Politique de confidentialité
Dernière mise à jour : février 2026
1. Responsable du traitement
La société Ophtavenir(ci-après « nous ») est responsable du traitement des données personnelles collectées via la plateforme OphtaCaisse, accessible à l'adresse caisse.ophtavenir.com.
Pour toute question relative à la protection de vos données, vous pouvez nous contacter à l'adresse : dpo@ophtavenir.com.
2. Données collectées
Nous collectons les données suivantes :
- Données de compte : adresse email, mot de passe (haché), rôle (secrétaire, manager, admin).
- Données professionnelles: identité des médecins (nom, type, taux de rétrocession), sites d'exercice.
- Données financières : saisies de caisse journalières (espèces, chèques, cartes, virements), rétrocessions mensuelles, frais de gestion, régularisations annuelles.
- Données techniques: adresse IP, agent utilisateur, horodatages de connexion, journaux d'audit.
- Pièces jointes : justificatifs de caisse (reçus, tickets) stockés de manière chiffrée.
3. Finalités et bases légales
| Finalité | Base légale (RGPD) |
|---|---|
| Gestion de la caisse et comptabilité | Exécution du contrat (Art. 6.1.b) |
| Calcul des rétrocessions médicales | Exécution du contrat (Art. 6.1.b) |
| Sécurité du compte (2FA, journaux d'audit) | Intérêt légitime (Art. 6.1.f) |
| Obligations comptables et fiscales | Obligation légale (Art. 6.1.c) |
| Amélioration du service | Intérêt légitime (Art. 6.1.f) |
4. Durée de conservation
- Données de caisse et financières : 10 ans (conformément aux obligations comptables françaises, Art. L123-22 du Code de commerce).
- Journaux d'audit : 3 ans.
- Pièces jointes : 10 ans ou selon la politique de rétention du centre.
- Données de compte : conservées tant que le compte est actif, puis supprimées dans les 90 jours suivant la clôture.
5. Sous-traitants
| Sous-traitant | Service | Localisation |
|---|---|---|
| Supabase Inc. | Base de données, authentification, stockage | UE (Francfort, Allemagne) |
| Vercel Inc. | Hébergement de l'application | UE (via CDN européen) |
Tous les sous-traitants respectent le RGPD et disposent de clauses contractuelles types (CCT) ou d'une certification équivalente.
6. Transferts internationaux
Les données sont hébergées dans l'Union européenne. En cas de transfert hors UE (maintenance, support), des garanties appropriées sont mises en place conformément au chapitre V du RGPD.
7. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès (Art. 15)
- Droit de rectification (Art. 16)
- Droit à l'effacement (Art. 17) — sous réserve des obligations légales de conservation
- Droit à la limitation du traitement (Art. 18)
- Droit à la portabilité (Art. 20) — export CSV disponible dans les paramètres
- Droit d'opposition (Art. 21)
Pour exercer vos droits, contactez-nous à dpo@ophtavenir.com. Nous répondrons dans un délai de 30 jours.
8. Sécurité
Nous mettons en œuvre les mesures de sécurité suivantes :
- Chiffrement TLS en transit et au repos
- Isolation des données par centre (Row Level Security)
- Authentification à deux facteurs (2FA) obligatoire pour les administrateurs
- Journalisation complète des accès et modifications
- Politique de mots de passe renforcée (12 caractères minimum)
- Expiration automatique des sessions inactives
9. Réclamation
Si vous estimez que le traitement de vos données n'est pas conforme, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) sur www.cnil.fr.