Notre engagement
Labora, Société par Actions Simplifiée (SAS) opérant sous la marque commerciale « Mercipodium », accorde une importance fondamentale à la protection des données personnelles. La présente Politique décrit les traitements de données personnelles mis en œuvre lors de l'utilisation du service Mercipodium accessible à mercipodium.com et app.mercipodium.com, conformément au Règlement Général sur la Protection des Données (RGPD, Règlement UE 2016/679) et à la Loi Informatique et Libertés modifiée.
Responsable de traitement
Labora, Société par Actions Simplifiée (SAS), immatriculée au 100 659 952 R.C.S. Nanterre, dont le siège est 9 rue Salomon Reinach, 92100 Boulogne-Billancourt, France, est responsable du traitement des données personnelles relatives au compte des Utilisateurs du Service Mercipodium.
Pour les données personnelles des clients/patients que l'Utilisateur charge dans le Service, Mercipodium agit en qualité de sous-traitant au sens du RGPD. L'Utilisateur reste le responsable de traitement de ces données. Voir le Data Processing Agreement (DPA) pour le détail.
Données collectées
Mercipodium collecte les catégories de données suivantes :
- •Données de compte : nom, prénom, email professionnel, téléphone, mot de passe (haché et salé), nom de la société, adresse de facturation.
- •Données de service : nom du cabinet, adresse de l'établissement, identifiant Google Business Profile, fiches praticiens, paramètres de l'utilisateur.
- •Données client/patient (chargées par l'Utilisateur) : nom, prénom, email, téléphone, date du rendez-vous, identifiant praticien rencontré, ainsi que le contenu de tout avis collecté.
- •Données techniques : adresse IP, user-agent, journaux d'authentification, timestamps des actions sensibles (connexion, modifications de paramètres).
- •Données de paiement : Mercipodium NE collecte ni ne stocke aucune donnée bancaire. Toutes les données de paiement sont gérées par Stripe.
Bases légales du traitement
Les traitements mis en œuvre reposent sur les bases légales suivantes :
- •Exécution du contrat (article 6.1.b RGPD) : compte utilisateur, fonctionnement du Service, facturation.
- •Intérêt légitime (article 6.1.f RGPD) : sécurité du Service, lutte contre la fraude, amélioration produit (logs anonymisés).
- •Obligation légale (article 6.1.c RGPD) : conservation des factures, registres comptables.
- •Consentement (article 6.1.a RGPD) : envoi de newsletter, cookies non essentiels.
Finalités du traitement
- •Fourniture du Service souscrit par l'Utilisateur.
- •Gestion du compte, de la facturation et du support client.
- •Sécurité du Service et lutte contre les usages frauduleux.
- •Amélioration produit (analyses agrégées et anonymisées uniquement).
- •Conformité aux obligations légales et comptables.
Hébergement et localisation des données
L'ensemble des données personnelles relatives aux comptes, aux cabinets et aux patients/clients sont hébergées physiquement en France, dans des datacenters situés en région Île-de-France :
- •Base de données et authentification : Supabase, Inc. — région eu-west-3 (Paris).
- •Serveurs applicatifs : Vercel Inc. — point de présence Paris (CDG1).
- •Envoi des emails et SMS de sollicitation : Brevo (Sendinblue), Paris.
Aucun transfert de données patient/client identifiables n'est effectué en dehors de l'Union européenne.
Données traitées par l'IA Mercibot
Le contenu des avis publics collectés par l'Utilisateur peut être transmis aux serveurs Anthropic (USA) afin de générer une suggestion de réponse via le modèle Claude. Seul le texte public de l'avis (déjà publié sur Google Maps) est transmis ; aucune donnée nominative du client/patient n'est jamais envoyée à Anthropic.
Anthropic est un sous-traitant ultérieur soumis aux Standard Contractual Clauses (SCC) de la Commission européenne pour les transferts hors UE.
Durée de conservation
- •Données du compte : durée du contrat + 3 ans après résiliation pour les obligations comptables et légales.
- •Données patient/client (côté Utilisateur) : durée définie par l'Utilisateur, dans le respect des règles déontologiques applicables et du RGPD.
- •Logs de connexion et d'authentification : 12 mois.
- •Données de facturation : 10 ans (obligations comptables, article L123-22 du Code de commerce).
- •Cookies non essentiels : 13 mois maximum.
Sécurité
- •Chiffrement TLS 1.3 pour toutes les communications réseau.
- •Chiffrement AES-256 au repos pour les données stockées.
- •Authentification forte par mot de passe haché (bcrypt) et OTP email.
- •Authentification à deux facteurs disponible pour les administrateurs.
- •Politique de moindre privilège (RLS Postgres) sur l'accès aux données.
- •Audit logs immutables des actions sensibles, conservés 12 mois.
Vos droits
Conformément aux articles 12 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :
- •Droit d'accès et de copie de vos données.
- •Droit de rectification des données inexactes.
- •Droit à l'effacement (« droit à l'oubli »).
- •Droit à la limitation du traitement.
- •Droit à la portabilité de vos données dans un format structuré.
- •Droit d'opposition au traitement, notamment à des fins de prospection commerciale.
- •Droit de définir des directives post-mortem (article 40-1 de la Loi Informatique et Libertés).
- •Droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr).
Pour exercer ces droits, contactez le DPO Mercipodium à olivier@mercipodium.com. Une réponse vous sera apportée dans un délai d'un mois maximum à compter de la réception de la demande, conformément à l'article 12 du RGPD.
Délégué à la protection des données
Mercipodium a désigné un Délégué à la Protection des Données (DPO) pour superviser la conformité RGPD. Contact : olivier@mercipodium.com.
Modification de la présente Politique
La présente Politique peut être modifiée pour tenir compte de l'évolution du Service ou de la réglementation. Toute modification substantielle sera notifiée aux Utilisateurs par email. La date de dernière mise à jour figure en tête de cette page.