Article 1 - Identité du Responsable de traitement
La plateforme Consultéo est éditée par TheraLib LLC, société à responsabilité limitée de droit américain (LLC), enregistrée sous le numéro EIN 38-4332895, dont le siège social est situé au 1309 Coffeen Avenue, Suite 12, Sheridan, Wyoming 82801, États-Unis.
- Email : service-administratif@boosttoncab.com
- Site : https://consulteo.eu/
Compte tenu de la nature et du volume de ses traitements, Consultéo n'a pas l'obligation légale de désigner un Délégué à la Protection des Données (DPO). Pour toute question relative à vos données, vous pouvez écrire à service-administratif@boosttoncab.com.
Rôles respectifs. Pour les données de ses propres Praticiens (compte, facturation), Consultéo agit en qualité de Responsable du Traitement. Pour les données des Patients saisies par les Praticiens, notamment les données de santé, Consultéo agit en qualité de Sous-Traitant au sens de l'article 28 du RGPD, le Praticien étant le Responsable du Traitement.
Article 2 - Données collectées et finalités
2.1 Données des Praticiens
Les nom, prénom, email professionnel, spécialité et coordonnées du cabinet sont collectés aux fins de création et de gestion du Compte (base légale : exécution du contrat). Les données de facturation sont collectées pour la gestion de l'Abonnement et, le cas échéant, des Frais de Commission liés aux paiements encaissés via l'intégration Stripe. Les données bancaires sont traitées exclusivement par Stripe et ne sont jamais stockées par Consultéo. L'historique de connexion et les journaux techniques sont conservés à des fins de sécurité et de support (base légale : intérêt légitime).
2.2 Données des Patients (collectées via le Praticien)
Les nom, prénom, email et numéro de téléphone sont traités aux fins de prise de rendez-vous. Les données de santé (motifs de consultation, antécédents, notes cliniques, documents médicaux) sont traitées aux fins de suivi thérapeutique, sur la base du consentement explicite recueilli par le Praticien. Les données de rendez-vous (dates, horaires, type de consultation) sont traitées pour la gestion de l'agenda. Lorsque le Patient laisse une empreinte bancaire, verse un acompte ou effectue un paiement via le Service, seule une donnée tokenisée est traitée par Stripe, aucune donnée de carte n'étant conservée par Consultéo.
Les données de santé constituent une catégorie spéciale de données au sens de l'article 9 du RGPD. Consultéo agit en qualité de sous-traitant : c'est le Praticien, Responsable du Traitement, qui recueille le consentement explicite des Patients et informe ces derniers.
2.3 Données des visiteurs du site
Les données de navigation sont collectées de manière anonymisée à des fins de mesure d'audience via Plausible Analytics, sans dépôt de cookies et sans conservation d'adresse IP identifiante.
2.4 Données de l'annuaire public de praticiens
Consultéo met à disposition du public un annuaire de recherche de praticiens accessible gratuitement sur https://consulteo.eu/. Cet annuaire recense des praticiens à partir de données professionnelles publiquement accessibles (notamment via des sources telles que Google), qu'ils soient ou non clients de Consultéo. Les données traitées sont exclusivement professionnelles : nom, spécialité, adresse du cabinet et coordonnées professionnelles, à l'exclusion de toute donnée de santé ou relevant de la vie privée.
Pour ce seul traitement, Consultéo agit en qualité de Responsable du Traitement, sur la base de son intérêt légitime à fournir un annuaire professionnel de mise en relation entre praticiens et Patients. Tout praticien référencé, client ou non, peut demander à tout moment la rectification ou le retrait de sa fiche en écrivant à service-administratif@boosttoncab.com. Un praticien client peut par ailleurs souscrire une option payante de visibilité renforcée, sans que cela n'implique aucune appréciation de l'Éditeur sur la qualité de ses prestations.
Dans le cadre de cette option, le praticien peut enrichir sa fiche (numéro de téléphone, lien vers son site, module d'agenda et de disponibilités permettant la prise de rendez-vous). Lorsqu'un Patient réserve via ce module, le traitement des données de ce Patient ne relève plus de l'annuaire mais du fonctionnement habituel du Service : le praticien en est alors Responsable du Traitement et Consultéo agit en qualité de sous-traitant.
Article 3 - Données de santé et rôle de sous-traitant
Conformément à l'article 28 du RGPD, Consultéo agit en qualité de sous-traitant pour les données saisies par les Praticiens :
- Le Praticien est Responsable du Traitement ;
- Consultéo est Sous-Traitant et traite ces données uniquement sur instruction documentée du Praticien.
Un Accord de Traitement des Données (DPA) est disponible à l'adresse https://consulteo.eu/dpa. Consultéo s'engage notamment à garantir la confidentialité des données, à ne pas recourir à un sous-traitant ultérieur sans information préalable, à assister le Praticien dans le respect de ses obligations RGPD (réponses aux droits des Patients, analyses d'impact, sécurité) et à notifier au Praticien toute violation de données dans les meilleurs délais.
Article 4 - Hébergement et sécurité des données
4.1 Architecture à double hébergement
Afin de garantir la conformité avec l'article L.1111-8 du Code de la santé publique et le RGPD, le Service repose sur une architecture de double hébergement séparant strictement les données identifiantes et de santé des données fonctionnelles pseudonymisées.
Données identifiantes et de santé - Hébergeur HDS certifié. L'ensemble des données permettant l'identification des Patients et des Praticiens, ainsi que les données de santé au sens de l'article 9 du RGPD, sont hébergées exclusivement par Scalingo SAS, Hébergeur de Données de Santé (HDS) certifié, dont l'infrastructure physique est située en France. Le détail de la certification HDS figure dans les CGU.
Données fonctionnelles pseudonymisées. L'interface applicative et les données fonctionnelles pseudonymisées (identifiants tokenisés, créneaux, statuts de rendez-vous, configuration du Compte) sont hébergées sur l'infrastructure de Supabase Inc. Aucune donnée nominative, aucune donnée de santé, ni aucune correspondance permettant de ré-identifier un Patient n'y est hébergée.
4.2 Mesures de sécurité
Consultéo met en œuvre des mesures techniques et organisationnelles appropriées, notamment :
- chiffrement des données en transit (TLS/HTTPS) et au repos ;
- accès restreint selon le principe du moindre privilège ;
- pseudonymisation des données fonctionnelles séparées de l'infrastructure HDS ;
- journalisation des accès et surveillance des anomalies ;
- sauvegardes régulières et procédures de restauration testées ;
- notification à la CNIL dans les 72 heures en cas de violation de données susceptible d'engendrer un risque pour les personnes concernées.
Article 5 - Sous-traitants et destinataires des données
Dans le cadre de la fourniture du Service, Consultéo fait appel aux prestataires suivants :
- Scalingo SAS (HDS certifié) : hébergement des données nominatives et de santé (France).
- Supabase Inc. (sur infrastructure AWS) : hébergement de l'interface applicative et des données fonctionnelles pseudonymisées.
- Stripe, Inc. (Stripe Payments Europe, Ltd. pour l'UE) : prestataire de paiement, d'empreintes bancaires et d'acomptes, certifié PCI-DSS niveau 1. Aucune donnée bancaire n'est stockée par Consultéo.
- Google LLC (Google Ireland Limited pour l'EEE) : intégration facultative Google Agenda et Google Meet, activée par le Praticien via OAuth 2.0.
- Brevo (Sendinblue) : envoi des emails transactionnels de rappel de rendez-vous aux Patients (email, date, heure) et des emails marketing aux Praticiens.
- Cloudflare, Inc. : CDN, protection DDoS et sécurité applicative (données de transit uniquement).
- Plausible Analytics : mesure d'audience anonymisée, sans cookies ni adresse IP identifiante.
Aucune donnée personnelle n'est vendue, louée ou cédée à des tiers à des fins commerciales. La liste complète et à jour des sous-traitants figure dans le DPA accessible à l'adresse https://consulteo.eu/dpa.
5.1 Transferts hors Union Européenne
Certains prestataires sont établis hors de l'Union Européenne (notamment Stripe, Supabase, Google, Cloudflare et Brevo pour certains traitements). Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT / SCC) approuvées par la Commission Européenne et, lorsque le prestataire y est certifié, par le cadre EU-U.S. Data Privacy Framework. Les données de santé et les données identifiantes des Patients demeurent, pour leur part, hébergées en France sur l'infrastructure HDS.
Article 6 - Durées de conservation
- Compte Praticien : durée d'activité du Compte (Compte Gratuit ou Compte Payant), augmentée de 30 jours pour l'export ;
- Données des Patients : même durée, afin de garantir l'accès au Praticien jusqu'à la fin du délai d'export ;
- Données de facturation : 10 ans (obligations comptables et fiscales) ;
- Journaux de connexion et de sécurité : 12 mois ;
- Données marketing (Brevo) : 3 ans à compter du dernier contact ;
- Données de navigation (Plausible) : agrégées et anonymes, sans conservation de données identifiantes.
Article 7 - Cookies et traceurs
7.1 Cookies déposés par Consultéo
Consultéo dépose un unique cookie fonctionnel de session (authentification), indispensable au fonctionnement du Service et relevant des cookies strictement nécessaires, pour lesquels le consentement n'est pas requis. Plausible Analytics ne dépose aucun cookie. Consultéo n'utilise aucun cookie publicitaire ou de ciblage.
7.2 Cookies tiers
Certains services intégrés (notamment Stripe et, le cas échéant, Google lors de l'activation de l'intégration Agenda/Meet) peuvent déposer leurs propres cookies, régis par les politiques de confidentialité de leurs éditeurs.
Article 8 - Vos droits
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :
- Droit d'accès : obtenir confirmation et copie de vos données ;
- Droit de rectification : faire corriger toute donnée inexacte ;
- Droit à l'effacement : demander la suppression de vos données ;
- Droit à la limitation : demander la suspension du traitement ;
- Droit à la portabilité : recevoir vos données dans un format lisible par machine ;
- Droit d'opposition : vous opposer au traitement fondé sur l'intérêt légitime ;
- Retrait du consentement : retirer votre consentement à tout moment, sans effet rétroactif ;
- Directives post-mortem : définir le sort de vos données après votre décès.
8.1 Comment exercer vos droits
Adressez votre demande par email à service-administratif@boosttoncab.com. Une réponse vous sera apportée dans un délai maximal d'un (1) mois, pouvant être porté à trois (3) mois pour les demandes complexes, après information préalable.
8.2 Cas particulier des données des Patients
Si vous êtes un Patient dont les données ont été saisies par un Praticien, vous exercez vos droits directement auprès de ce Praticien, qui est le Responsable du Traitement. Consultéo, en tant que sous-traitant, assistera le Praticien dans le traitement de votre demande.
8.3 Réclamation auprès de la CNIL
En cas de réclamation non résolue, vous pouvez saisir la CNIL : www.cnil.fr - 3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07.
Article 9 - Communication et prospection commerciale
9.1 Emails de rappel de rendez-vous
Les emails de rappel de rendez-vous sont envoyés via Brevo, au nom et pour le compte du Praticien. Ils sont nécessaires à l'exécution du service de prise de rendez-vous entre le Praticien et son Patient.
9.2 Emails marketing aux Praticiens
Les emails marketing, relatifs aux évolutions du Service, sont envoyés aux Praticiens via Brevo. Le Praticien peut se désabonner à tout moment via le lien de désinscription en bas d'email ou en écrivant à service-administratif@boosttoncab.com.
Article 10 - Modifications
Consultéo se réserve le droit de modifier la présente politique afin de refléter les évolutions du Service ou de la réglementation. La date de mise à jour est indiquée en haut du document. En cas de modification substantielle, les Praticiens seront informés par email.
Article 11 - Contact
Pour toute question relative à la présente politique ou à vos données personnelles : service-administratif@boosttoncab.com. Nous nous engageons à répondre dans un délai d'un (1) mois, porté à trois (3) mois pour les demandes complexes après information préalable.
