Politique de confidentialité

Dernière mise à jour : 19/05/2026

1. Préambule

La présente politique décrit la manière dont RM Technologies (ci-après « MedForm » ou « nous ») collecte, utilise et protège les données à caractère personnel dans le cadre de son service de pré-consultation médicale en ligne, conformément au Règlement (UE) 2016/679 (RGPD), à la loi n° 78-17 du 6 janvier 1978 modifiée « Informatique et Libertés », et aux référentiels de la CNIL applicables au secteur de la santé.

2. Responsable de traitement et qualité de MedForm

Pour les données des praticiens utilisateurs (compte, facturation, usage du service) : MedForm agit en qualité de responsable de traitement.

Pour les données de santé des patients renseignées dans les formulaires de pré-consultation : le cabinet ou centre médical client agit en qualité de responsable de traitement, et MedForm agit en qualité de sous-traitant au sens de l’article 28 du RGPD. Les engagements correspondants sont formalisés dans l’Accord de sous-traitance (DPA).

3. Données collectées et finalités

3.1 Données des praticiens (compte MedForm)

• Identité : nom, prénom, email professionnel
• Cabinet : raison sociale, adresse
• Données de connexion : adresse IP, journaux d’accès
• Données de facturation : moyen de paiement (traité par Stripe), historique d’abonnement

Finalités : gestion du compte, facturation, support, amélioration du service, conformité légale.

3.2 Données patients (pré-consultation)

• Identité : nom, prénom, email, téléphone (saisis par le praticien lors de l’envoi du formulaire)
• Réponses au formulaire : selon le contenu défini par le praticien, susceptible d’inclure des données de santé au sens de l’article 9 du RGPD (catégorie particulière)
• Métadonnées : date d’envoi, date d’ouverture, date de soumission, jeton d’accès

Finalités : permettre au praticien de préparer la consultation. La base légale est l’exécution du contrat entre le patient et le cabinet, ainsi que l’intérêt vital et les finalités de médecine préventive prévues à l’article 9.2.h) du RGPD.

3.3 Cookies et traceurs

Voir la politique de cookies dédiée.

4. Hébergement et localisation des données

• Base de données patients : PostgreSQL hébergé chez Supabase en France (région AWS eu-west-3, Paris), chiffré au repos.
• PDF des soumissions : stockés sur Cloudflare R2 (réseau européen), chiffrés au repos.
• Calcul : Cloudflare Workers, exécution sur PoP géographiquement proche de l’utilisateur (UE).
• Emails : Resend (envoi via infrastructure Amazon SES Europe).
• Paiement : Stripe Payments Europe S.A. (Irlande).

4.1 Hébergement HDS (Hébergement de Données de Santé)

Le traitement de données de santé en France impose, à compter d’un certain seuil, un hébergement certifié HDS (Hébergement de Données de Santé — référentiel ASIP/ANS). L’infrastructure actuelle de MedForm n’est pas encore certifiée HDS : à ce stade, le service est proposé en mode pilote, et il appartient au praticien de ne pas y faire saisir des données de santé identifiantes hors usage autorisé. Une migration vers un hébergeur certifié HDS est planifiée avant toute mise en production commerciale à grande échelle.

5. Durée de conservation

• Compte praticien : pendant toute la durée du contrat, puis 3 ans à compter de la résiliation à des fins de prospection (sauf opposition).
• Données de facturation : 10 ans (obligation comptable, art. L.123-22 Code commerce).
• Réponses patients et PDF : conservés tant que le cabinet en a la nécessité, puis effacés selon les instructions du cabinet responsable de traitement (cf. DPA).
• Journaux techniques : 12 mois maximum.
• Cookies : 13 mois maximum.

6. Destinataires et sous-traitants

Les données peuvent être transmises à :

• Le praticien destinataire du formulaire (pour les données patients).
• Nos sous-traitants techniques : Supabase, Cloudflare, Resend, Stripe, Anthropic (génération IA des formulaires — uniquement les schémas, pas les réponses patients en clair sans pseudonymisation).
• Les autorités compétentes sur réquisition légale.

Aucune donnée n’est cédée ou louée à des tiers à des fins commerciales.

7. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

• droit d’accès, de rectification, d’effacement
• droit à la limitation et à l’opposition du traitement
• droit à la portabilité
• droit de définir des directives post-mortem
• droit d’introduire une réclamation auprès de la CNIL (www.cnil.fr)

Pour exercer ces droits, contactez-nous à : privacy@promedform.com. Nous répondrons dans un délai d’un mois à compter de la réception de votre demande.

Pour les données patients : le patient s’adresse en priorité au cabinet médical responsable de traitement ; MedForm assistera le cabinet dans la mise en œuvre de la demande conformément au DPA.

8. Sécurité

Nous mettons en œuvre les mesures techniques et organisationnelles suivantes :

• Chiffrement TLS 1.2+ des communications.
• Chiffrement au repos AES-256 des bases de données et du stockage objet.
• Authentification forte des praticiens (magic link, MFA possible).
• Chiffrement applicatif AES-256-GCM des informations d’authentification tierces (Doctolib).
• Politiques RLS (Row-Level Security) PostgreSQL pour cloisonner les données par cabinet.
• Journalisation des accès et actions sensibles.
• Tests de sécurité réguliers et processus de gestion des vulnérabilités.

9. Délégué à la protection des données (DPO)

Un DPO sera désigné dès lors que les seuils légaux (art. 37 RGPD) le rendront obligatoire, notamment dès le traitement à grande échelle de données de santé. Contact prévu : dpo@promedform.com.

10. Modifications

La présente politique peut être modifiée pour refléter l’évolution du service ou la réglementation. Toute modification substantielle sera notifiée aux utilisateurs par email et via la plateforme au moins 15 jours avant son entrée en vigueur.