Politique de confidentialité

1. Responsable du traitement

Éditeur / Responsable : T.Mehdi
Adresse : Maroc
Contact (RGPD/LPD) : SProI@proton.me

Ce service n'est pas un programme de certification et ne fournit pas de formation professionnelle complète. Consultez un professionnel qualifié pour une formation adéquate.

2. Finalités & bases légales (RGPD)

• Création et gestion de compte — Base légale : exécution du contrat (art. 6(1)(b) RGPD).
• Authentification, sécurité, prévention de la fraude — Intérêt légitime (art. 6(1)(f)).
• Fourniture des fonctionnalités d’information et d’orientation — Exécution du contrat (art. 6(1)(b)).
• Support utilisateur — Exécution du contrat et/ou intérêt légitime (art. 6(1)(b) et/ou (f)).
• Amélioration du service et statistiques — Intérêt légitime (art. 6(1)(f)), avec agrégation/anonymisation lorsque possible.
• Cookies non essentiels (mesure d’audience) — Consentement explicite (art. 6(1)(a) + ePrivacy).

Nous ne sollicitons pas d'informations professionnelles sensibles. Si vous saisissez spontanément des informations professionnelles, leur traitement repose sur votre initiative; nous recommandons de ne pas entrer d'informations permettant de vous identifier.

3. Données traitées

• Compte : nom, email, mot de passe (haché), identifiants techniques (ID utilisateur).
• Authentification : jetons de session, horodatages de connexion, révocation.
• Données techniques : logs serveur, adresses IP, agent navigateur, événements d’erreur.
• Préférences : langue, consentement cookies, réglages d’interface.
• Contenus fournis par l'utilisateur : champs saisis librement (évitez toute information personnelle identifiante).

Nous ne revendons pas vos données. Les données peuvent être pseudonymisées et/ou agrégées pour des analyses non identifiantes.

4. Destinataires & sous-traitants

Vercel Inc. (sous-traitant) — Hébergement du front-end et CDN. Région : Global (USA, Europe, Asie).

Convex.dev (sous‑traitant) — Plateforme serverless pour l’infrastructure et l’exécution des API/back‑end. Région principale : États-Unis (USA). Catégories traitées : compte, authentification, logs techniques, préférences.

Convex.dev agit en tant que sous‑traitant sur instruction de Santé Pro IA et fournit l'infrastructure, la persistance et l'exécution des API/back‑end. Les catégories de données traitées via Convex incluent, selon les cas : données de compte (nom, email, identifiants), authentification, logs techniques, préférences, et données nécessaires au bon fonctionnement du service. Nous contractons des garanties contractuelles appropriées (ex. Data Processing Agreement — DPA, Clauses Contractuelles Types/Standard Contractual Clauses, ou mécanismes équivalents tels que le Data Privacy Framework si applicable) afin d'encadrer les transferts de données hors de la Suisse / UE. L'accès aux données au sein de Convex est restreint et journalisé.

Les clés d'administration (admin keys) ou identifiants à privilèges élevés sont utilisées par Santé Pro IA uniquement côté serveur et ne sont jamais exposées au navigateur ou aux clients. Les opérations administratives sont tracées et limitées aux personnels autorisés.

Pour demander la DPA, la liste complète des sous‑traitants ou des informations sur le lieu d'hébergement et les mesures de protection, contactez‑nous à SProI@proton.me. Nous répondrons aux demandes dans les meilleurs délais.

• Éventuel email transactionnel — Envoi d’emails (création de compte, réinitialisation). Activé uniquement si nécessaire.
• Mesure d’audience (facultative) — Déployée uniquement après consentement. Données agrégées/anonymisées autant que possible.

La liste à jour des sous‑traitants et la région d’hébergement sont disponibles sur demande et/ou dans nos mentions légales.

5. Transferts hors UE

L’hébergement principal est situé aux États-Unis (USA). Les transferts de données sont encadrés par des garanties appropriées, telles que les Clauses Contractuelles Types (CCT) de la Commission européenne ou le Cadre de protection des données (Data Privacy Framework) si applicable.

Contactez‑nous pour tout détail sur la région exacte et les éventuels sous‑traitants additionnels.

6. Durées de conservation

• Compte utilisateur : tant que le compte est actif. En cas d’inactivité prolongée, suppression/anonymisation dans un délai indicatif de 24 mois.
• Logs techniques : 12 mois maximum, puis suppression.
• Backups : rétention courte (ex. 30 jours) à des fins de restauration.
• Support : jusqu’à 24 mois après clôture du ticket.
• Mesure d’audience : 13 mois maximum (recommandations CNIL), avec conservation du consentement distincte.

7. Dispositions spécifiques pour le Canada

Pour les utilisateurs résidant au Canada, cette politique est conçue pour être conforme à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

• Responsabilité : Nous avons désigné un responsable de la protection de la vie privée (SProI@proton.me) pour veiller au respect de la LPRPDE.
• Consentement : En utilisant notre application, vous consentez à la collecte et à l'utilisation de vos informations personnelles comme décrit dans cette politique. Vous pouvez retirer votre consentement à tout moment, sous réserve de restrictions légales ou contractuelles et d'un préavis raisonnable.
• Sécurité : Nous utilisons des mesures de sécurité techniques et organisationnelles appropriées pour protéger vos données, hébergées sur des serveurs sécurisés (principalement aux États-Unis).
• Accès : Vous avez le droit de demander l'accès aux renseignements personnels que nous détenons à votre sujet et de contester leur exactitude.

Si vous avez des questions concernant la conformité à la législation canadienne, veuillez nous contacter à SProI@proton.me.

7. Vos droits

Conformément au RGPD (UE), vous disposez des droits d'accès, rectification, effacement, limitation, opposition, portabilité, et retrait du consentement à tout moment (pour les traitements fondés sur le consentement).

Pour exercer vos droits : écrivez‑nous à SProI@proton.me. Une preuve d'identité peut être demandée. Délai de réponse : 1 mois (prolongeable).

8. Sécurité

• Chiffrement en transit (TLS) et, selon disponibilité des fournisseurs, au repos.
• Contrôles d’accès, journalisation des événements critiques, principe du moindre privilège.
• Minimisation des données et séparation des environnements.
• Paramétrages Convex.dev (région, rétention, sauvegardes) adaptés au respect du RGPD.

Aucune mesure n’offre un risque zéro; nous améliorons en continu nos protections.

9. Cookies

• Strictement nécessaires : fonctionnement et sécurité du site (ex. session).
• Mesure d’audience (optionnelle) : désactivée par défaut; activée après consentement explicite.

Votre choix est stocké localement et peut être modifié à tout moment.

10. Décisions automatisées & profilage

Nous ne réalisons pas de décisions produisant des effets juridiques fondées exclusivement sur un traitement automatisé (art. 22 RGPD). Aucun profilage à risque n’est opéré.

11. Mineurs

Le service n’est pas destiné aux mineurs de moins de 15 ans (ou l’âge applicable localement). Si vous pensez qu’un mineur nous a transmis des données, contactez‑nous pour suppression.

12. Hébergement & infrastructure

Le service s’appuie sur Convex.dev pour l’infrastructure et les API. Région sélectionnée : États-Unis (USA). Les paramètres de rétention, sauvegarde et sécurité sont configurés pour respecter la confidentialité et les exigences RGPD/LPD.