Dernière mise à jour : [JJ/MM/AAAA]

La présente Politique explique comment [MAIYNA / MAYIVA] (« nous », « notre », « la Plateforme ») collecte, utilise, partage et protège vos données personnelles lorsque vous utilisez nos sites, applications et services associés (le « Service »).

Nous nous conformons au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés. Nous ne vendons pas vos données.

1) Responsable du traitement & DPO

• Responsable du traitement : [Nom de la société], [forme], [capital], SIREN/SIRET : [xxxx], siège : [adresse complète], email : [contact@…].

• Délégué à la Protection des Données (DPO) : [Nom], email : [dpo@…], courrier : [adresse].

Lorsque nous fournissons aux professionnels (santé, bien-être, domicile, etc.) des outils (agenda, téléconsultation, notes, stockage de documents), nous agissons en qualité de sous-traitant pour leur compte. Le professionnel reste responsable du traitement vis-à-vis de ses clients/patients. Un accord de sous-traitance (Art. 28 RGPD) s’applique entre le professionnel et [MAIYNA].

2) Données que nous traitons

Selon votre usage (visiteur, client, professionnel), nous pouvons traiter :

• Compte & identité : prénom, nom, civilité, date de naissance, email, téléphone, mot de passe (haché), photo.

• Coordonnées & contexte : ville/pays, fuseau horaire, langue, préférences, catégories d’intérêt.

• Données de réservation : services choisis, créneaux, historiques de rendez-vous, annulations, formulaires pré/post-visite.

• Téléconsultations & échanges : vidéo/audio en temps réel (non enregistrés sauf si vous l’acceptez), chat, fichiers partagés.

• Notes & documents (côté pro) : comptes-rendus, observations, pièces jointes (ordonnances, bilans, attestations), transcriptions lorsque la fonctionnalité est activée.

• Données de santé (le cas échéant) : éléments que vous renseignez volontairement (ex. bilan/besoins) ou qu’un professionnel renseigne ; catégorie spéciale (Art. 9 RGPD).

• Paiements : montants, statuts, identifiants de transaction (les cartes sont traitées par notre prestataire : nous n’y avons pas accès).

• Support & sécurité : courriels au support, logs techniques, adresses IP, identifiants de device, évènements d’erreur/fraude.

• Cookies & traceurs : cf. § 10.

3) Origine des données

• Directement auprès de vous (formulaires, réservations, upload de documents).

• Du professionnel avec lequel vous prenez rendez-vous.

• De tiers autorisés (prestataires de paiement, analytics, anti-fraude) dans le strict cadre décrit ici.

4) Finalités & bases légales (Art. 6 & 9 RGPD)

5) Destinataires & sous-traitants

Nous partageons uniquement ce qui est nécessaire avec :

• Professionnels chez qui vous réservez (ils reçoivent vos infos utiles au rendez-vous).

• Prestataire de paiement : [Stripe/…] pour traiter les transactions.

• Hébergeur & infogérance : [Nom], [pays/UE], pour l’hébergement sécurisé.

• Outils de communication : [Emailing/SMS], uniquement si vous avez consenti.

• Analytics/anti-fraude : [nom] (données pseudonymisées/agrégées si possible).

• Autorités si la loi l’exige.

La liste à jour des sous-traitants peut être obtenue auprès du DPO.

6) Transferts hors UE

Nos serveurs sont [dans l’UE]. Si certains prestataires sont situés hors UE, les transferts s’appuient sur :
(i) une décision d’adéquation, (ii) les Clauses Contractuelles Types (SCC), et/ou (iii) des mesures additionnelles (chiffrement, minimisation). Détails disponibles auprès du DPO.

7) Durées de conservation

• Compte : tant que vous l’utilisez, puis suppression dans [24] mois d’inactivité.

• Réservations & facturation : 10 ans (obligation comptable).

• Documents/notes gérés par le professionnel : selon ses obligations légales/disciplinaires (nous = sous-traitant).

• Données de santé hors cadre pro : uniquement le temps nécessaire à la finalité et au plus [X] ans avec votre consentement.

• Prospection email : jusqu’au retrait du consentement ou 3 ans après le dernier contact.

• Logs de sécurité : 6 à 12 mois.
  Au-delà, anonymisation ou suppression sécurisée.

8) Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles adaptées : TLS en transit, chiffrement au repos pour les contenus sensibles, cloisonnement des accès, MFA interne, sauvegardes, audits, journalisation et tests de sécurité. En cas de violation de données, nous notifierons la CNIL et les personnes concernées conformément aux articles 33-34 RGPD.

9) Vos droits

Conformément au RGPD, vous disposez des droits d’accès, rectification, effacement, limitation, opposition, portabilité, ainsi que le droit de définir le sort de vos données après décès.
Pour les traitements fondés sur le consentement, vous pouvez le retirer à tout moment.
Exercez vos droits via [dpo@…] ou par courrier (avec justificatif d’identité). Vous pouvez aussi saisir la CNIL (www.cnil.fr) si vous estimez que vos droits ne sont pas respectés.

Lorsque nous agissons comme sous-traitant pour un professionnel, nous redirigerons votre demande vers ce responsable du traitement.

10) Cookies & traceurs

Nous utilisons des cookies pour le fonctionnement, la mesure d’audience et, avec votre accord, pour la personnalisation.

Catégories

• Strictement nécessaires (session, sécurité, panier) – indispensables au Service.

• Mesure d’audience (ex. [Matomo/Google Analytics] avec IP tronquée).

• Fonctionnels (préférences, langue).

• Publicitaires (désactivés par défaut).

Gestion : un bandeau de consentement vous permet d’accepter/refuser par finalité. Vous pouvez modifier vos choix à tout moment via « Gérer mes cookies ».

Exemples (à adapter dans votre CMP) :

11) Décisions automatisées & profilage

Certaines fonctionnalités (ex. bilan/questionnaire ou recommandations de professionnels) peuvent utiliser des règles algorithmiques. Aucune décision ayant des effets juridiques n’est prise automatiquement. Vous pouvez demander une intervention humaine et contester une recommandation via [support@…].

12) Mineurs

Le Service n’est pas destiné aux moins de [16] ans sans accord parental. Si une donnée d’un mineur a été collectée sans autorisation, contactez-nous pour suppression.

13) Modifications

Nous pouvons mettre à jour cette Politique. La version en vigueur est publiée sur cette page avec la date de mise à jour. En cas de changement substantiel, nous vous informerons par email ou via l’application.

14) Contact

• Questions vie privée & DPO : [dpo@…]

• Support : [support@…]

• Adresse postale : [adresse complète]

---

Annexe A — Rôles et responsabilités

• [MAIYNA] Responsable du traitement pour : comptes, sécurité, facturation, support, prospection (avec consentement), amélioration du Service.

• Professionnels responsables du traitement pour : dossiers, notes, documents, données de santé traitées dans le cadre de leur activité.

• [MAIYNA] Sous-traitant pour : agenda, téléconsultation, stockage sécurisé et transmission sur instruction du professionnel.

• Accord de sous-traitance : Art. 28 RGPD (confidentialité, sécurité, aide à l’exercice des droits, notification d’incident, sort des données en fin de contrat).

Annexe B — Sous-traitants (exemples à compléter)

• Hébergement : [OVH/AWS/Scaleway], [pays], finalité : serveurs et sauvegardes.

• Paiements : [Stripe/…], finalité : traitement des cartes & lutte anti-fraude, données : identifiants de transaction.

• Email/SMS : [Sendinblue/Mailgun/Twilio], finalité : envoi transactionnel et notifications.

• Analytics : [Matomo/GA4], finalité : mesure d’audience (IP tronquée, anonymisation si possible).

• CDN/anti-DDoS : [Cloudflare/…].

Annexe C — Barème de conservation (à adapter)