Politique de confidentialité

FranceOrdo s'engage à respecter la vie privée de ses utilisateurs et à traiter leurs données personnelles conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi Informatique et Libertés modifiée.

Cette politique s'applique à l'ensemble du service FranceOrdo, qu'il soit utilisé par un professionnel de santé (Client) ou par un patient déposant un document.

1. Responsable du traitement

Éditeur : Rémi Chauveau, entrepreneur individuel exerçant sous le nom commercial « FranceOrdo »

Adresse : Route de Montorcier, 05260 Pont du Fossé, France

SIRET : 822 220 596 00016

N° TVA intracommunautaire : FR09 822 220 596

Email : contact@franceordo.fr

Pour les données de santé transmises via le Service (documents des patients), le professionnel de santé (Client) est responsable de traitement au sens du RGPD. FranceOrdo agit en qualité de sous-traitant et met en œuvre les mesures techniques et organisationnelles appropriées.

2. Données collectées

Professionnels de santé (Clients)

Nom de l'établissement, identifiant personnalisé (slug)
Adresse email, mot de passe (stocké sous forme hachée)
Prénom et nom du responsable
Informations de facturation (gérées par Stripe)

Base légale : exécution du contrat (art. 6.1.b RGPD)

Patients (déposants de documents)

Prénom et nom (saisis lors du dépôt)
Document déposé (ordonnance, carte de mutuelle, compte rendu médical, etc.)

Base légale : intérêt légitime du professionnel de santé dans le cadre de sa prise en charge (art. 6.1.f RGPD). Le professionnel est responsable de traitement.

Audit RGPD (quiz d'auto-évaluation)

Adresse email (obligatoire)
Numéro de téléphone (facultatif)
Réponses aux questions du quiz et score obtenu

Finalité : fournir les résultats de l'auto-évaluation et recontacter la personne pour lui proposer le service FranceOrdo. Base légale : consentement (art. 6.1.a RGPD), recueilli explicitement via une case à cocher avant l'envoi.

Données techniques

Adresse IP, user-agent du navigateur
Horodatage des connexions et des dépôts
Cookie de session (authentification)

Base légale : intérêt légitime (sécurité, logs de traçabilité — art. 6.1.f RGPD)

3. Durées de conservation

24 h

Documents des patients — suppression automatique 24 heures après le dépôt, sans intervention humaine

Durée contrat

Données de compte des Clients — durée d'utilisation du Service + 1 mois après résiliation

12 mois

Données de l'audit RGPD — 12 mois après la soumission, sauf opposition de votre part

6 mois

Logs techniques — 6 mois maximum (sécurité et traçabilité, recommandation CNIL)

4. Sécurité des données

FranceOrdo met en œuvre des mesures techniques et organisationnelles adaptées au niveau de risque, notamment :

Chiffrement au repos — AES-256-GCM (IV unique par fichier, authTag stocké en métadonnée S3)
Accès sécurisés — URLs signées temporaires (expiration 1 heure), aucun accès direct aux fichiers
Authentification — cookies HTTP-only, Secure, SameSite=Strict ; protection anti-brute-force (rate limiting)
Isolation des données — chaque professionnel accède uniquement à ses propres documents
Hébergement HDS — Scalingo SAS, certifié Hébergeur de Données de Santé, région France
Désinfection des fichiers — reconstruction automatique (CDR) avant stockage

5. Sous-traitants et transferts de données

FranceOrdo fait appel aux sous-traitants suivants :

Sous-traitant	Rôle	Données	Pays
Scalingo SAS	Hébergement HDS	Toutes les données	France
Scaleway SAS	Stockage S3 (fichiers chiffrés)	Fichiers chiffrés uniquement	France
Stripe Inc.	Paiement	Données de facturation	USA (SCCs)
Brevo SAS	Emails transactionnels	Email, prénom	France
Cloudflare Inc.	Protection anti-bot (Turnstile)	Signal navigateur (pas de cookie)	USA (SCCs)

Les transferts hors UE (Stripe, Cloudflare) s'appuient sur les clauses contractuelles types (SCCs) de la Commission européenne.

6. Cookies

Cookie de session (strictement nécessaire)

Utilisé pour l'authentification et le maintien de la session des professionnels connectés au back-office. Exempt du recueil de consentement (article 82, loi Informatique et Libertés).

Nom : connect.sid

Durée : session (supprimé à la déconnexion)

Type : HTTP-only, Secure, SameSite=Strict

Cloudflare Turnstile (sécurité)

Les formulaires utilisent Cloudflare Turnstile pour protéger la plateforme contre les soumissions automatisées. Ce service fonctionne sans déposer de cookies tiers et sans collecter de données à des fins publicitaires ou de traçage. Politique de confidentialité Cloudflare.

Aucun cookie analytique, publicitaire ou de traçage n'est utilisé par FranceOrdo.

7. Vos droits

Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants sur vos données personnelles :

Droit d'accès

Obtenir une copie de vos données personnelles

Droit de rectification

Corriger vos données inexactes ou incomplètes

Droit à l'effacement

Demander la suppression de vos données (« droit à l'oubli »)

Droit à la limitation

Suspendre temporairement le traitement de vos données

Droit à la portabilité

Recevoir vos données dans un format structuré

Droit d'opposition

Vous opposer à un traitement basé sur l'intérêt légitime

Pour exercer vos droits : contact@franceordo.fr

Nous répondons dans un délai maximum d'un mois. En cas de réponse insatisfaisante, vous pouvez introduire une réclamation auprès de la CNIL.

8. Absence de décision automatisée

FranceOrdo ne met en œuvre aucune prise de décision entièrement automatisée produisant des effets juridiques ou affectant significativement les utilisateurs au sens de l'article 22 du RGPD. Aucun profilage à des fins commerciales n'est effectué.

9. Modifications de cette politique

FranceOrdo se réserve le droit de modifier cette politique à tout moment. En cas de modification substantielle, les Clients seront informés par email au moins 15 jours avant l'entrée en vigueur des nouvelles dispositions.