POLITIQUE DE CONFIDENTIALITÉ ET DE PROTECTION DES DONNÉES PERSONNELLES
Dernière mise à jour : 9 octobre 2025 - Conformément au Règlement (UE) 2016/679 – RGPD, à la Loi n° 78-17 du 6 janvier 1978 modifiée, et aux exigences relatives à l’hébergement des données de santé – HDS
Préambule
La présente politique a pour objet d’informer, avec le plus haut degré de transparence, les Utilisateurs (professionnels de santé) et les Patients de la manière dont la société ALGYC SAS (ci-après « ALGYC » ou « la Société ») collecte, traite, conserve et protège leurs données à caractère personnel et, le cas échéant, leurs données de santé à caractère particulièrement sensible.
Cette politique complète les Conditions Générales d’Utilisation et de Vente (CGU/CGV) applicables au Service, et s’intègre dans le cadre du contrat de sous-traitance des données de santé conclu entre ALGYC et les praticiens utilisateurs de la plateforme.
Article 2 – Rôles et responsabilités
1. ALGYC agit :
- en qualité de responsable de traitement pour les opérations nécessaires à la gestion des comptes utilisateurs, à la facturation, à la sécurité et à l’amélioration du service ;
- en qualité de sous-traitant (au sens de l’article 28 du RGPD) lorsqu’elle traite des données de santé pour le compte des praticiens utilisateurs, sur instruction documentée et dans le respect des obligations de confidentialité, sécurité et traçabilité prévues par la loi.
2. L’Utilisateur praticien demeure responsable du traitement des données de santé de ses patients, au sens de l’article 4-7 du RGPD.
Article 3 – Catégories de données collectées
Selon votre utilisation (site, compte pro, application), nous pouvons traiter :
· Données d’identification : nom, prénom, email, téléphone, adresse postale, fonction, établissement / cabinet.
· Données d’identification : nom, prénom, email, téléphone, adresse postale, fonction, établissement / cabinet.
· Données professionnelles : statut (ex. kinésithérapeute libéral), identifiants pro, préférences d’usage.
· Données de facturation : coordonnées de facturation, historique de commandes, moyens de paiement (via prestataire), références de paiement.
· Données de connexion et d’usage : logs, adresse IP, type d’appareil, événements techniques.
· Données de support : contenu des échanges (emails, tickets).
· Données marketing : abonnement newsletters, statistiques d’ouverture (si consenties).
· Données patients (dans l’app) : informations saisies par le professionnel dans le cadre des soins (bilan, suivi, programme d’exercices, notes), potentiellement des données de santé. ALGYC les traite en qualité de sous-traitant, sur instruction du praticien. L’architecture a été pensée pour un hébergement sécurisé et compatible HDS / chiffrement et cloisonnement conformes RGPD.
Paiements : les données de carte sont traitées par un prestataire de paiement certifié. ALGYC ne conserve pas vos numéros de carte complets.
Article 4 – Finalités et bases légales du traitement
Le tableau ci-dessous synthétise les principaux traitements :
Finalité | Base légale | Durée de conservation (indicative) |
Création et administration du compte pro ; fourniture de l’app | Exécution du contrat (art. 6-1-b) | Durée du contrat + 3 ans (preuve / prospection B2B limitée) |
Facturation, comptabilité, obligations fiscales | Obligation légale (art. 6-1-c) | 10 ans (pièces comptables) |
Support et service client | Intérêt légitime (art. 6-1-f) | Durée du ticket + 2 ans |
Prospection B2B (emails pro pertinents) | Intérêt légitime (art. 6-1-f) | 3 ans après le dernier contact |
Newsletters | Consentement (art. 6-1-a) | Jusqu’au retrait du consentement |
Mesure d’audience (cookies/SDK) | Consentement (si requis) | Cookies ≤ 13 mois ; données agrégées ≤ 25 mois |
Sécurité (logs, anti-fraude) | Intérêt légitime (sécurité) | 6 à 12 mois selon le type de log |
Données patients (app) | Contrat + art. 9 §2 RGPD via le praticien ; ALGYC = sous-traitant | Selon la durée définie par le Responsable de traitement ; suppression/restitution à terme du contrat |
Des archivages probatoires peuvent être opérés pour la durée de prescription applicable (ex. 5 ans en droit civil), uniquement pour défendre/exercer des droits.
Article 5 – Hébergement, sécurité et localisation
Les données sont hébergées exclusivement auprès d’un prestataire certifié Hébergeur de Données de Santé (HDS) situé dans l’Union européenne.
L’infrastructure respecte le chiffrement TLS 1.3 pour les flux, le chiffrement des données au repos, des politiques d’accès fondées sur le principe du moindre privilège, des sauvegardes redondées et des audits de sécurité réguliers.
ALGYC applique une politique interne stricte de gestion des habilitations et de traçabilité conformément au référentiel de l’ASIP Santé.
Article 6 – Sous-traitants et destinataires
Accès limité, selon le besoin-d’en-connaître :
· Équipes internes ALGYC habilitées (support, produit, facturation).
· Sous-traitants : hébergeur(s) et infogéreur(s), prestataire de paiement, outil(s) emailing / CRM, outil(s) d’assistance, mesure d’audience (si acceptée), intégrations techniques nécessaires à l’app.
· Autorités / organismes, uniquement pour répondre à des obligations légales.
La liste à jour des sous-traitants significatifs peut être communiquée sur demande ou via l’avenant de sous-traitance (DPA).
Article 7 – Transferts hors de l’Union européenne
L’application a été conçue pour un hébergement sécurisé : chiffrement des données en transit et au repos, cloisonnement par tenant, contrôle d’accès strict, journalisation, sauvegardes et tests de restauration.
Pour les données patients, ALGYC vise un hébergement certifié HDS en France ; à défaut, un stockage chifré et cloisonné conforme RGPD est mis en œuvre. Les détails de l’hébergeur sont fournis dans la documentation contractuelle.
Des transferts hors UE peuvent survenir (ex. emailing, analytics). Ils sont encadrés par une décision d’adéquation ou par les Clauses Contractuelles Types de la Commission européenne, complétées le cas échéant par des mesures additionnelles.
Article 8 – Droits des personnes concernées
Conformément au RGPD, vous disposez notamment des droits d’accès, rectification, effacement, limitation, portabilité, opposition, et du droit de retirer votre consentement à tout moment (pour les traitements fondés sur le consentement). Vous pouvez aussi définir des directives post-mortem (art. 40-1 loi Informatique & Libertés). Vous pouvez introduire une réclamation auprès de la CNIL.
Pour les traitements dont ALGYC est Responsable : contactez-nous (voir §3). Pour les données patients : contactez en priorité votre professionnel de santé, Responsable de traitement. ALGYC assistera le praticien pour répondre à la demande, dans le cadre contractuel.
Nous pourrons vous demander un justificatif d’identité si nécessaire : il n’est conservé que le temps de la vérification.
Article 9 – Modifications et opposabilité
La présente Politique pourra être modifiée pour tenir compte des évolutions législatives, des recommandations de la CNIL ou des améliorations techniques du Service. L’Utilisateur sera informé par tout moyen approprié. La version à jour est disponible en ligne et entre en vigueur dès sa publication.
