PsyPal|Informations légales

Politique de confidentialité

1. Responsable du traitement

Le responsable du traitement des données personnelles est :
[Raison sociale à compléter]
[Adresse]
Email : [email DPO ou contact]

2. Données collectées

PsyPal collecte les données suivantes :

Praticiens

  • Nom, prénom, email, numéro ADELI/RPPS
  • Adresse et téléphone du cabinet
  • Données de facturation (via Stripe)

Patients

  • Nom, prénom, email, date de naissance
  • Messages échangés avec le praticien (chiffrés)
  • Entrées de journal émotionnel et scores d'humeur
  • Notes inter-séances
  • Réponses aux exercices thérapeutiques
  • Messages audio (chiffrés, stockés sur S3)
  • Données de paiement (traitées par Stripe, non stockées sur nos serveurs)

3. Base légale du traitement

  • Consentement explicite (article 9.2.a RGPD) : pour le traitement des données de santé, recueilli lors de l'inscription et réitéré pour chaque fonctionnalité sensible.
  • Exécution du contrat (article 6.1.b RGPD) : pour la fourniture du service de suivi thérapeutique.
  • Obligation légale (article 6.1.c RGPD) : pour la conservation des factures et données comptables.

4. Finalités du traitement

  • Fourniture du service de suivi thérapeutique inter-séances
  • Communication sécurisée entre praticien et patient
  • Suivi de l'évolution émotionnelle du patient
  • Gestion des abonnements et facturation
  • Envoi de notifications (rappels, messages non lus)
  • Gestion des alertes de crise

5. Mesures de sécurité

  • Chiffrement au repos : tous les messages et données sensibles sont chiffrés en AES-256-GCM avant stockage en base de données
  • Chiffrement en transit : toutes les communications utilisent HTTPS (TLS 1.3)
  • Authentification : JWT avec rotation de tokens, hachage bcrypt des mots de passe
  • Hébergement : serveur dédié OVHcloud en France
  • Accès restreint : seuls le praticien et le patient concernés ont accès aux données de la relation thérapeutique
  • Audit : journalisation des accès et modifications sensibles
  • Fichiers audio : stockés sur OVH Object Storage (S3) avec chiffrement SSE-S3

6. Durée de conservation

  • Données de compte : conservées pendant la durée de l'utilisation du service, puis supprimées à la demande de l'utilisateur
  • Messages et journal : conservés pendant la durée de la relation thérapeutique, supprimés à la clôture du compte
  • Factures : conservées 10 ans (obligation légale comptable)
  • Logs d'audit : conservés 1 an

7. Sous-traitants

OVHcloud

Hébergement serveur et stockage objet — France

Stripe

Paiements et facturation — UE/US (certifié Privacy Shield / SCCs)

Firebase (Google)

Notifications push — UE (données traitées en Europe)

Resend

Emails transactionnels — US (SCCs en place)

8. Vos droits (RGPD)

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès : obtenir une copie de vos données personnelles
  • Droit de rectification : corriger vos données inexactes ou incomplètes
  • Droit à l'effacement : demander la suppression de vos données et de votre compte
  • Droit à la portabilité : recevoir vos données dans un format structuré (JSON)
  • Droit d'opposition : vous opposer au traitement de vos données
  • Droit de retrait du consentement : retirer votre consentement à tout moment

Pour exercer vos droits, rendez-vous dans les Paramètres de votre compte ou contactez-nous à [email DPO]. Nous répondrons dans un délai de 30 jours.

Vous pouvez également introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés).

9. Transferts de données hors UE

Certains sous-traitants (Stripe, Resend) peuvent traiter des données aux États-Unis. Ces transferts sont encadrés par des Clauses Contractuelles Types (SCCs) conformément aux recommandations de la CNIL et du CEPD.

10. Modification de la politique

Cette politique peut être mise à jour. Les modifications substantielles seront notifiées par email. La date de dernière mise à jour est indiquée ci-dessous.

Dernière mise à jour : avril 2026