Politique de confidentialite
Derniere mise a jour : 21 fevrier 2026
Preambule
La societe HERVE (ci-apres « nous », « notre » ou « HERVE »), editrice du logiciel HerVe accessible a l'adresse app.herve-med.com (ci-apres l'« Application ») et du site internet herve-med.com (ci-apres le « Site »), accorde une importance primordiale a la protection des donnees personnelles de ses utilisateurs.
La presente politique de confidentialite (ci-apres la « Politique ») a pour objet d'informer les utilisateurs du Site et de l'Application (ci-apres les « Utilisateurs ») sur la maniere dont leurs donnees personnelles sont collectees, traitees et protegees, conformement :
- au reglement (UE) 2016/679 du 27 avril 2016 dit « Reglement General sur la Protection des Donnees » (RGPD) ;
- a la loi n° 78-17 du 6 janvier 1978 modifiee dite « Informatique et Libertes » ;
- aux articles L. 1111-8 et suivants du Code de la sante publique relatifs a l'hebergement des donnees de sante ;
- aux recommandations et referentiels de la Commission Nationale de l'Informatique et des Libertes (CNIL).
HerVe est un logiciel metier destine aux orthoptistes liberaux. A ce titre, l'Application traite des donnees de sante au sens de l'article 4, paragraphe 15, du RGPD, lesquelles beneficient d'une protection renforcee.
Article 1 - Responsable du traitement
Le responsable du traitement des donnees personnelles est :
- Raison sociale : HERVE
- Forme juridique : Societe par actions simplifiee (SAS)
- Siege social : Hub Eurasante, 350 avenue Eugene Avinee, 59120 Loos
- SIREN : 937 942 456
- Representant legal : M. Maxime Jakubowicz, President
- E-mail : support@herve-med.com
Dans le cadre de l'utilisation de l'Application par les orthoptistes (ci-apres les « Professionnels de Sante »), HERVE agit en qualite de sous-traitant au sens de l'article 28 du RGPD pour le traitement des donnees de sante des patients. Le Professionnel de Sante demeure le responsable de traitement pour les donnees de ses patients.
Pour les donnees relatives aux Utilisateurs eux-memes (creation de compte, facturation, support), HERVE agit en qualite de responsable de traitement.
Article 2 - Delegue a la protection des donnees (DPO)
Conformement aux articles 37 a 39 du RGPD, et compte tenu de la nature sensible des donnees traitees (donnees de sante), HERVE a designe un Delegue a la Protection des Donnees (DPO).
Le DPO peut etre contacte :
- Par e-mail : support@herve-med.com
- Par courrier : Delegue a la Protection des Donnees - HERVE, Hub Eurasante, 350 avenue Eugene Avinee, 59120 Loos
Article 3 - Donnees collectees
3.1 - Donnees des Utilisateurs (Professionnels de Sante)
Lors de la creation et de l'utilisation d'un compte sur l'Application, nous collectons les donnees suivantes :
- Donnees d'identification : nom, prenom, adresse e-mail, numero de telephone, numero ADELI ou RPPS
- Donnees professionnelles : adresse du cabinet, specialite, numero FINESS de l'etablissement
- Donnees de facturation : adresse de facturation, informations relatives au moyen de paiement (les donnees bancaires sont traitees exclusivement par notre prestataire de paiement securise et ne sont pas stockees par HERVE)
- Donnees de connexion : adresse IP, logs de connexion, type de navigateur, systeme d'exploitation, date et heure d'acces
- Donnees d'utilisation : actions effectuees dans l'Application, preferences, parametres
3.2 - Donnees des patients (donnees de sante)
Dans le cadre de l'utilisation de l'Application par les Professionnels de Sante, les donnees suivantes relatives aux patients peuvent etre traitees :
- Donnees d'identification du patient : nom, prenom, date de naissance, sexe, coordonnees (adresse, telephone, e-mail), numero de securite sociale
- Donnees de sante : antecedents medicaux, comptes rendus d'examens orthoptiques, bilans visuels, ordonnances, correspondances medicales, resultats d'examens complementaires, donnees de telemedecine
- Donnees administratives du patient : informations relatives a l'assurance maladie, mutuelle, medecin traitant, ophtalmologue referent
Important : Les donnees de sante des patients sont saisies et gerees exclusivement par le Professionnel de Sante, qui en demeure le responsable de traitement. HERVE n'accede a ces donnees que dans la stricte mesure necessaire a l'execution de ses obligations contractuelles (hebergement, maintenance, support technique) et dans les conditions definies par le contrat de sous-traitance.
3.3 - Donnees collectees via le Site (visiteurs)
Lors de la visite du Site herve-med.com, nous pouvons collecter :
- Donnees de navigation : adresse IP, type de navigateur, pages visitees, duree de la visite
- Donnees de contact : nom, prenom, adresse e-mail, message (en cas d'utilisation du formulaire de contact ou du chat Intercom)
- Cookies : voir l'article 10 ci-dessous
Article 4 - Finalites et bases juridiques des traitements
Conformement a l'article 13 du RGPD, nous vous informons des finalites et bases juridiques de chacun des traitements que nous mettons en oeuvre :
| Finalite | Base juridique | Donnees concernees |
|---|---|---|
| Creation et gestion du compte Utilisateur | Execution du contrat (art. 6.1.b RGPD) | Donnees d'identification, donnees professionnelles |
| Fourniture et fonctionnement de l'Application (gestion de cabinet, dossiers patients, comptes rendus, agenda) | Execution du contrat (art. 6.1.b RGPD) ; pour les donnees de sante : necessite pour la medecine preventive ou la medecine du travail, diagnostics medicaux, prise en charge sanitaire (art. 9.2.h RGPD) | Donnees d'identification, donnees de sante des patients |
| Aide a la redaction de comptes rendus par intelligence artificielle | Execution du contrat (art. 6.1.b RGPD) ; consentement explicite du Professionnel de Sante pour l'activation de la fonctionnalite IA | Donnees de sante anonymisees/pseudonymisees transmises au moteur IA |
| Telemedecine (teleconsultation, tele-expertise) | Execution du contrat (art. 6.1.b RGPD) ; prise en charge sanitaire (art. 9.2.h RGPD) | Donnees d'identification du patient, donnees de sante |
| Facturation et paiement de l'abonnement | Execution du contrat (art. 6.1.b RGPD) | Donnees de facturation |
| Support client et assistance technique | Interet legitime (art. 6.1.f RGPD) : assurer la satisfaction des Utilisateurs | Donnees d'identification, donnees d'utilisation, echanges de support |
| Amelioration du service et mesure d'audience | Interet legitime (art. 6.1.f RGPD) : ameliorer l'Application et le Site | Donnees de connexion, donnees d'utilisation anonymisees |
| Communication commerciale et newsletter | Consentement (art. 6.1.a RGPD) | Adresse e-mail, nom, prenom |
| Respect des obligations legales et reglementaires | Obligation legale (art. 6.1.c RGPD) | Donnees de facturation, logs de connexion |
| Gestion des demandes d'exercice des droits | Obligation legale (art. 6.1.c RGPD) | Donnees d'identification, justificatif d'identite |
Article 5 - Destinataires des donnees
Les donnees personnelles collectees peuvent etre communiquees aux categories de destinataires suivantes :
5.1 - Destinataires internes
- Les personnels habilites de HERVE, dans la stricte limite de leurs attributions (equipe technique, support, direction)
5.2 - Sous-traitants
HERVE fait appel a des sous-traitants pour l'execution de certaines prestations. Ces sous-traitants agissent exclusivement sur instructions de HERVE et dans le respect du RGPD. Des contrats de sous-traitance conformes a l'article 28 du RGPD ont ete conclus avec chacun d'entre eux.
| Sous-traitant | Finalite | Localisation | Garanties |
|---|---|---|---|
| Cloud Advice (SASU) | Hebergement de l'API, des bases de donnees et des donnees de sante | France | Certification HDS, ISO 27001 |
| Amazon Web Services (AWS S3) | Hebergement des fichiers (stockage objet) | France / Union europeenne | Certification HDS, ISO 27001, SOC 2 |
| Vercel Inc. | Hebergement du front-end (Site et Application) | Etats-Unis | SOC 2 Type II |
| Intercom, Inc. | Messagerie et support client | Etats-Unis | Clauses contractuelles types (CCT) de la Commission europeenne |
| Stripe, Inc. | Gestion des paiements | Etats-Unis / Union europeenne | Certification PCI-DSS, EU-US Data Privacy Framework |
| PostHog, Inc. | Mesure d'audience et analyse comportementale | Union europeenne (serveurs EU) | SOC 2 Type II, Clauses contractuelles types (CCT) |
| Sentry (Functional Software, Inc.) | Monitoring applicatif et suivi des erreurs | Etats-Unis | SOC 2 Type II, Clauses contractuelles types (CCT) |
| Amazon Simple Email Service (SES) | Envoi d'e-mails transactionnels et de newsletters | Union europeenne | ISO 27001, SOC 2 |
| Anthropic, PBC (Claude) | Generation assistee de comptes rendus par intelligence artificielle | Etats-Unis | SOC 2 Type II, donnees non utilisees pour l'entrainement des modeles, DPA signe |
5.3 - Tiers autorises
Les donnees personnelles peuvent etre communiquees a des tiers autorises par la loi (administrations fiscales, autorites judiciaires, CNIL, etc.) sur demande et dans la limite de ce qui est legalement requis.
5.4 - Interoperabilite
L'Application permet l'interoperabilite avec des services tiers (ex : Doctolib pour la gestion de rendez-vous). Ces connexions sont activees par le Professionnel de Sante et soumises aux conditions d'utilisation et politiques de confidentialite de chaque service tiers concerne.
Article 6 - Transferts de donnees hors de l'Union europeenne
Les donnees de sante des patients sont exclusivement hebergees en France / au sein de l'Union europeenne, aupres d'un hebergeur certifie HDS et ISO 27001. Aucun transfert de donnees de sante n'est effectue en dehors de l'Union europeenne.
Certaines donnees non sensibles (donnees de support via Intercom, donnees analytiques) peuvent faire l'objet d'un transfert vers les Etats-Unis. Ces transferts sont encadres par :
- les clauses contractuelles types (CCT) adoptees par la Commission europeenne (decision d'execution (UE) 2021/914 du 4 juin 2021) ;
- le cas echeant, le cadre de protection des donnees UE-Etats-Unis (EU-US Data Privacy Framework) pour les destinataires certifies.
Des mesures de securite supplementaires sont mises en oeuvre conformement aux recommandations du Comite europeen de la protection des donnees (CEPD).
Article 7 - Duree de conservation des donnees
Les donnees personnelles sont conservees pendant les durees suivantes :
| Categorie de donnees | Duree de conservation en base active | Duree d'archivage |
|---|---|---|
| Donnees du compte Utilisateur | Duree de la relation contractuelle | 3 ans apres la fin de la relation contractuelle (prospection), puis suppression |
| Donnees de sante des patients | Duree d'utilisation de l'Application par le Professionnel de Sante | Restituees au Professionnel de Sante a la cloture du compte (reversibilite). Note : le Professionnel de Sante est tenu de respecter les durees de conservation legales applicables au dossier medical (20 ans a compter de la derniere consultation - art. R. 1112-7 CSP) |
| Donnees de facturation | Duree de la relation contractuelle | 10 ans a compter de la cloture de l'exercice comptable (obligation legale - art. L. 123-22 C. com.) |
| Logs de connexion | 1 an (obligation legale - art. 6 II LCEN, decret n° 2011-219) | Suppression au terme du delai legal |
| Donnees de support (echanges Intercom) | Duree de la relation contractuelle | 3 ans apres la fin de la relation contractuelle, puis suppression |
| Donnees de prospection commerciale | 3 ans a compter du dernier contact | Suppression au terme du delai |
| Cookies et traceurs | 13 mois maximum (recommandation CNIL) | Non applicable |
A l'expiration des durees de conservation indiquees, les donnees sont supprimees de maniere securisee ou anonymisees de facon irreversible.
Article 8 - Securite des donnees
HERVE met en oeuvre des mesures techniques et organisationnelles appropriees pour assurer la securite, la confidentialite et l'integrite des donnees personnelles, conformement a l'article 32 du RGPD. Ces mesures incluent notamment :
- Hebergement certifie : Les donnees de sante sont hebergees aupres d'un hebergeur certifie HDS (Hebergeur de Donnees de Sante) conformement a l'article L. 1111-8 du Code de la sante publique, et certifie ISO 27001 (systeme de management de la securite de l'information).
- Chiffrement : Les donnees sont chiffrees en transit (TLS 1.2 minimum) et au repos (AES-256).
- Controle d'acces : Acces strictement limite aux personnels habilites, authentification forte, gestion des droits selon le principe du moindre privilege.
- Journalisation : Les acces aux donnees de sante sont traces et audites.
- Sauvegardes : Des sauvegardes regulieres et chiffrees sont effectuees, avec des tests de restauration periodiques.
- Gestion des incidents : Une procedure de gestion des violations de donnees est en place, conformement aux articles 33 et 34 du RGPD, incluant la notification a la CNIL dans les 72 heures et, le cas echeant, l'information des personnes concernees.
- Sensibilisation : L'ensemble des collaborateurs ayant acces aux donnees personnelles fait l'objet d'une sensibilisation reguliere a la protection des donnees et a la securite de l'information.
- Tests de securite : Des audits de securite et des tests de penetration sont realises periodiquement.
Article 9 - Analyse d'impact relative a la protection des donnees (AIPD)
Compte tenu de la nature des donnees traitees (donnees de sante), du volume potentiel de personnes concernees et de l'utilisation de technologies innovantes (intelligence artificielle), une analyse d'impact relative a la protection des donnees (AIPD) a ete realisee conformement a l'article 35 du RGPD et aux lignes directrices de la CNIL.
Cette analyse est tenue a la disposition de la CNIL et est revue periodiquement ou lors de toute modification substantielle des traitements.
Article 10 - Cookies et traceurs
10.1 - Definition
Un cookie est un petit fichier texte depose sur le terminal de l'Utilisateur (ordinateur, tablette, smartphone) par le serveur du site visite. Il permet au site de reconnaitre l'Utilisateur lors de ses visites successives.
10.2 - Cookies utilises
| Nom du cookie | Finalite | Duree | Type |
|---|---|---|---|
| Session / Auth cookies | Authentification et session utilisateur | Session / 30 jours | Strictement necessaire |
| intercom-* | Messagerie de support client (Intercom) | Jusqu'a 12 mois | Fonctionnel |
| ph_* | Mesure d'audience et analyse comportementale (PostHog) | Jusqu'a 12 mois | Analytique |
| sentry-* | Monitoring applicatif et suivi des erreurs (Sentry) | Session | Fonctionnel |
| __stripe_* | Prevention de la fraude et paiement securise (Stripe) | Jusqu'a 12 mois | Strictement necessaire |
10.3 - Gestion des cookies
Lors de votre premiere visite sur le Site, un bandeau d'information vous permet d'accepter ou de refuser les cookies non essentiels. Vous pouvez modifier vos preferences a tout moment en cliquant sur le lien « Gerer les cookies » present en pied de page du Site.
Vous pouvez egalement configurer votre navigateur pour accepter ou refuser les cookies. Les modalites de gestion varient selon le navigateur utilise :
Le refus des cookies non essentiels n'empeche pas l'utilisation du Site ou de l'Application, mais certaines fonctionnalites peuvent etre reduites.
Article 11 - Droits des personnes concernees
Conformement aux articles 15 a 22 du RGPD et aux articles 48 a 56 de la loi Informatique et Libertes, vous disposez des droits suivants sur vos donnees personnelles :
- Droit d'acces (art. 15 RGPD) : Vous avez le droit d'obtenir la confirmation que des donnees vous concernant sont ou ne sont pas traitees, et, lorsqu'elles le sont, l'acces auxdites donnees ainsi qu'a certaines informations (finalites, categories de donnees, destinataires, duree de conservation, etc.).
- Droit de rectification (art. 16 RGPD) : Vous avez le droit d'obtenir la rectification de vos donnees personnelles inexactes ou le complement de vos donnees incompletes.
- Droit a l'effacement (art. 17 RGPD) : Vous avez le droit d'obtenir l'effacement de vos donnees personnelles dans certains cas (donnees plus necessaires, retrait du consentement, traitement illicite, etc.), sous reserve des obligations legales de conservation.
- Droit a la limitation du traitement (art. 18 RGPD) : Vous avez le droit d'obtenir la limitation du traitement de vos donnees dans certains cas (contestation de l'exactitude, traitement illicite, etc.).
- Droit a la portabilite (art. 20 RGPD) : Vous avez le droit de recevoir vos donnees personnelles dans un format structure, couramment utilise et lisible par machine, et de les transmettre a un autre responsable de traitement.
- Droit d'opposition (art. 21 RGPD) : Vous avez le droit de vous opposer a tout moment au traitement de vos donnees fonde sur l'interet legitime, y compris le profilage. Vous pouvez egalement vous opposer au traitement de vos donnees a des fins de prospection commerciale.
- Droit de retrait du consentement : Lorsque le traitement est fonde sur votre consentement, vous pouvez le retirer a tout moment, sans que cela ne remette en cause la licite du traitement effectue avant le retrait.
- Droit de definir des directives post-mortem (art. 85 loi Informatique et Libertes) : Vous avez le droit de definir des directives relatives a la conservation, a l'effacement et a la communication de vos donnees personnelles apres votre deces.
Exercice des droits
Pour exercer vos droits, vous pouvez nous contacter :
- Par e-mail : support@herve-med.com
- Par courrier : HERVE - Service Protection des Donnees, Hub Eurasante, 350 avenue Eugene Avinee, 59120 Loos
Votre demande sera traitee dans un delai d'un (1) mois a compter de la reception de votre demande. Ce delai peut etre prolonge de deux (2) mois supplementaires en cas de demande complexe ou de nombre eleve de demandes, conformement a l'article 12.3 du RGPD. Vous en serez informe dans le delai initial d'un mois.
Un justificatif d'identite pourra vous etre demande en cas de doute raisonnable sur votre identite.
Droits specifiques aux donnees de sante des patients
Les patients dont les donnees de sante sont traitees via l'Application doivent exercer leurs droits aupres du Professionnel de Sante qui est responsable de traitement de leurs donnees. HERVE, en qualite de sous-traitant, assistera le Professionnel de Sante dans la satisfaction de ses obligations conformement a l'article 28.3.e du RGPD.
Article 12 - Droit d'introduire une reclamation aupres de la CNIL
Si vous estimez que le traitement de vos donnees personnelles constitue une violation du RGPD ou de la loi Informatique et Libertes, vous avez le droit d'introduire une reclamation aupres de la Commission Nationale de l'Informatique et des Libertes (CNIL) :
- En ligne : www.cnil.fr/fr/plaintes
- Par courrier : CNIL, 3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07
Article 13 - Engagements de HERVE en qualite de sous-traitant
En qualite de sous-traitant pour les donnees de sante, HERVE s'engage, conformement a l'article 28 du RGPD, a :
- ne traiter les donnees que sur instruction documentee du Professionnel de Sante ;
- veiller a ce que les personnes autorisees a traiter les donnees s'engagent a respecter la confidentialite ou soient soumises a une obligation legale de confidentialite ;
- prendre toutes les mesures de securite requises par l'article 32 du RGPD ;
- ne pas recruter de sous-traitant ulterieur sans l'autorisation prealable ecrite ou generale du Professionnel de Sante ;
- aider le Professionnel de Sante a satisfaire aux demandes d'exercice des droits des personnes concernees ;
- aider le Professionnel de Sante a garantir le respect des obligations de securite, de notification des violations, d'analyse d'impact et de consultation prealable ;
- au choix du Professionnel de Sante, supprimer ou restituer les donnees au terme de la prestation ;
- mettre a la disposition du Professionnel de Sante toutes les informations necessaires pour demontrer le respect des obligations et permettre les audits.
Article 14 - Modification de la presente politique
HERVE se reserve le droit de modifier la presente Politique a tout moment afin de se conformer a toute evolution legislative, reglementaire, jurisprudentielle ou technique. La version en vigueur est celle accessible sur le Site a la date de consultation.
En cas de modification substantielle, les Utilisateurs seront informes par tout moyen adapte (notification dans l'Application, e-mail) au moins trente (30) jours avant l'entree en vigueur de la nouvelle version.
La poursuite de l'utilisation du Site ou de l'Application apres l'entree en vigueur de la nouvelle version vaut acceptation de la Politique modifiee.
Article 15 - Droit applicable
La presente Politique est regie par le droit francais. En cas de litige relatif a l'interpretation ou l'execution de la presente Politique, et a defaut de resolution amiable, les tribunaux francais competents seront ceux du ressort du siege social de HERVE.
Article 16 - Contact
Pour toute question relative a la presente Politique ou au traitement de vos donnees personnelles, vous pouvez nous contacter :
- DPO : support@herve-med.com
- Par courrier : HERVE - Hub Eurasante, 350 avenue Eugene Avinee, 59120 Loos
- Par e-mail general : support@herve-med.com