Politique de confidentialité

1. Responsable du traitement

DentaChat (Entrepreneur individuel) — SIRET {{SIRET}}, siège {{ADRESSE_SIEGE}}. Contact général : contact@dentachat.fr.

Point de contact dédié protection des données (DPO volontaire, conformément aux recommandations CNIL pour les TPE traitant des données de santé indirectes) : dpo@dentachat.fr.

2. Données collectées, finalités et bases légales

2.1 Prospects (formulaire de contact / demande de démo)

• Données : email professionnel, nom du cabinet, téléphone (facultatif), contenu du message.
• Finalité : répondre à la demande, proposer une démonstration du Service.
• Base légale : intérêt légitime (art. 6.1.f RGPD) — démarchage B2B sollicité.

2.2 Clients (cabinets abonnés)

• Données : informations du cabinet (raison sociale, adresse, horaires, services, FAQ, tarifs indicatifs), email de connexion, hash bcrypt du mot de passe, identifiants Stripe (customer_id, subscription_id, status).
• Finalité : fournir le Service, authentifier, facturer, assurer le support.
• Base légale : exécution du contrat (art. 6.1.b RGPD).

2.3 Facturation

• Données : identifiants Stripe, montants, dates, numéros de facture.
• Finalité : gestion de l'abonnement et conservation comptable.
• Base légale : obligation légale comptable (art. 6.1.c RGPD — art. L. 123-22 C. com.).
• Aucun numéro de carte bancaire n'est stocké ni traité par DentaChat — PCI-DSS délégué à Stripe (certifié niveau 1).

2.4 Conversations chatbot (Visiteurs du site du Client)

• Données : contenu des messages échangés, horodatage, identifiant pseudonyme visitorId généré côté navigateur (pas de nom, pas d'adresse IP stockée, pas de user-agent persistant).
• Finalité : générer une réponse, afficher les statistiques au Client, améliorer le Service de manière agrégée.
• Base légale côté Client (responsable du traitement) : intérêt légitime à répondre aux demandes des Visiteurs (art. 6.1.f RGPD). DentaChat agit comme sous-traitant (art. 28 RGPD).

Aucune donnée de santé au sens de l'art. 9 RGPD n'est sollicitée ni traitée. Le chatbot est configuré pour rediriger toute demande à caractère médical vers une prise de rendez-vous en cabinet. Les Visiteurs sont encouragés à ne communiquer aucun antécédent, traitement ou diagnostic.

3. Destinataires et sous-traitants

Les données sont accessibles uniquement à Rayan, directeur de la publication, et aux sous-traitants strictement nécessaires à l'exécution du Service, liés par contrat (DPA — Data Processing Agreement) :

Aucune donnée n'est vendue, louée, ni communiquée à des tiers à des fins commerciales. Les données ne sont communiquées à des autorités publiques qu'en cas de réquisition légale formelle (art. 60-1 CPP, etc.).

4. Transferts hors Union européenne

Les transferts vers Vercel, Anthropic et Resend (USA) sont encadrés par les Clauses Contractuelles Types de la Commission européenne (décision 2021/914) et, le cas échéant, par la certification EU-US Data Privacy Framework (décision d'adéquation du 10 juillet 2023). Les bases de données principales restent hébergées en UE (Supabase / AWS Francfort).

Anthropic s'est engagé contractuellement (Zero Data Retention et no-training par défaut) à ne pas conserver les prompts au-delà de la requête et à ne pas les utiliser pour entraîner ses modèles.

5. Durées de conservation

• Données client pendant toute la durée du contrat.
• Après résiliation : 3 ans en base active (prospection / relance autorisée), puis effacement.
• Conversations chatbot : 12 mois glissants, suppression automatique.
• Données prospect (formulaire contact) : 3 ans après le dernier échange.
• Logs de sécurité (connexions, IP) : 12 mois (art. 4 LCEN).
• Données de facturation : 10 ans (art. L. 123-22 C. com.).

6. Sécurité

• Chiffrement en transit TLS 1.2+ (HSTS preload, upgrade-insecure-requests).
• Chiffrement au repos côté base (AES-256 — Supabase / AWS RDS).
• Authentification par cookies httpOnly + Secure + SameSite=Lax (JWT HS256).
• Hash bcrypt (cost 10) des mots de passe ; jamais de stockage clair.
• Protection CSRF (Origin/Referer) sur toutes les routes mutantes, rate-limiting multi-couches.
• Row-Level Security PostgreSQL côté Supabase.
• Content Security Policy stricte sans unsafe-inline, X-Frame-Options: DENY.
• Notification en cas de violation de données dans un délai de 72 h (art. 33 RGPD).

7. Vos droits (art. 15 à 22 RGPD)

Vous disposez des droits suivants :

• droit d'accès à vos données ;
• droit de rectification ;
• droit à l'effacement (« droit à l'oubli ») ;
• droit à la limitation du traitement ;
• droit à la portabilité — export JSON à la demande ;
• droit d'opposition au traitement fondé sur l'intérêt légitime ;
• droit de définir des directives post mortem (art. 85 loi I&L).

Comment exercer vos droits ? Par email à dpo@dentachat.fr, en justifiant de votre identité si un doute raisonnable existe. Nous répondons dans un délai maximal de 30 jours (prorogeable de 2 mois si la demande est complexe, avec information préalable).

8. Cookies

Le site dentachat.fr utilise uniquement des cookies strictement nécessairesau fonctionnement du service : cookie de session authentifié dentachat_* (httpOnly, Secure, SameSite=Lax, durée 7 jours). Aucun cookie publicitaire, aucun cookie tiers à finalité marketing, aucun pixel de suivi. Conformément à la délibération CNIL n° 2020-091, ces cookies ne nécessitent pas de recueil de consentement préalable.

9. Réclamation auprès de la CNIL

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL : cnil.fr/fr/plaintes — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.

10. Modifications de la présente politique

La présente politique peut être mise à jour pour refléter des évolutions légales, techniques ou organisationnelles. Toute modification substantielle sera notifiée par email aux clients actifs au moins 15 jours avant sa prise d'effet, et la date de dernière mise à jour (en haut de page) sera actualisée.