Essayer 14 jours gratuitement

Politique de confidentialité

Dernière mise à jour : 13 juin 2026

1. Introduction

La présente politique décrit comment Kurtiss (ci-après « l'Éditeur ») traite les données personnelles dans le cadre du service AUDIO-MODULES, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés.

2. Rôles RGPD

  • Données des utilisateurs du centre (comptes, facturation) : l'Éditeur est responsable de traitement.
  • Données patients saisies par le centre : le centre d'audioprothèse est responsable de traitement ; l'Éditeur agit en sous-traitant au sens de l'article 28 du RGPD.
  • Module Liaison : seules des métadonnées de messagerie sont conservées (initiales patient, type, dates, statut) ; le contenu clinique n'est jamais persisté en base.

3. Données collectées

Selon les modules activés, nous traitons notamment :

  • Identité et coordonnées des utilisateurs professionnels
  • Données d'organisation et d'établissement
  • Données patients : coordonnées téléphone/email chiffrées au repos (AES-256-GCM), noms minimisés selon le module, consentements et opt-out journalisés
  • Données de facturation et d'abonnement
  • Journaux techniques (horodatage, actions, contacts hashés — pas de PII en clair)

4. Finalités et bases légales

  • Exécution du contrat : fourniture du service, gestion des comptes et abonnements.
  • Obligation légale : conservation des données de facturation (10 ans).
  • Intérêt légitime : sécurité, prévention de la fraude, amélioration du service.
  • Consentement : envois marketing (SMS/email), avec possibilité de retrait (STOP, lien de désinscription).

5. Durées de conservation

Les données sont conservées pour la durée strictement nécessaire aux finalités :

  • Comptes actifs : durée de la relation contractuelle
  • Données patients génériques : 365 jours max (purge auto)
  • Accueil IA (RDV) : 30 jours après la date du RDV
  • Transcripts Accueil : 7 jours
  • Reactiv patients : 365 jours max
  • Métadonnées Liaison : 365 jours max
  • Après résiliation complète : 90 jours avant purge en cascade
  • Données de facturation : 10 ans (obligation comptable)
  • Journaux techniques : 12 mois

6. Destinataires et sous-traitants

Les données peuvent être transmises à des sous-traitants strictement nécessaires au service, hébergés en Union Européenne lorsque possible :

  • MongoDB AtlasBase de données applicative (Union Européenne (région EU — ex. Frankfurt / Paris))
  • Vercel Inc.Hébergement application Next.js (Union Européenne (région fra1 — Paris))
  • Stripe, Inc.Paiement et facturation (UE + transferts encadrés (SCC))
  • Brevo (Sendinblue)Envoi email et SMS transactionnels / marketing (Union Européenne)
  • UpstashCache Redis, rate-limit, files de jobs (QStash) (Union Européenne)
  • OpenAI / Anthropic / Mistral (configurable)Génération de texte (LLM) (UE ou pays tiers selon provider configuré)
  • VapiAgent vocal sortant (Accueil IA) (États-Unis (transfert encadré))
  • AWS S3 (région EU)Stockage PDF Conforme (Union Européenne (eu-west-3 Paris par défaut))
  • Microservice PDF ConformeGénération PDF (ReportLab) (Union Européenne (hébergeur à configurer — Render/Railway EU))

Le futur module CR Audio nécessitera un hébergement certifié HDS (Hébergeur de Données de Santé). Hors périmètre de la v1 actuelle.

7. Sécurité

Mesures mises en œuvre : chiffrement AES-256-GCM des coordonnées sensibles au repos, isolation multi-tenant stricte, contrôle d'accès par rôle, journalisation des consentements et opt-out, rate limiting, headers de sécurité (CSP, HSTS), cookies sécurisés httpOnly.

8. Droits des personnes

Conformément au RGPD, vous disposez des droits d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité. Pour les données patients, adressez votre demande au centre d'audioprothèse (responsable de traitement). Le propriétaire du compte centre peut exporter ou supprimer les données via Paramètres → Données personnelles.

Contact DPO : contact@kurtiss.fr. Réclamation possible auprès de la CNIL : www.cnil.fr.

9. Transferts hors UE

L'Éditeur privilégie l'hébergement en UE. Pour les sous-traitants situés hors UE (ex. Vapi, Stripe), des garanties appropriées sont mises en place (clauses contractuelles types, décision d'adéquation). Détail sur demande à contact@kurtiss.fr.