Cette politique explique comment les données personnelles sont collectées, utilisées, conservées et protégées sur le dashboard My International Therapy.
My International Therapy
Politique de confidentialité
Elle couvre les comptes thérapeutes et patients, la réservation, la messagerie, les paiements, les documents, les notifications, les intégrations calendaires et la sécurité du service.
Le thérapeute reste responsable des données qu’il traite dans le cadre de sa propre prestation professionnelle, tandis que la plateforme reste responsable des traitements nécessaires au fonctionnement du service.
Les données pouvant révéler une prestation de soin, un suivi thérapeutique, un état physique ou mental ou un contexte de prise en charge sont traitées comme des données sensibles et font l’objet de mesures de confidentialité, de contrôle d’accès, de minimisation, de journalisation et de sécurité adaptées.
Souleya SAS exploite le dashboard et les services techniques associés sous la marque My International Therapy.
La présente politique s’applique aux données traitées lors de la création d’un compte, de l’utilisation du dashboard, de la réservation d’un rendez-vous, de la messagerie, du paiement et du support.
Selon les cas, la plateforme peut traiter les données suivantes : identité, coordonnées, fuseau horaire, préférences linguistiques, historique de rendez-vous, messages, paiements, journaux techniques, documents envoyés, informations de facturation, traces de connexion et preuves d’acceptation des documents contractuels.
Lorsque ces informations sont rattachées à une consultation, un suivi, une spécialité, un motif, un message patient-thérapeute, un document ou une facture liée à une prestation, elles peuvent constituer des données de santé à caractère personnel ou des données permettant d’inférer un contexte de santé.
Lorsqu’un thérapeute connecte Google Calendar, la plateforme traite aussi les informations nécessaires à la détection des indisponibilités et, si les réglages actifs le prévoient, à la création ou mise à jour des événements liés aux rendez-vous.
Lorsque le traitement porte sur des données sensibles ou sur des données recueillies à l’occasion d’une activité de suivi ou de prestation thérapeutique, la plateforme applique des mesures de sécurité proportionnées : contrôle d’accès, séparation des rôles, sauvegardes, journalisation, confidentialité et limitation des accès aux seules personnes habilitées.
La conformité ne repose pas sur un seul prestataire technique : la plateforme conserve ses obligations de sécurité applicative, contrôle d’accès, cloisonnement, journalisation, minimisation, confidentialité, sauvegarde, conservation et gestion des violations de données.
Les documents, pièces jointes, factures, exports, sauvegardes et journaux sensibles sont traités dans des espaces non publics. Leur accès nécessite une authentification et une autorisation propres au rôle de l’utilisateur.
La plateforme peut recourir à des sous-traitants techniques nécessaires au service, notamment pour l’hébergement, le paiement, l’e-mail, les calendriers connectés, l’analyse technique ou le support. Les sous-traitants traitent les données selon leurs propres contrats, instructions et périmètres de service.
Les fonctionnalités d’assistance par intelligence artificielle, lorsqu’elles sont activées, doivent être limitées aux données strictement nécessaires, idéalement agrégées ou pseudonymisées, et ne doivent pas conduire à transmettre inutilement des notes, documents, messages ou identifiants de patients.
Les traitements nécessaires à la création du compte, à la réservation, à la messagerie, au paiement, à la facturation, au support et à la sécurité reposent principalement sur l’exécution du contrat ou des mesures précontractuelles demandées par l’utilisateur.
Certains traitements techniques, journaux de sécurité, contrôles antifraude, preuves d’acceptation et sauvegardes reposent sur l’intérêt légitime de l’exploitant à sécuriser la plateforme et à démontrer la conformité du service.
Les cookies ou traceurs qui ne sont pas strictement nécessaires sont traités selon les règles applicables au consentement ou à l’opposition lorsque cela est requis ; la plateforme limite toutefois sa mesure d’audience interne à un périmètre de première partie, strictement nécessaire au pilotage, à la sécurité et à l’amélioration du service.
Les données sont accessibles, selon le besoin, à l’équipe d’exploitation de la plateforme, au thérapeute concerné, aux prestataires techniques nécessaires au fonctionnement du service et, lorsque cela est nécessaire, aux autorités légalement habilitées.
Les paiements sont traités par Stripe et les calendriers connectés par Google ; ces prestataires traitent certaines données selon leurs propres politiques et contrats.
Les données de compte sont conservées tant que le compte reste actif puis archivées ou supprimées selon les obligations légales, fiscales, comptables, probatoires et de sécurité applicables.
Les preuves d’acceptation des CGV et de la politique de confidentialité peuvent être conservées plus longtemps lorsque cela est nécessaire à la défense des droits de la plateforme ou à la démonstration d’un consentement ou d’un accord contractuel.
La plateforme met en œuvre des mesures de sécurité techniques et organisationnelles proportionnées : contrôle d’accès, mots de passe chiffrés, journalisation, séparation des rôles, cloisonnement thérapeute/patient, sauvegardes, restrictions de session, limitation des accès support, surveillance des erreurs et protection des fichiers sensibles hors zone publique.
Malgré ces mesures, aucun système ne peut garantir une sécurité absolue. En cas d’incident ou de suspicion de violation, la plateforme analyse l’événement, prend les mesures correctives utiles, documente l’incident et procède aux notifications nécessaires lorsque la réglementation l’exige.
Pour démontrer l’acceptation des documents contractuels, la plateforme enregistre notamment la version du document, son empreinte technique, la date et l’heure, l’adresse IP, l’agent utilisateur, la langue, le contexte d’inscription et, lorsque cela est pertinent, l’URL du document accepté.
Sous réserve des limites légales applicables, toute personne concernée dispose d’un droit d’accès, de rectification, d’effacement, de limitation, d’opposition et, lorsque les conditions sont réunies, d’un droit à la portabilité de ses données.
Les demandes peuvent être adressées à paul@my-international-therapy.com. Un justificatif d’identité peut être demandé lorsque cela est nécessaire à la sécurité de la demande.
Les cookies strictement nécessaires au fonctionnement, à la sécurité, à l’authentification, à la stabilité du dashboard et à la mesure d’audience interne de première partie restent actifs en permanence, dans une configuration limitée au pilotage et à l’amélioration du service.
La plateforme peut mesurer la consultation des pages du dashboard, des clics d’interface limités à des libellés techniques non nominaux, ainsi que des indicateurs de performance, de stabilité et d’erreur afin d’améliorer le produit, sans recoupement inter-sites ni réutilisation publicitaire. Les données correspondantes sont minimisées, cloisonnées au périmètre de première partie et utilisées pour produire des statistiques internes agrégées.
Les préférences et le marketing restent des catégories optionnelles gérées via la bannière ou le centre de préférences affiché par le dashboard.
Pour toute question relative à la confidentialité, aux droits RGPD ou au fonctionnement du dashboard, vous pouvez écrire à paul@my-international-therapy.com.
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez également introduire une réclamation auprès de l’autorité de contrôle compétente, notamment la CNIL pour la France.
Le système enregistre la version du document, son empreinte technique, la date, l’adresse IP, l’agent utilisateur, la langue et le contexte d’inscription pour renforcer la preuve d’acceptation.