Politique de confidentialité de DentoCare Pro

La présente politique de confidentialité (ci-après « la Politique ») s’applique aux traitements de données à caractère personnel réalisés dans le cadre de l’utilisation de DentoCare Pro par les cabinets dentaires, leurs collaborateurs et, lorsque le module est activé, les patients qui utilisent le formulaire public de prise de rendez-vous.

Elle complète les Conditions d’utilisation et l’Accord de sous-traitance de données. En cas de contradiction, le document le plus spécifique au traitement considéré prévaut.

Pour les données de compte, de souscription, d’authentification, de support et de sécurité de la plateforme, l’Éditeur agit comme responsable de traitement pour son propre périmètre.

Pour les données de patients saisies ou hébergées par le Cabinet dans la plateforme, le Cabinet demeure responsable du traitement et l’Éditeur intervient comme sous-traitant technique, conformément à l’Accord de sous-traitance de données, sauf cas particulier imposé par la loi ou par un service spécifique.

• Responsable de traitement (données plateforme) : l’Éditeur, dont les coordonnées figurent dans la section « Contact juridique ».
• Responsable de traitement (données patients) : le Cabinet dentaire souscripteur.
• Sous-traitant technique : l’Éditeur, pour le compte et selon les instructions du Cabinet.

La plateforme peut traiter les catégories de données suivantes :

• Données de compte : nom, prénom, email professionnel, téléphone, rôle, paramètres d’accès, logs de connexion et traces de sécurité.
• Données Cabinet : raison sociale, coordonnées professionnelles, paramètres d’organisation, horaires d’ouverture, documents internes, informations d’abonnement et historiques d’utilisation.
• Données Patient : identité, coordonnées, date de naissance, numéro de téléphone, historique médical et dentaire, allergies, traitements planifiés et réalisés, imagerie dentaire, consentements, prescriptions, facturation et paiements.
• Données RH : contrats de travail, plannings, congés, pointages, justificatifs d’absence et validations internes des équipes du Cabinet.
• Données de communication : journaux SMS, WhatsApp, notifications push, e-mails de rappel et éventuelles synchronisations tierces telles que Google Calendar.
• Données techniques : adresse IP, type de navigateur, système d’exploitation, horodatage de connexion, identifiants de session et logs d’activité.

Les données personnelles sont traitées pour les finalités suivantes :

• Fourniture du Service SaaS, administration du compte Cabinet et gestion des accès Utilisateurs.
• Organisation et suivi des rendez-vous, constitution et mise à jour des dossiers patients par le Cabinet.
• Production de documents cliniques, administratifs, comptables et de suivi (factures, ordonnances, certificats, consentements).
• Sécurité de la plateforme, journalisation des accès, prévention de la fraude, gestion des incidents et audit interne.
• Support client, maintenance technique, amélioration continue du Service et gestion contractuelle.
• Respect des obligations légales, réglementaires, fiscales, comptables ou probatoires applicables à l’Éditeur ou au Cabinet.
• Communication avec les patients (rappels de rendez-vous, confirmations, notifications) lorsque le Cabinet active ces modules.

Selon le type de traitement, la base légale pertinente peut être l’exécution du contrat, les mesures précontractuelles, l’obligation légale, l’intérêt légitime de l’Éditeur ou du Cabinet, ou le consentement de la personne concernée lorsqu’il est requis.

Les données ne sont accessibles, dans la stricte limite du besoin d’en connaître, qu’aux personnes habilitées :

• Personnel autorisé du Cabinet dentaire, selon les rôles et permissions configurés dans la plateforme.
• Équipe de support technique de l’Éditeur, dans le strict cadre de l’assistance et de la maintenance.
• Prestataires d’hébergement, de sauvegarde, de supervision et de sécurité informatique, agissant en qualité de sous-traitants ultérieurs.
• Prestataires de messagerie et de télécommunication pour l’envoi de SMS et notifications WhatsApp.
• Prestataires d’agenda ou de synchronisation lorsque le Cabinet active une intégration tierce telle que Google Calendar.
• Autorités publiques, sur réquisition légale ou obligations réglementaires.

Tout sous-traitant ultérieur est soumis à des obligations de confidentialité et de sécurité équivalentes à celles de l’Éditeur.

Certains sous-traitants techniques ou services tiers peuvent être situés en dehors du Maroc. Tout transfert de données à caractère personnel hors du Maroc doit être analysé et encadré conformément aux exigences de la loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.

• Lorsque de tels transferts existent, ils doivent être documentés dans la documentation contractuelle, les mentions d’information et, le cas échéant, les formalités auprès de la CNDP.
• L’Éditeur s’assure que les sous-traitants situés hors du Maroc offrent un niveau de protection adéquat conformément aux exigences légales.
• Le Cabinet est informé des transferts significatifs dans l’Accord de sous-traitance de données.

Les données personnelles ne sont conservées que pendant la durée nécessaire aux finalités pour lesquelles elles ont été collectées, sous réserve des obligations légales applicables :

• Données de compte et d’abonnement : pendant la durée de la relation contractuelle, puis pendant la durée nécessaire à la gestion des obligations contractuelles, probatoires et contentieuses (durée légale de prescription applicable au Maroc).
• Logs de sécurité et de connexion : selon la politique de rétention applicable et les besoins de sécurité, dans une limite proportionnée n’excédant pas vingt-quatre (24) mois.
• Données patients et documents de soins : selon les obligations de conservation applicables au Cabinet et les paramètres d’archivage qu’il définit, conformément à la réglementation marocaine relative aux dossiers médicaux.
• Données de réservation non converties en dossier patient : pendant une durée limitée nécessaire au traitement de la demande et à la gestion des preuves associées, et au maximum six (6) mois.
• Données de communication (SMS, e-mails) : pendant la durée nécessaire à la gestion de la communication et à des fins probatoires, dans une limite de douze (12) mois.

Au-delà de ces durées, les données sont supprimées, archivées ou anonymisées selon les obligations légales applicables.

L’Éditeur met en œuvre des mesures techniques et organisationnelles raisonnables afin de protéger la confidentialité, l’intégrité, la disponibilité et la traçabilité des données traitées dans la plateforme :

• Gestion des rôles et des permissions, authentification sécurisée (hachage des mots de passe, 2FA optionnel) et journalisation des accès.
• Mesures de cloisonnement logique par Cabinet (isolation multi-tenant) et contrôles d’accès applicatifs stricts.
• Chiffrement des données en transit (TLS/HTTPS) et au repos pour les données sensibles.
• Mécanismes de supervision, de sauvegarde automatique et de correction de vulnérabilités selon le niveau de service souscrit.
• Encadrement des secrets applicatifs (clés API, jetons) et des intégrations tierces activées dans la plateforme.
• Procédures de gestion des incidents de sécurité et de notification conformément aux obligations légales.

Malgré ces mesures, aucune transmission de données sur Internet ne saurait être garantie comme totalement sécurisée. Le Cabinet est invité à mettre en œuvre ses propres mesures de sécurité côté client.

Conformément à la loi marocaine n° 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, les personnes concernées disposent des droits suivants, sous réserve des limites légales :

• Droit d’accès : obtenir la confirmation du traitement de leurs données et une copie de celles-ci.
• Droit de rectification : demander la correction de données inexactes ou incomplètes.
• Droit d’opposition : s’opposer, pour des motifs légitimes, au traitement de leurs données.
• Droit de suppression : demander la suppression de leurs données dans les limites des obligations légales de conservation.
• Droit de retrait du consentement : lorsque le traitement repose sur le consentement, le retirer à tout moment sans que cela ne compromette la licéité du traitement antérieur.
• Droit de limitation : demander la limitation du traitement dans les cas prévus par la loi.

Pour les données de patients gérées par un Cabinet, la demande doit en principe être adressée d’abord au Cabinet concerné, en sa qualité de responsable du traitement pour ce périmètre. L’Éditeur assiste le Cabinet dans la mesure nécessaire à l’exécution du Service.

Toute demande peut être adressée par écrit à l’adresse e-mail suivante : contact@gestcabinet.com

Lorsque le formulaire public de réservation est activé par le Cabinet, le Patient transmet au minimum son identité, ses coordonnées, le praticien souhaité, un motif et un créneau horaire. Ces données sont utilisées pour traiter la demande de rendez-vous, créer ou mettre à jour le dossier patient, envoyer une confirmation et organiser la prise en charge par le Cabinet.

• Le Cabinet destinataire du rendez-vous est le responsable de la gestion de la demande de soins et du traitement des données associées.
• La plateforme conserve une preuve de l’acceptation de la présente notice dans le dossier patient lorsque le flux public est utilisé.
• Les canaux SMS ou WhatsApp ne sont utilisés que s’ils sont activés par le Cabinet et dans les limites légales applicables, notamment le consentement préalable du Patient.
• Le Patient peut exercer ses droits auprès du Cabinet concerné selon les modalités prévues à l’article 9.

La plateforme peut utiliser des cookies et traceurs aux fins suivantes :

• Cookies strictement nécessaires au fonctionnement de la plateforme (authentification, session, préférences de langue).
• Cookies de mesure d’audience anonymisée, soumis au consentement préalable de l’Utilisateur.
• Cookies tiers liés aux intégrations activées par le Cabinet (Google Calendar, services de paiement), soumis au consentement préalable.

L’Utilisateur peut à tout moment modifier ses préférences en matière de cookies via les paramètres de son navigateur. La désactivation de certains cookies peut affecter le fonctionnement du Service.

L’Éditeur se réserve le droit de modifier la présente Politique à tout moment. Les modifications substantielles seront notifiées aux Cabinets concernés par tout moyen raisonnable avec un préavis minimum de trente (30) jours.

• La version en vigueur est toujours accessible sur la page /politique-confidentialite.
• Les versions successives sont archivées et disponibles sur demande.
• La poursuite de l’utilisation du Service après l’entrée en vigueur des modifications vaut acceptation de celles-ci.

Pour toute question relative à la confidentialité et à la protection des données, vous pouvez contacter :

• [Raison sociale à compléter]
• [Adresse complète à compléter]
• E-mail : contact@gestcabinet.com
• Téléphone : [Téléphone à compléter]

Les références CNDP éventuellement propres au Cabinet utilisateur doivent être complétées et gérées par le Cabinet concerné.