Politique de confidentialite
Derniere mise a jour : 23 mars 2026 — Version 1.0
La presente politique de confidentialite decrit la maniere dont Synapse Care (ci-apres « la Plateforme ») collecte, utilise et protege vos donnees personnelles conformement au Reglement General sur la Protection des Donnees (RGPD — UE 2016/679) et a la loi Informatique et Libertes.
1. Responsable de traitement
Le responsable de traitement est le cabinet de psychologie utilisant la Plateforme. Synapse Care agit en qualite de sous-traitant au sens de l'article 28 du RGPD.
Pour toute question relative a vos donnees personnelles, vous pouvez contacter le Delegue a la Protection des Donnees (DPO) de votre cabinet via les coordonnees communiquees lors de votre prise en charge, ou a l'adresse : dpo@synapse-care.fr.
2. Donnees collectees
2.1 Patients
- Identite : nom, prenom, date de naissance, genre
- Contact : adresse e-mail, numero de telephone, adresse postale
- Donnees de sante (categorie speciale — Art. 9 RGPD) : numero de securite sociale (chiffre), antecedents medicaux (chiffres), allergies (chiffrees), traitements en cours (chiffres), notes cliniques (chiffrees AES-256-GCM)
- Donnees administratives : factures, paiements, informations d'assurance (chiffrees)
- Donnees techniques : adresse IP (pour securite), user-agent (pour detection d'anomalies)
2.2 Praticiens et personnel
- Identite professionnelle : nom, prenom, e-mail, telephone, numero RPPS/ADELI
- Securite : secret d'authentification a deux facteurs (chiffre), codes de recuperation (chiffres)
3. Bases legales du traitement
| Finalite | Base legale |
|---|---|
| Gestion des rendez-vous | Execution du contrat (Art. 6.1.b) |
| Suivi clinique et notes medicales | Obligation legale (Art. 6.1.c) + Medecine (Art. 9.2.h) |
| Facturation | Obligation legale (Art. 6.1.c) |
| Messagerie securisee | Execution du contrat (Art. 6.1.b) |
| Teleconsultation | Consentement (Art. 6.1.a) |
| Assistance par intelligence artificielle | Consentement explicite (Art. 9.2.a) — donnees anonymisees |
| Notifications SMS/e-mail | Interet legitime (Art. 6.1.f) |
| Journalisation de securite | Obligation legale (Art. 6.1.c) |
4. Durees de conservation
| Categorie | Duree | Fondement |
|---|---|---|
| Notes cliniques | 20 ans apres derniere consultation | Code de la sante publique (Art. R1112-7) |
| Factures et paiements | 10 ans | Code de commerce (Art. L123-22) |
| Journaux de securite | 3 ans | RGPD Art. 5.2 (responsabilite) |
| Sessions de teleconsultation | 1 an | Proportionnalite |
| Tentatives de connexion | 24 heures | Securite (interet legitime) |
5. Destinataires des donnees
Vos donnees sont accessibles uniquement aux personnes habilitees :
- Votre praticien traitant et le secretariat du cabinet
- La direction du cabinet (a des fins d'audit et de supervision)
- Les sous-traitants techniques (voir section 7)
Synapse Care ne vend jamais vos donnees a des tiers et n'utilise pas vos donnees a des fins publicitaires.
6. Securite des donnees
- Chiffrement au repos : AES-256-GCM sur tous les champs sensibles (notes cliniques, numero de securite sociale, antecedents, secrets 2FA), avec derivation de cle par cabinet (HKDF-SHA256)
- Chiffrement en transit : TLS 1.2+ obligatoire
- Authentification renforcee : mot de passe minimum 14 caracteres (norme NIST SP 800-63B), authentification a deux facteurs obligatoire pour les professionnels
- Isolation multi-tenant : chaque cabinet dispose d'un espace isole au niveau base de donnees (Row-Level Security PostgreSQL)
- Sauvegardes chiffrees : quotidiennes, hebdomadaires et mensuelles (AES-256-CBC)
7. Sous-traitants et transferts hors UE
| Sous-traitant | Service | Localisation | Garantie |
|---|---|---|---|
| Supabase | Base de donnees, authentification | UE (Francfort) | SOC2, hebergement HDS |
| Stripe | Paiements (aucune donnee de sante) | USA | SCCs, PCI-DSS |
| Brevo | E-mails/SMS (contenu generique, aucun nom) | France | RGPD natif |
| OpenAI / Anthropic | IA (donnees prealablement anonymisees) | USA | SCCs + anonymisation |
| Sentry | Monitoring erreurs (donnees sanitisees) | USA | SCCs |
Les transferts vers les Etats-Unis sont encadres par les Clauses Contractuelles Types (Decision de la Commission 2021/914) et des mesures supplementaires (chiffrement, anonymisation des donnees de sante avant transfert IA).
8. Vos droits
Conformement au RGPD, vous disposez des droits suivants sur vos donnees personnelles :
- Droit d'acces (Art. 15) : obtenir une copie de l'ensemble de vos donnees au format JSON
- Droit de rectification (Art. 16) : corriger toute donnee inexacte
- Droit a l'effacement (Art. 17) : demander la suppression de vos donnees, sous reserve des obligations legales de conservation
- Droit a la portabilite (Art. 20) : recevoir vos donnees dans un format structure et lisible par machine
- Droit d'opposition (Art. 21) : vous opposer au traitement de vos donnees a des fins d'analytique, d'IA ou de marketing
- Droit a la limitation (Art. 18) : demander la restriction du traitement de vos donnees
Comment exercer vos droits
Adressez votre demande par e-mail a votre cabinet ou au DPO a l'adresse dpo@synapse-care.fr. Nous repondrons dans un delai de 30 jours calendaires (extensible a 60 jours en cas de complexite, avec notification prealable).
Si vous estimez que vos droits ne sont pas respectes, vous pouvez introduire une reclamation aupres de la CNIL (Commission Nationale de l'Informatique et des Libertes) — www.cnil.fr.
9. Intelligence artificielle
La Plateforme propose une assistance par intelligence artificielle. Avant tout traitement par l'IA :
- Vos donnees cliniques sont anonymisees (noms remplaces par des identifiants)
- L'IA ne recoit aucune donnee identifiante
- Aucune donnee n'est stockee par le fournisseur d'IA
- Vous pouvez refuser le traitement par IA a tout moment via vos preferences
10. Cookies
La Plateforme utilise exclusivement des cookies strictement necessaires au fonctionnement (session, CSRF). Aucun cookie publicitaire ou de tracking tiers n'est utilise. Si des fonctionnalites d'analytique sont activees par votre cabinet, votre consentement sera recueilli prealablement.
11. Modifications
La presente politique peut etre modifiee pour reflechir les evolutions de la Plateforme ou de la reglementation. En cas de modification substantielle, vous en serez informe par e-mail ou notification dans l'application.