Palpa
PalpaRetour à la connexion →

Politique de confidentialité

Mis à jour le 25 avril 2026

Modèle initial — à faire valider par un conseil juridique.Ce document est une version de travail rédigée par l'éditeur du service. Il sera relu et amendé par un avocat ou un conseil RGPD avant exploitation commerciale et avant traitement de données patients réels.

1. Préambule

La présente politique de confidentialité décrit la manière dont Palpa (palpa.fr) traite les données personnelles collectées dans le cadre de l'utilisation du Service. Elle est établie conformément au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée (Informatique et Libertés).

2. Qui est responsable de quoi ?

Palpa est un service B2B fourni à des cabinets d'ostéopathie et de chiropractie. Deux niveaux de responsabilité doivent être distingués :

  • Données du compte professionnel (praticien, cabinet, paramètres de facturation, identifiants de connexion) : l'éditeur de Palpa (Anthony Dhaene, voir mentions légales) est responsable de traitement.
  • Données patients (PHI : informations de santé, identités, antécédents, comptes-rendus) : votre cabinet est responsable de traitement. Palpa intervient en qualité de sous-traitant au sens de l'article 28 du RGPD. Un modèle de contrat de sous-traitance (DPA) est disponible une fois connecté, dans Paramètres → DPA.

3. Finalités et bases légales

FinalitéBase légale
Création et gestion du compte praticienExécution du contrat (art. 6.1.b RGPD)
Facturation et comptabilitéObligation légale (art. 6.1.c RGPD)
Hébergement et traitement des dossiers patientsSous-traitance pour le compte du cabinet (art. 28 RGPD)
Sécurisation du Service (logs, audit trail)Intérêt légitime (art. 6.1.f RGPD)
Amélioration et statistiques anonymesIntérêt légitime (art. 6.1.f RGPD)

4. Destinataires et sous-traitants ultérieurs

Les données ne sont communiquées qu'aux personnes habilitées à en connaître au sein de Palpa et à ses sous-traitants ultérieurs :

  • Hetzner Online GmbH (Allemagne) — hébergement des serveurs et de la base de données. Datacenter utilisé : Helsinki, Finlande (Union européenne).
  • Mistral AI (France, datacenters Union européenne) — modèles d'intelligence artificielle pour la transcription audio (Voxtral) et la structuration assistée des comptes-rendus. Audio supprimé sous 24h ; seul le compte-rendu textuel généré est conservé.

Les sous-traitants ultérieurs sont sélectionnés pour leur conformité au RGPD. La liste complète et à jour figure dans le DPA disponible dans l'espace praticien.

5. Transferts hors UE

Vos données ne font l'objet d'aucun transfert hors de l'Union européenne. L'hébergement (Hetzner Helsinki) et le traitement IA (Mistral AI) sont entièrement réalisés en UE.

6. Durées de conservation

  • Compte praticien actif : pendant toute la durée du contrat, puis jusqu'à 12 mois après résiliation pour permettre une éventuelle réactivation (sauf demande de suppression anticipée).
  • Données patients (responsabilité du cabinet) : conservées pendant la durée fixée par le cabinet client (responsable de traitement). À titre indicatif, les recommandations professionnelles préconisent une conservation de 20 ans à compter de la dernière consultation pour les dossiers médicaux.
  • Audit trail (sécurité) : 12 mois.
  • Audio brut de consultation : supprimé sous 24 heures. Seul le compte-rendu textuel anonymisé est conservé dans le dossier patient.
  • Factures et obligations comptables : 10 ans (art. L.123-22 du Code de commerce).

7. Sécurité

  • Chiffrement TLS 1.3 forcé sur toutes les communications client-serveur.
  • Isolation des données par cabinet via Postgres Row Level Security (RLS) et clés étrangères ``cabinet_id``.
  • Authentification forte (2FA TOTP disponible et recommandée pour tous les comptes administrateur).
  • Audit trail complet sur tous les accès aux données sensibles.
  • Sauvegardes chiffrées de la base de données (mise en place progressive — voir feuille de route).
  • Mots de passe hashés en bcrypt, jamais stockés en clair.

8. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Droit d'accès à vos données personnelles
  • Droit de rectification des données inexactes
  • Droit à l'effacement (« droit à l'oubli »)
  • Droit à la limitation du traitement
  • Droit à la portabilité de vos données
  • Droit d'opposition au traitement
  • Droit de définir des directives relatives au sort de vos données après votre décès

Pour les données patients, ces droits doivent être exercés directement auprès de votre praticien (responsable de traitement). Pour les données de votre compte professionnel Palpa, écrivez à support@palpa.fr (à venir) ou anthony.dhaene@gmail.com.

Vous pouvez à tout moment introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) :
3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
www.cnil.fr

9. Cookies

L'utilisation des cookies et technologies similaires sur le Service est décrite sur la page Cookies.

10. Évolution de la politique

La présente politique pourra être modifiée pour refléter les évolutions du Service ou de la réglementation. La version en vigueur est celle datée en haut de cette page. Les modifications significatives seront notifiées aux utilisateurs par email.