Politique de confidentialité
Cette politique décrit comment Labosync collecte, utilise et protège vos données personnelles, conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679).
1. Responsable du traitement
Le responsable du traitement est la société éditrice de Labosync, identifiée dans les mentions légales. Pour toute demande relative à vos données, contactez : contact@labosync.app.
2. Données collectées et finalités
| Donnée | Finalité | Base légale | Durée de conservation |
|---|---|---|---|
| Email, mot de passe, nom du laboratoire | Création et authentification du compte | Exécution du contrat | Durée du compte + 3 ans |
| Données métier du laboratoire (cabinets, travaux, factures, codes patients anonymes) | Fonctionnement du Service | Exécution du contrat | Durée du compte + 60 jours après résiliation |
| Adresse IP, logs de connexion | Sécurité, prévention de la fraude | Intérêt légitime | 12 mois |
| Informations de paiement | Facturation de l'abonnement | Exécution du contrat | Gérées par Stripe, non stockées par Labosync |
Aucune donnée nominative de patient (nom, prénom, date de naissance, adresse) n'est collectée, stockée ni transmise par Labosync. Les patients sont identifiés exclusivement par un code anonyme (pseudonyme) défini par le laboratoire ou le cabinet dentaire.
3. Destinataires des données
Vos données ne sont transmises qu'aux sous-traitants strictement nécessaires au fonctionnement du Service :
- Supabase (base de données) — hébergé en Union européenne (Francfort)
- Netlify (hébergement web) — données en transit uniquement
- Stripe (paiements) — informations de paiement uniquement
- Anthropic (assistant IA, optionnel) — uniquement si vous utilisez l'assistant intégré
Aucune donnée n'est vendue ou partagée avec des tiers à des fins commerciales.
4. Transferts hors UE
Certains sous-traitants (Netlify, Stripe, Anthropic) peuvent traiter des données aux États-Unis. Ces transferts sont encadrés par des clauses contractuelles types approuvées par la Commission européenne.
5. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Accès — consulter vos données
- Rectification — corriger vos données
- Effacement — supprimer votre compte et vos données
- Portabilité — exporter vos données dans un format structuré
- Limitation — restreindre le traitement
- Opposition — vous opposer au traitement
Pour exercer ces droits, écrivez à contact@labosync.app. Réponse sous 30 jours maximum.
6. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles pour protéger vos données : chiffrement HTTPS/TLS, authentification forte, sauvegardes automatiques, cloisonnement des données par utilisateur (Row Level Security sur Supabase).
7. Cookies
Labosync utilise uniquement des cookies strictement nécessaires à l'authentification (session Supabase) et au bon fonctionnement du Service. Aucun cookie publicitaire, analytique tiers ou de traçage n'est déposé sans votre consentement.
8. Pseudonymisation et exclusion des données de santé nominatives
Privacy by design. Labosync est conçu pour ne jamais traiter de données de santé à caractère personnel au sens des articles 4-15 et 9 du RGPD :
- Aucun champ d'identification nominative du patient (nom, prénom, date de naissance, adresse, n° de sécurité sociale) n'est présent dans l'interface ni transmis à nos serveurs.
- Les patients sont systématiquement référencés par un code anonyme (pseudonyme) que seul le cabinet dentaire ou le laboratoire peut associer à un patient identifiable, via ses propres systèmes internes (logiciel cabinet, dossier papier, etc.).
- Un générateur de code anonyme est intégré dans l'application pour aider le laboratoire à pseudonymiser une fiche papier sans qu'aucun nom ne soit enregistré ou transmis.
En conséquence, Labosync n'a pas l'obligation de souscrire à un hébergement HDS (Hébergement de Données de Santé) au titre de l'article L.1111-8 du Code de la Santé Publique, puisque les données traitées ne permettent pas d'identifier directement ou indirectement un patient sans recourir à des informations détenues exclusivement par le client (laboratoire/cabinet).
Le rôle des parties est précisé dans le Data Processing Agreement (DPA) :
- Le laboratoire et le cabinet dentaire sont responsables du traitement des données qu'ils saisissent et de la table de correspondance code/patient qui reste sous leur seul contrôle.
- Labosync agit en sous-traitant au sens de l'article 28 du RGPD, exclusivement sur les données pseudonymisées.
Engagement contractuel : si un utilisateur saisit involontairement un nom à la place d'un code, l'application l'avertit et propose de générer un code anonyme. Le laboratoire reste néanmoins responsable de la qualité des données qu'il saisit.
9. Réclamation
Si vous estimez que le traitement de vos données ne respecte pas le RGPD, vous pouvez adresser une réclamation à la CNIL : www.cnil.fr/fr/plaintes.
10. Modifications
Cette politique peut être modifiée. Les utilisateurs seront informés par email en cas de modification substantielle.