Retour à l'accueil
Politique de confidentialité
Pour la lisibilité, le masculin générique (« le praticien », « l'utilisateur ») est employé sans distinction de genre et désigne indifféremment les personnes de tout genre.
Dernière mise à jour : juin 2026
Nous nous engageons à protéger vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD).
Responsable du traitement
Responsable du traitement : PALM CELINE, EI, SIRET 898 563 911 00020, 8 rue Maurice Sibille, 26200 Montélimar, France.
PALM CELINE est responsable du traitement des données des praticiens-clients (compte, facturation, support). Pour les données de santé des patients saisies par le praticien, PALM CELINE agit en qualité de sous-traitant au sens de l'article 28 du RGPD : le praticien en est le responsable de traitement (voir CGU, Article 11).
Délégué à la protection des données : contact@prismeclinical.com
Pour toute question relative au traitement de vos données personnelles, vous pouvez nous écrire à l'adresse ci-dessus ou par email.
Données collectées
Nous collectons uniquement les données nécessaires au fonctionnement du service :
• Données d'identification : nom, prénom, email, numéro de téléphone
• Données professionnelles : numéro RPPS, spécialité, adresse du cabinet
• Données patients : informations démographiques, résultats d'évaluations, observations cliniques
• Données techniques : journaux de connexion, préférences d'utilisation
Finalités du traitement
Vos données sont utilisées exclusivement pour :
• Permettre la gestion de vos patients et bilans
• Générer des rapports d'évaluation cognitifs
• Assurer le bon fonctionnement et la sécurité du service
• Améliorer l'expérience utilisateur
Nous ne vendons jamais vos données à des tiers.
Base légale des traitements
Chaque traitement repose sur une base légale au sens de l'article 6 du RGPD :
• Fourniture du service et gestion du compte : exécution du contrat (Art. 6.1.b)
• Données de santé des patients : traitées pour le compte du praticien (sous-traitance, Art. 28) — la licéité relève du praticien, dans le cadre de sa mission de soin (Art. 9.2.h) et du consentement qu'il recueille (Art. 9.2.a)
• Facturation et comptabilité : obligation légale (Art. 6.1.c)
• Sécurité, journaux techniques, prévention des abus : intérêt légitime (Art. 6.1.f)
• Communications marketing et newsletter : consentement, révocable à tout moment (Art. 6.1.a)
Sécurité et conservation
Vos données sont protégées par :
• Chiffrement en transit (HTTPS/TLS 1.3) et sauvegardes chiffrées (AES-256) externalisées
• Authentification sécurisée avec tokens JWT
• Isolation des données par praticien (Row Level Security)
• Hébergement HDS (Hébergement de Données de Santé) sur infrastructure certifiée en France (OVH, Gravelines)
• Attestation HDS OVHcloud disponible sur demande à contact@prismeclinical.com
Durées de conservation par type de données :
• Données de compte (nom, email, RPPS) : durée de l'abonnement + 30 jours après suppression du compte
• Données patients (identité, coordonnées) : durée de l'abonnement, supprimées sur demande ou à la clôture du compte
• Données cliniques (évaluations, bilans, rapports) : durée de l'abonnement — le praticien est responsable de sa propre conservation conformément au Code de la santé publique. Le praticien demeure responsable de la conservation des données cliniques conformément au Code de santé publique. Pour exercer vos droits RGPD sans connexion à votre compte, écrivez à contact@prismeclinical.com.
• Journaux d'audit (accès, modifications) : 12 mois glissants (Art. 5.2 RGPD)
• Données de connexion (logs techniques) : 12 mois (obligation légale LCEN)
• Données de facturation : 10 ans (obligation comptable, Art. L.123-22 Code de commerce)
• Cookies essentiels : session ou 12 mois maximum
• Données anonymisées (après exercice du droit à l'effacement) : les identifiants directs sont supprimés — le nom est remplacé par « Patient anonymisé », la date de naissance et les coordonnées sont effacées. Seules des données dépourvues de tout identifiant (par ex. scores sans rattachement nominatif) peuvent être conservées à des fins d'intégrité statistique, sans possibilité de réidentification.
Sous-traitants
Conformément à l'article 28 du RGPD, nous faisons appel aux sous-traitants suivants pour le fonctionnement du service :
• OVHcloud (OVH SAS) — Hébergement serveur dédié HDS (base de données, conteneurs) — France (Gravelines, GRA04)
• Supabase (Supabase Inc.) — Logiciel open-source auto-hébergé sur OVH (authentification, API, stockage) — France (via OVH)
• Stripe (Stripe Inc.) — Traitement des paiements, certifié PCI-DSS — Union Européenne
• Resend (Resend Inc.) — Envoi d'emails transactionnels — Union Européenne
• Sentry (Functional Software Inc.) — Monitoring des erreurs, données anonymisées — Union Européenne (Francfort)
• Klaviyo (Klaviyo Inc.) — Emails marketing et automation — États-Unis (EU-US Data Privacy Framework + clauses contractuelles types)
• Cloudflare (Cloudflare Inc.) — Proxy/CDN et protection DDoS du site public uniquement (adresses IP des visiteurs) — États-Unis (EU-US Data Privacy Framework + clauses contractuelles types). L'application et l'API hébergeant les données de santé sont hors proxy Cloudflare (DNS-only) : aucune donnée de santé n'y transite.
Chaque sous-traitant s'engage contractuellement à traiter vos données conformément au RGPD. Aucune donnée de santé n'est transmise aux sous-traitants.
Vos droits RGPD
Conformément au RGPD, vous disposez des droits suivants :
• Droit d'accès : obtenir une copie de vos données
• Droit de rectification : corriger vos informations
• Droit à l'effacement : supprimer votre compte et données
• Droit à la portabilité : exporter vos données
• Droit d'opposition : vous opposer au traitement
• Droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr) si vous estimez que le traitement de vos données n'est pas conforme au RGPD
Exercez ces droits depuis votre profil ou contactez-nous.
Export et suppression
Depuis votre page de profil, vous pouvez :
• Exporter vos données en format JSON (patients, bilans, profil)
• Supprimer votre compte et toutes les données associées
La suppression est définitive et irréversible.
Nous contacter
Pour toute question relative à vos données personnelles ou pour exercer vos droits, contactez notre délégué à la protection des données : contact@prismeclinical.com