CRM Naturopathie

Politique de confidentialité

Dernière mise à jour : 17 avril 2026

La présente politique décrit comment Clic974, éditeur du service CRM Naturopathie, collecte, utilise et protège les données personnelles traitées dans le cadre du service, conformément au Règlement général sur la protection des données (RGPD) et à la loi Informatique et Libertés modifiée.

1. Responsable de traitement

Clic974 — Idric Gilles Evarne, entrepreneur individuel.
Contact DPO : idric.evarne@clic974.re

2. Données collectées

Données des praticiens utilisateurs du service

  • Identité (nom, prénom, rôle)
  • Coordonnées (email, téléphone)
  • Identifiants d'authentification (mot de passe haché, secret TOTP chiffré)
  • Données d'usage et logs techniques

Données des clients du cabinet (traitées pour le compte du praticien)

  • Identité et coordonnées
  • Données de santé (RGPD art. 9) : anamnèse, antécédents, traitements, protocoles, suivi de vitalité
  • Données de facturation
  • Historique des rendez-vous et consultations

Pour les données des clients du cabinet, Clic974 agit comme sous-traitant au sens de l'article 28 du RGPD. Le praticien reste responsable de traitement.

3. Finalités

  • Fournir les fonctionnalités du service
  • Assurer la sécurité et l'intégrité des données
  • Permettre au praticien de respecter ses obligations fiscales et déontologiques
  • Communiquer avec les utilisateurs (support, notifications)
  • Améliorer le service et corriger les anomalies

4. Base légale

  • Exécution du contrat (art. 6.1.b RGPD) pour les données des praticiens
  • Nécessité aux fins de médecine préventive et de prestation de soins (art. 9.2.h RGPD) pour les données de santé
  • Obligation légale (art. 6.1.c RGPD) pour la facturation et la conservation comptable

5. Durées de conservation

  • Données de santé : 5 ans après la dernière activité du client, puis suppression automatique
  • Données de facturation : 10 ans (obligation légale L.123-22 C. commerce)
  • Logs d'audit : 3 ans
  • Données de compte praticien : durée du contrat + 30 jours de grâce après résiliation

6. Mesures de sécurité

  • Hébergement HDS 2.0 — serveurs certifiés Hébergement de Données de Santé en Union européenne
  • Chiffrement applicatif — anamnèse, protocoles et pièces jointes chiffrés en base (AES-256-GCM), clé unique par cabinet (envelope encryption)
  • Chiffrement de disque — LUKS sur le serveur de base de données
  • Authentification forte — MFA TOTP obligatoire pour les praticiens et assistants
  • Traçabilité — journal d'audit append-only de tous les accès aux données de santé
  • Sauvegardes chiffrées — backups quotidiens, test de restauration mensuel

7. Sous-traitants

Nous faisons appel à des sous-traitants pour l'exploitation du service. Chacun est lié par un accord de sous-traitance (DPA) conforme au RGPD art. 28 :

  • Hébergeur HDS (France) — serveurs + stockage + backups
  • Cloudflare (États-Unis) — CDN et protection DDoS du site public www.* uniquement (aucune donnée de santé ne transite par Cloudflare)
  • Resend (États-Unis) — envoi d'emails transactionnels
  • Octopush (France) — envoi de SMS
  • Stripe (Irlande) — paiements clients et facturation SaaS
  • Google (États-Unis) — authentification OAuth optionnelle et synchronisation d'agenda (opt-in par cabinet)
  • Anthropic (États-Unis) — assistant IA clinique avec pseudonymisation préalable des données envoyées et désactivation de la rétention côté fournisseur

La liste détaillée à jour des sous-traitants est disponible sur demande.

8. Transferts hors UE

Les données de santé ne sont jamais transférées hors de l'Union européenne. Les transferts vers les sous-traitants situés aux États-Unis (Cloudflare, Resend, Stripe, Google, Anthropic) concernent des données non sensibles et sont encadrés par les clauses contractuelles types (CCT) de la Commission européenne.

9. Vos droits

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

  • Droit d'accès (art. 15) — obtenir une copie de vos données
  • Droit de rectification (art. 16) — corriger une information inexacte
  • Droit à l'effacement (art. 17) — demander la suppression (avec 30 jours de grâce pour annuler)
  • Droit à la portabilité (art. 20) — recevoir vos données dans un format structuré
  • Droit d'opposition (art. 21) — vous opposer à certains traitements

Les clients du cabinet peuvent exercer ces droits directement depuis leur portail client (section « Mes données »). Les praticiens peuvent nous contacter à idric.evarne@clic974.re.

Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr).

10. Cookies

Consultez notre déclaration des cookies.

11. Modifications

Cette politique peut évoluer. Les modifications substantielles sont notifiées aux utilisateurs par email au moins 30 jours avant leur entrée en vigueur.