : • Droit d'accès : obtenir une copie de vos données • Droit de rectification : corriger vos informations • Droit à l'effacement : supprimer votre compte et données • Droit à la portabilité : exporter vos données • Droit d'opposition : vous opposer au traitement Exercez ces droits depuis votre profil ou contactez-nous.

Depuis votre page de profil, vous pouvez : • Exporter vos données en format JSON (patients, bilans, profil) • Supprimer votre compte et toutes les données associées La suppression est définitive et irréversible.