← Retour à l'accueil

RGPD — Accord de sous-traitance (DPA)

Data Processing Agreement — entre Crénosante SRL et les professionnels utilisateurs.
Dernière mise à jour : janvier 2025

        ⚕️ Important pour les professionnels de santé : En tant que praticien
        utilisant Crénosante, vous êtes responsable de traitement des données de
        santé de vos patients. Crénosante agit comme sous-traitant conformément
        à l'article 28 du RGPD. Cet accord formalise cette relation.
    

1. Définitions

Responsable de traitement (RT) : le professionnel de santé ou le cabinet médical utilisant Crénosante.
Sous-traitant (ST) : Crénosante SRL, éditeur de la plateforme.
Données personnelles : toute information relative à une personne physique identifiée ou identifiable (patients, praticiens).
Données de santé : données sensibles au sens de l'article 9 RGPD (notes médicales, antécédents, etc.).
RGPD : Règlement (UE) 2016/679 du 27 avril 2016.

2. Objet et durée

Le présent accord encadre le traitement des données personnelles effectué par Crénosante SRL pour le compte du professionnel dans le cadre de la fourniture du service de gestion de rendez-vous en ligne.

Il prend effet à la date d'inscription du professionnel et reste en vigueur pendant toute la durée d'utilisation du service, puis jusqu'à la suppression complète des données.

3. Nature des traitements

Catégories de personnes concernées

Patients du cabinet médical
Praticiens du cabinet

Catégories de données traitées

Données d'identité (nom, prénom, date de naissance)
Coordonnées (email, téléphone)
Données d'agenda et de rendez-vous
Notes cliniques et données de santé (catégorie spéciale, art. 9 RGPD)

Finalités du traitement

Gestion des agendas et rendez-vous
Gestion des listes d'attente
Envoi de confirmations et rappels
Stockage sécurisé des fiches patients

4. Obligations de Crénosante SRL (sous-traitant)

4.1 Traitement sur instruction

Crénosante ne traite les données que sur instruction documentée du responsable de traitement. L'utilisation de l'interface constitue une instruction permanente.

4.2 Confidentialité

Les personnels de Crénosante ayant accès aux données sont soumis à une obligation de confidentialité contractuelle. L'accès aux données de santé est strictement limité aux opérations nécessaires à la maintenance et au support.

4.3 Sécurité

Crénosante met en œuvre les mesures techniques et organisationnelles suivantes :

Chiffrement des communications (TLS 1.3)
Chiffrement des données au repos
Contrôle d'accès par authentification sécurisée (bcrypt)
Journalisation des accès
Sauvegardes quotidiennes chiffrées
Hébergement au sein de l'Union européenne

4.4 Sous-traitants ultérieurs

Le responsable de traitement autorise le recours aux sous-traitants suivants :

Prestataire d'hébergement (UE) — stockage des données
SMTP2GO — envoi d'emails transactionnels
Vonage — envoi de SMS (si activé)

Crénosante informera le responsable de traitement de tout changement prévu concernant ces sous-traitants, lui laissant la possibilité de s'y opposer.

4.5 Assistance au responsable de traitement

Crénosante aide le responsable de traitement à répondre aux demandes d'exercice de droits des personnes concernées, et l'assiste en cas de violation de données.

4.6 Notification des violations

En cas de violation de données personnelles, Crénosante notifiera le responsable de traitement dans les 72 heures après en avoir pris connaissance, conformément à l'article 33 du RGPD.

4.7 Restitution et suppression

À la fin du contrat, Crénosante restitue au responsable de traitement l'ensemble des données le concernant (format CSV/JSON sur demande) et procède à leur suppression sécurisée dans un délai de 90 jours.

5. Obligations du responsable de traitement

Le professionnel de santé s'engage à :

Informer ses patients de l'utilisation de Crénosante pour la gestion des rendez-vous
Disposer d'une base légale pour le traitement des données de santé (obligation professionnelle ou consentement explicite)
Ne saisir que les données strictement nécessaires à la prise en charge
Signaler immédiatement à Crénosante tout incident de sécurité dont il aurait connaissance
Respecter le RGPD dans son exercice professionnel

6. Transferts internationaux

Aucun transfert de données hors de l'Espace Économique Européen n'est effectué sans mise en place de garanties appropriées (clauses contractuelles types de la Commission européenne, décision d'adéquation).

7. Droit applicable et règlement des litiges

Le présent accord est régi par le droit belge et le RGPD. Tout litige sera soumis aux tribunaux compétents de Belgique, sans préjudice du droit de saisir l'Autorité de protection des données compétente.

Autorité de contrôle belge :
Autorité de protection des données (APD)
Rue de la Presse, 35 — 1000 Bruxelles
www.autoriteprotectiondonnees.be · contact@apd-gba.be

8. Contact

Pour toute question relative au présent accord ou à la protection des données :
DPO Crénosante — privacy@crenosante.eu