Politique de Confidentialité

1. Introduction

Qanopee SAS (ci-après "Qanopee", "nous", "notre") s'engage à protéger votre vie privée et vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi française "Informatique et Libertés".

Cette politique explique comment nous collectons, utilisons, stockons et protégeons vos informations personnelles lorsque vous utilisez notre plateforme.

2. Responsable du traitement

Rôles

• Qanopee est responsable de traitement pour la gestion des comptes, de la plateforme et des relations utilisateurs.
• Les praticiens sont responsables de traitement de leurs dossiers clients/patients.
• Lorsque l'employeur finance un budget "CPS", l'employeur et Qanopee interviennent en tant que responsables de traitement distincts pour leurs finalités respectives.

3. Données collectées

Nous collectons les données nécessaires à la mise en relation et à la gestion des services :

• Données d'identification (nom, email, téléphone)
• Données professionnelles (spécialité, localisation, disponibilités)
• Données de navigation (cookies, analytics)
• Données de gestion (obligations légales, budget CPS)

Important : Nous ne collectons aucune information liée aux actes de soin.

Sources des données (si indirectes – art. 14)

Certaines données peuvent nous être transmises par des tiers :

• Employeur (activation d'un compte collaborateur, budget "CPS").
• Registres ou annuaires pro (ex. ADELI/RPPS) pour vérifier le statut d'un praticien.

Pour chacune, nous indiquons les catégories de données et la finalité correspondante.

Caractère obligatoire des données

Certaines données sont obligatoires pour créer un compte et accéder aux services (par ex. nom, e-mail). À défaut, nous ne pourrons pas créer le compte ni fournir la prestation demandée. Les champs facultatifs sont indiqués comme tels.

4. Finalités du traitement

Nous utilisons vos données pour :

• Fournir nos services de mise en relation
• Gérer votre compte utilisateur
• Améliorer nos services
• Respecter nos obligations légales
• Vous contacter (avec votre consentement)

Bases légales (RGPD art. 6)

• Fourniture de la plateforme / mise en relation / gestion du compte : exécution du contrat (art. 6-1-b).
• Sécurité, prévention des abus, journalisation technique : intérêt légitime (art. 6-1-f).
• Amélioration du service / mesure d'audience : intérêt légitime (si cookies exemptés) ou consentement (si traceurs soumis à consentement).
• Prospection (newsletter, notifications marketing) : consentement (B2C) ; intérêt légitime possible en B2B avec droit d'opposition.
• Obligations légales (facturation, comptabilité) : obligation légale (art. 6-1-c).

(Exigé par art. 13 RGPD)

5. Destinataires / sous-traitants

Destinataires / sous-traitants

Nous partageons des données avec des prestataires strictement nécessaires :

• Hébergement & infra : DigitalOcean (région : FRA1), Scaleway (fr-par), Supabase (région : West Europe - Londres).
• Messagerie transactionnelle : Brevo (UE).
• Google Identity / Sign in with Google — authentification (OAuth 2.0), récupération de l'adresse e-mail et de l'identifiant Google pour la création/connexion de compte. Base légale : exécution du contrat (art. 6-1-b).
• Google Calendar API (si l'utilisateur connecte son agenda) — création/synchronisation d'évènements liés aux rendez-vous Qanopee. Base légale : exécution du contrat (prestation demandée par l'utilisateur).
• Support client : Crisp IM SARL (UE) — chat en ligne et support utilisateur.
• Paiement : Stripe Payments Europe, Ltd. (IE) — traitement des paiements et facturation.
• Monitoring & erreurs : Sentry (UE) — surveillance des performances et gestion des erreurs techniques.
• Analytics : Google Ireland Ltd. (si activé) — mesure d'audience et statistiques d'utilisation.
• Analyse comportementale : Hotjar Ltd. (Malte) — enregistrements de sessions et cartes de chaleur pour améliorer l'expérience utilisateur.

Transferts hors EEE

Lorsque un destinataire est situé hors EEE (ex. Royaume-Uni ou États-Unis pour certains services Google), nous appliquons des garanties appropriées (décision d'adéquation, SCC/clauses contractuelles types, ou Data Privacy Framework lorsque applicable). Des informations sur ces garanties sont disponibles sur demande.

(Catégories/acteurs + mécanismes requis art. 13/14 ; UK : adéquation en vigueur et prolongée)

6. Conservation des données

Nous conservons vos données personnelles uniquement le temps nécessaire aux finalités pour lesquelles elles ont été collectées, conformément à nos obligations légales :

• Données de compte : 3 ans après fermeture du compte
• Données de facturation : 10 ans (obligation légale)
• Données de navigation : 13 mois maximum
• Données marketing : 3 ans après le dernier contact
• Logs de sécurité / accès : 6 à 12 mois
• Support & tickets : 3 ans après clôture
• Comptes inactifs : suppression ou anonymisation après 3 ans (sauf obligation légale)

7. Sécurité des données

Nous mettons en œuvre des mesures de sécurité appropriées pour protéger vos données contre l'accès non autorisé, la modification, la divulgation ou la destruction.

8. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

Droit d'opposition & retrait du consentement

• Droit d'opposition (art. 21) : vous pouvez vous opposer à tout moment aux traitements fondés sur notre intérêt légitime, y compris la prospection.
• Retrait du consentement : lorsque la base légale est le consentement, vous pouvez le retirer à tout moment, sans porter atteinte à la licéité du traitement antérieur.
• Désinscription marketing : lien "se désabonner" présent dans chaque e-mail.

Décisions automatisées / profilage (art. 22)

Nous ne prenons pas de décisions produisant des effets juridiques fondées exclusivement sur un traitement automatisé. Nous pouvons réaliser des personnalisations non déterminantes (ex. suggestions de contenu). Vous pouvez vous y opposer à tout moment (voir "Droit d'opposition").

9. Cookies

Nous utilisons des traceurs nécessaires au fonctionnement et, sous réserve de votre consentement, des traceurs de mesure d'audience/personnalisation. Le bandeau offre des actions "Accepter / Refuser / Personnaliser" de manière symétrique. Vous pouvez retirer votre consentement à tout moment via le lien "Gérer mes cookies". Voir la Politique cookies pour la liste des partenaires, finalités et durées.

10. Majeurs uniquement

Le service est réservé aux personnes majeures (18 ans et plus). Nous ne ciblons ni ne collectons sciemment des données de mineurs.

Si vous pensez qu'un mineur nous a transmis des données, contactez dpo@qanopee.com afin que nous supprimions ces informations.

11. Données Google - Conformité Google API Services

Cette section décrit spécifiquement notre utilisation des données Google conformément à la Google API Services User Data Policy.

11.1 Données Google collectées (Data Accessed)

Lorsque vous utilisez nos services Google, nous accédons uniquement aux données suivantes :

• Données d'authentification : Adresse email, nom, identifiant Google unique (pour la connexion et l'identification de votre compte)
• Données de calendrier : Création, modification et suppression d'événements de rendez-vous dans votre Google Calendar (uniquement si vous activez cette fonctionnalité)

Scopes utilisés : openid, email, profile, https://www.googleapis.com/auth/calendar.events

11.2 Utilisation des données Google (Data Usage)

Nous utilisons les données Google exclusivement pour :

• Authentification : Créer et gérer votre compte Qanopee, vous connecter de manière sécurisée
• Synchronisation calendrier : Créer automatiquement des événements de rendez-vous dans votre Google Calendar (si activé)
• Amélioration du service : Améliorer UNIQUEMENT les fonctionnalités visibles liées à l'authentification et à la planification (ex. fiabilité de la création d'évènements), conformément à la "Limited Use". Aucune utilisation à des fins publicitaires ou d'analytics non liées à ces fonctionnalités.

11.3 Partage des données Google (Data Sharing)

Nous ne partageons JAMAIS vos données Google avec des tiers.

• Aucun partage commercial : Vos données Google ne sont jamais vendues, louées ou partagées à des fins commerciales
• Aucun partage publicitaire : Nous n'utilisons pas vos données Google pour la publicité ou le ciblage
• Accès interne strict : Seuls nos développeurs autorisés peuvent accéder aux données Google, uniquement pour la maintenance technique
• Obligations légales : Nous ne partagerons vos données Google qu'en cas d'obligation légale stricte (ex: demande judiciaire)

11.4 Stockage et protection des données Google (Data Storage & Protection)

Nous appliquons les mesures de sécurité suivantes pour protéger vos données Google :

• Chiffrement : Toutes les données Google sont chiffrées en transit (HTTPS/TLS) et au repos
• Accès restreint : Seuls les employés autorisés ayant signé des accords de confidentialité peuvent accéder aux données
• Audit de sécurité : Surveillance continue des accès et des activités sur les données Google
• Infrastructure sécurisée : Hébergement sur des serveurs certifiés avec contrôles d'accès physiques et logiques
• Tokens sécurisés : Les tokens d'accès Google sont stockés de manière chiffrée et renouvelés automatiquement

11.5 Conservation et suppression des données Google (Data Retention & Deletion)

Conservation : Nous conservons vos données Google uniquement le temps nécessaire :

• Données d'authentification : Conservées tant que votre compte Qanopee est actif
• Tokens d'accès : Renouvelés automatiquement, anciens tokens supprimés immédiatement
• Données de calendrier : Nos tokens et données locales sont supprimés dès que vous déconnectez Google Calendar. Les événements créés par Qanopee dans votre Google Calendar sont également supprimés automatiquement lors de la déconnexion ou de la suppression de votre compte.

Suppression : Vous pouvez demander la suppression de vos données Google à tout moment :

• Via votre compte : Déconnectez Google Calendar dans vos paramètres Qanopee
• Via Google : Révoquez l'accès depuis votre Compte Google › Sécurité › Accès des tiers
• Suppression de compte : Toutes vos données Google sont automatiquement supprimées
• Demande directe : Contactez-nous à dpo@qanopee.com pour une suppression immédiate

12. Modifications de cette politique

Nous pouvons modifier cette politique de confidentialité pour refléter :

• Des changements dans nos pratiques
• De nouvelles fonctionnalités
• Des évolutions réglementaires
• Des améliorations techniques

Les modifications importantes seront communiquées par email ou via un bandeau sur notre site. La date de dernière mise à jour est indiquée en haut de cette page.

13. Contact et réclamations

13.1 Contact DPO

13.2 Autorité de contrôle

Vous avez le droit d'introduire une réclamation auprès de la CNIL si vous estimez que le traitement de vos données personnelles ne respecte pas la réglementation :