Introduction

Cette page détaille l'information RGPD relative aux sites www.medicalcloud.fr et box.medicalcloud.fr, et aux opérations d'inscription, d'abonnement, de facturation, de support et de communication. Les Mentions légales (éditeur, hébergeur, etc.) sont publiées séparément.

Pour toute information complémentaire sur vos droits et obligations en matière de protection des données personnelles, nous vous invitons à consulter le site de la CNIL : https://www.cnil.fr.

La présente politique de confidentialité est applicable à compter de sa date de mise à jour indiquée en en-tête et pourra être modifiée pour refléter les évolutions légales, réglementaires ou techniques. Nous vous invitons à la consulter régulièrement.

Principes (minimisation & sécurité)

Minimisation : nous ne collectons et ne conservons que les données strictement nécessaires à chaque finalité ; nous limitons leur granularité (anonymisation/pseudonymisation lorsque possible) et l'accès aux seules personnes habilitées.

Sécurité : mesures techniques et organisationnelles proportionnées (contrôles d'accès, chiffrement en transit/au repos lorsque pertinent, journalisation, sauvegardes, correctifs de sécurité). Nous ne déposons aucun cookie de mesure d'audience ni de support.

Absence de décisions individuelles automatisées (y compris profilage) produisant des effets juridiques vous concernant.

Inscription / Création de compte

Finalités : Création et gestion du compte ; vérification du statut professionnel de santé (RPPS) ; communications opérationnelles liées au service.

Données traitées : Identité (nom, prénom) ; coordonnées (e-mail*, mobile*) ; identifiants professionnels (RPPS) ; données techniques limitées (date/heure, IP tronquée, user-agent). Les champs marqués d'un astérisque (*) sont obligatoires.

Base légale : Exécution du contrat / mesures précontractuelles ; intérêt légitime (sécurisation, prévention des abus).

Destinataires : Équipes internes (support, commercial) et prestataires strictement nécessaires (hébergement/infogérance, e-mailing transactionnel). Aucune cession à des tiers à des fins marketing.

Abonnement, facturation & comptabilité

Finalités : Émission et suivi des devis, factures/avoirs, recouvrement et obligations comptables.

Données traitées : Adresse postale* ; raison sociale* ; SIRET* ; e-mail de facturation* ; identité/contact du payeur ; références de paiement (hors données de carte si non traitées par nous) ; traces comptables obligatoires.

Base légale : Obligation légale (comptabilité/fiscalité) ; exécution du contrat ; intérêt légitime (gestion des impayés).

Destinataires : Équipe facturation/comptabilité ; cabinet comptable ; prestataires de paiement/facturation ; autorités légalement habilitées.

Parrainage

Finalités : Gérer les invitations parrain/filleul et les avantages associés.

Données traitées : Code parrainage, e-mail du parrain/filleul, horodatages.

Base légale : Intérêt légitime (développer la communauté) ; exécution du contrat (attribution d'avantages).

Newsletter

Finalités : Envoi d'informations sur le service et nos actualités (opt-in).

Données traitées : E-mail, préférences de communication, preuve du consentement (horodatage, version).

Base légale : Consentement (retirable à tout moment via le lien de désinscription).

Contact / Support (Zendesk)

Finalité : Répondre à vos messages et assurer le suivi de vos demandes d'information ou d'assistance, sans dépôt de cookies.

Données traitées : Adresse e-mail* ; numéro de téléphone* ; contenu du message* ; pièces jointes éventuelles ; données techniques limitées nécessaires au routage et à la sécurité (date/heure, adresse IP, user-agent). Les champs marqués d'un astérisque (*) sont obligatoires.

Base légale : Intérêt légitime (réponse aux sollicitations, support). Si la demande vise un devis, une démo ou la souscription, base légale : exécution de mesures précontractuelles.

Destinataires : Équipe support/commerciale de Medical Cloud. Zendesk intervient comme sous-traitant (gestion et acheminement des messages). Le widget est chargé uniquement au clic sur « Assistance ».

Mesure d'audience (Matomo auto-hébergé, sans cookie)

Finalité : Mesurer l'audience du site et améliorer l'ergonomie, sans reciblage publicitaire et sans dépôt de cookies.

Données traitées : Horodatage ; pages consultées, événements et clics ; référent ; infos techniques du navigateur/terminal (version, résolution, langue) ; zone géographique approximative (déduite de l'IP) ; adresses IP anonymisées (tronquées) ; identifiant technique éphémère généré côté serveur (sans stockage sur votre terminal).

Base légale : Intérêt légitime (administration et amélioration du site), avec impact limité et possibilité d'opposition via l'opt-out ci-dessous.

Destinataires : Équipe web/IT et prestataire d'infogérance si nécessaire. Aucun partage à des fins publicitaires.

Hébergement : Traitement réalisé sur nos serveurs situés dans l'Union européenne.

Plateforme Medical Cloud (Drive collaboratif HDS)

Finalités : hébergement, partage et consultation sécurisée de données de santé entre professionnels de santé / intervenants de santé autorisés, et patients.

Données traitées : données de santé contenues dans les fichiers déposés ; identité et coordonnées des professionnels utilisateurs ; journaux de connexion (horodatage, IP, actions principales) ; métadonnées techniques nécessaires au fonctionnement du Drive.

Base légale : Exécution du contrat (mise à disposition de la plateforme) et obligation légale (hébergement certifié HDS) ; intérêt légitime (sécurité, traçabilité, lutte contre la fraude).

Hébergement : Les données sont hébergées exclusivement en France par AZNetwork (certifié HDS & ISO 27001). Aucune donnée de santé n'est transférée hors de France.

Destinataires : Utilisateurs autorisés (professionnels de santé et intervenants de santé) et administrateurs habilités de Medical Cloud. Aucun partage à des tiers non autorisés.

Sécurité : chiffrement des données en transit et au repos ; journalisation des accès ; cloisonnement par compte ; sauvegardes régulières. Accès limité aux seules personnes habilitées et tracé conformément aux exigences HDS.

Durées de conservation : pendant la durée contractuelle fixée avec le client (abonnement) puis archivage/suppression à la clôture du compte, sauf obligation légale contraire.

Destinataires / Partage

Nous partageons des données avec des sous-traitants agissant sur instructions et pour les seules finalités décrites : hébergement/infogérance, support & communication (ex : Zendesk), facturation & comptabilité, e-mails transactionnels, outils de sécurité. Aucune cession de données à des fins commerciales.

Transferts hors UE

Les traitements sont réalisés principalement au sein de l'Union européenne. En cas d'accès/traitement hors UE/EEE par un prestataire (ex. support), ces flux sont encadrés par les Clauses Contractuelles Types (SCC) de la Commission européenne, complétées par des mesures techniques et organisationnelles appropriées (chiffrement en transit/au repos, contrôle d'accès, journalisation, minimisation/pseudonymisation, politique vis-à-vis des demandes d'accès des autorités). Lorsque disponible, nous privilégions l'hébergement en UE et, pour les transferts vers les États-Unis, la certification Data Privacy Framework du prestataire.

Données de santé : concernant les données de santé déposées sur la plateforme Medical Cloud (hébergement HDS) aucune donnée de santé n'est transférée hors de France. Elles sont exclusivement hébergées et traitées sur des serveurs sécurisés et certifiés HDS & ISO 27001, situés en France.

Durées de conservation

• Compte / relation contractuelle : durée de la relation, puis archivage probatoire jusqu'à 5 ans (identité et coordonnées des professionnels utilisateurs).
• Facturation & pièces comptables : 10 ans (obligations légales).
• Prospection / newsletter : 3 ans après le dernier contact ou jusqu'au retrait du consentement.
• Données de santé déposées sur la plateforme Medical Cloud : suppression immédiate à la clôture du compte ou à l'initiative de l'utilisateur ; effacement définitif des copies dans les sauvegardes automatiques sous 15 jours maximum (délai de rétention technique).
• Logs techniques de sécurité / journalisation de la plateforme : jusqu'à 12 mois, exceptionnellement 24 mois pour la détection d'incidents, la prévention de la fraude ou la défense en justice.
• Mesure d'audience (Matomo, sans cookie) : données brutes pseudonymisées ≤ 13 mois ; statistiques agrégées (non ré-identifiantes) ≤ 25 mois.

Justification : la durée majorée (jusqu'à 24 mois) concerne exclusivement les fichiers de journalisation de la plateforme Medical Cloud, dans un périmètre minimisé et sécurisé (accès restreint, traçabilité, pseudonymisation/chiffrement).

Vos droits

Vos droits : accès, rectification, effacement, limitation, opposition, portabilité et retrait du consentement (le cas échéant), ainsi que la possibilité de définir des directives sur le sort de vos données après votre décès, à exercer auprès de notre DPO : dpo@medicalcloud.fr. Vous pouvez également saisir la CNIL.

Sécurité & notification des violations de données

Notification des incidents (RGPD — art. 33–34) : si, malgré toutes les protections mises en œuvre par la société Medical Cloud et ses sous-traitants, survient une violation de données personnelles (faille de sécurité), Medical Cloud évalue le risque pour les personnes concernées et :

• Notifie la CNIL dans les meilleurs délais et, si possible, au plus tard dans les 72 heures après en avoir pris connaissance, sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertés ;
• Informe les personnes concernées sans délai injustifié lorsque la violation est susceptible d'engendrer un risque élevé, avec la description de la nature de l'incident, des conséquences probables et des mesures prises ou proposées.

Cette information ne constitue pas une reconnaissance de responsabilité ou de négligence de la part de la société Medical Cloud ou de ses sous-traitants.

---

Voir également : Mentions légales • Hébergement des Données de Santé