PhysioFlow

Politique de confidentialité

Se connecterCréer un compte

Dernière mise à jour : 05/03/2026

1. Rôles et responsabilités

La Plateforme est éditée par TCODE (ci-après « l'Éditeur »).

  • Données Patients et dossiers (rendez-vous, documents, informations de santé, etc.) : le Cabinet est, en principe, responsable de traitement. L'Éditeur agit en qualité de sous-traitant au nom du Cabinet, conformément à l'accord de sous-traitance (DPA) mis à disposition du Cabinet.
  • Données de compte, sécurité, support, facturation : l'Éditeur peut agir en qualité de responsable de traitement pour ces finalités propres.

2. Données collectées

  • Données de compte pro : nom, prénom, e-mail, identifiants, rôles et préférences.
  • Données du Cabinet : structure, paramètres, utilisateurs rattachés, habilitations.
  • Données Patients : identité, rendez-vous, informations et documents transmis via le Portail, et données de santé le cas échéant selon l'usage du Cabinet.
  • Données de facturation B2B : factures, historique d'abonnement, paiements et justificatifs.
  • Données techniques : logs, adresse IP, horodatages, journal d'accès, métriques de sécurité.
  • Données cartographiques techniques : coordonnées GPS (lat/long) et adresses saisies pour géocodage/itinéraire, transmises aux prestataires cartographiques.

3. Finalités

  • Fournir les Services au Cabinet (exécution du contrat) et permettre l'accès au Portail Patient.
  • Administrer les comptes, gérer la sécurité, prévenir la fraude et assurer la continuité.
  • Assurer le support, le suivi des demandes et l'amélioration du service.
  • Gérer la facturation et la comptabilité B2B.
  • Respecter les obligations légales applicables.

4. Destinataires

Les données sont accessibles aux personnes habilitées du Cabinet (pour les données de l'instance) et aux personnels habilités de l'Éditeur (support, sécurité, administration), ainsi qu'aux sous-traitants techniques strictement nécessaires (hébergement, CDN/WAF, e-mail, logs/supervision, etc.). La liste des principaux prestataires est tenue à jour et communiquée au Cabinet dans le cadre du DPA.

Les prestataires cartographiques OpenStreetMap/Nominatim/ORS reçoivent uniquement les données techniques nécessaires au traitement cartographique (coordonnées/adresse), sans identifiants nominatifs patient dans les requêtes émises par la Plateforme.

5. Sous-traitance (DPA)

Un accord de sous-traitance (DPA) encadre la nature des traitements réalisés pour le compte du Cabinet, les mesures de sécurité, les sous-traitants ultérieurs, l'assistance en cas de demandes de droits, et les notifications d'incidents. Le Cabinet peut le consulter et l'accepter via la Plateforme ou sur demande auprès de l'Éditeur.

6. Hébergement – Transferts

Les données peuvent être hébergées par l'Éditeur et/ou par des prestataires d'hébergement et d'infrastructure, selon l'architecture retenue. En cas de transfert de données vers un pays tiers, des garanties appropriées sont mises en place (clauses contractuelles types ou mécanismes reconnus), conformément au droit applicable et au DPA.

7. Durées de conservation

  • Données de compte et d'instance : durée de la relation contractuelle + période de réversibilité, puis suppression selon les CGU/CGV, sauf obligations légales.
  • Données de facturation B2B : conservation conformément aux obligations comptables applicables.
  • Logs de sécurité : conservation proportionnée à la finalité de sécurité et d'audit, puis suppression/archivage.

Pour les dossiers patients, la durée de conservation est déterminée par le Cabinet en sa qualité de responsable de traitement, sous réserve de ses obligations professionnelles et légales.

8. Sécurité

L'Éditeur met en œuvre des mesures techniques et organisationnelles adaptées aux risques : contrôle d'accès, cloisonnement logique des instances, sauvegardes, journalisation, chiffrement en transit, et mesures de durcissement. Le niveau de détail des mesures de sécurité est décrit dans le DPA et/ou la documentation de sécurité, sur demande raisonnable du Cabinet.

9. Droits des personnes

Conformément au droit applicable (dont le RGPD), les personnes disposent de droits (accès, rectification, effacement, limitation, opposition, portabilité, retrait du consentement lorsque applicable).

  • Pour les données du dossier patient traitées par le Cabinet, les demandes doivent être adressées au Cabinet (responsable de traitement). L'Éditeur assiste le Cabinet conformément au DPA.
  • Pour les données dont l'Éditeur est responsable (compte, sécurité, facturation, cookies), les demandes peuvent être adressées à l'Éditeur à l'adresse rgpd@physioflow.nc ou via les coordonnées des Mentions légales.

Les personnes peuvent également adresser une réclamation à l'autorité compétente en matière de protection des données.

10. Cookies et traceurs

La Plateforme utilise des cookies/traceurs strictement nécessaires au fonctionnement (authentification, sécurité, session). Des traceurs de mesure d'audience ou tiers ne sont déposés qu'après recueil du consentement lorsque requis. Les détails figurent dans la Politique Cookies.

11. Violations de données

En cas d'incident de sécurité affectant des données personnelles, l'Éditeur applique ses procédures internes de gestion d'incident et notifie le Cabinet sans retard indu lorsqu'il agit en qualité de sous-traitant, afin de permettre au Cabinet de respecter ses obligations. Lorsque l'Éditeur agit en qualité de responsable de traitement, il réalise les notifications requises par le droit applicable.