Accord de traitement des données (DPA)

Conformément à l'article 28 du Règlement Général sur la Protection des Données (RGPD), cet accord encadre le traitement des données à caractère personnel effectué par Deiz pour le compte du praticien utilisant le service.

1. Qualification juridique des parties

Le présent accord identifie clairement le rôle de chacun au sens des articles 4(7) et 4(8) du RGPD.

Le praticien : responsable de traitement

Le praticien (professionnel libéral utilisant Deiz) est le responsable de traitement des données de ses patients. C'est lui qui détermine les finalités (gestion de son activité, suivi clinique, facturation) et les moyens du traitement.

Deiz : sous-traitant

Deiz agit en qualité de sous-traitant du praticien. Deiz traite les données des patients uniquement pour fournir le service (hébergement, prise de rendez-vous, rappels, facturation, téléconsultation), sur instruction du praticien et dans les limites définies par cet accord.

2. Instructions documentées du responsable de traitement

Deiz ne traite les données patients que sur la base d'instructions documentées du praticien. Ces instructions sont matérialisées par :

  • Les conditions générales d'utilisation acceptées lors de l'inscription
  • Le présent accord (DPA)
  • La politique de confidentialité, qui décrit la nature, la portée et la finalité de chaque traitement
  • Les actions effectuées dans l'application par le praticien (création d'un patient, envoi d'un rappel, génération d'une facture, etc.)
  • Les paramètres choisis par le praticien (activation de Google Calendar, synchronisation stripe, horaire de cabinet, etc.)

Tout traitement effectué en dehors de ces instructions est interdit, sauf obligation légale imposée à Deiz par le droit de l'Union ou d'un État membre. Dans ce cas, Deiz informera le praticien avant le traitement, sauf si la loi l'interdit pour des motifs d'intérêt public.

3. Confidentialité du personnel

Deiz garantit que toute personne autorisée à accéder à l'infrastructure ou aux données traitées dans le cadre du service est :

  • Soumise à une obligation contractuelle de confidentialité
  • Formée à la protection des données personnelles
  • Limitée au strict nécessaire : l'accès à l'infrastructure est restreint aux personnes ayant un besoin opérationnel avéré

Rappel important : grâce au chiffrement de bout en bout, même les employés et administrateurs de Deiz n'ont techniquement pas la possibilité de lire les données patients (noms, coordonnées, notes, etc.). Cette garantie est structurelle, pas seulement contractuelle.

4. Recours à des sous-traitants ultérieurs

Le praticien autorise Deiz à recourir à des sous-traitants ultérieurs pour fournir le service. La liste actuelle de ces sous-traitants est la suivante :

Sous-traitant Finalité Localisation
OVH Hébergement de l'infrastructure (données chiffrées) France (UE)
Stripe Traitement des liens de paiement Irlande (UE)
Google Synchronisation des rendez-vous avec Google Calendar (uniquement si activée par le praticien) États-Unis (clauses contractuelles types)

Information préalable et droit d'opposition

Conformément à l'article 28(2) du RGPD, Deiz informera le praticien de tout ajout ou remplacement de sous-traitant ultérieur avant sa mise en œuvre, par email ou notification dans l'application, en laissant un délai raisonnable pour permettre l'exercice du droit d'opposition.

Si le praticien s'oppose au changement et qu'aucune solution alternative raisonnable n'est trouvée, il peut résilier son abonnement sans pénalité.

5. Assistance pour les droits des personnes concernées

Lorsqu'un patient exerce ses droits prévus par le RGPD (accès, rectification, effacement, portabilité, limitation, opposition), c'est au praticien, en tant que responsable de traitement, d'y répondre.

Deiz assiste le praticien en mettant à sa disposition :

  • Des fonctionnalités natives dans l'application pour consulter, modifier, supprimer ou exporter les données d'un patient en quelques clics
  • L'export des données patients dans un format structuré et lisible par machine
  • Un support par email (audren.bdb@gmail.com) en cas de difficulté technique pour répondre à une demande

Si une demande est adressée directement à Deiz par un patient, Deiz la transmettra au praticien concerné dans les meilleurs délais et n'y répondra pas directement, sauf instruction contraire du praticien.

6. Notification des violations de données

En cas de violation de données à caractère personnel touchant les données traitées pour le compte du praticien, Deiz s'engage à :

Notification dans les meilleurs délais

Notifier le praticien sans retard injustifié et au plus tard dans les 72 heures après en avoir pris connaissance, afin de lui permettre de respecter sa propre obligation de notification à la CNIL prévue par l'article 33 du RGPD.

La notification de Deiz contiendra au minimum :

  • La nature de la violation (catégories et nombre approximatif de personnes et d'enregistrements concernés)
  • Les conséquences probables de la violation
  • Les mesures déjà prises ou proposées pour remédier à la violation et en atténuer les effets
  • Les coordonnées d'un point de contact pour obtenir plus d'informations

Rappel : grâce au chiffrement de bout en bout, une violation de l'infrastructure de Deiz ne permettrait pas à un attaquant de lire les données patients, qui restent illisibles sans la clé du praticien. Le risque réel pour les personnes concernées est par conception très réduit.

7. Sort des données en fin de contrat

À la fin de la prestation de services (résiliation, fin d'abonnement, fermeture de compte), le praticien dispose des options suivantes pour ses données :

Export depuis l'application

Avant toute suppression, le praticien peut exporter directement depuis l'application :

  • Les coordonnées de ses patients (nom, prénom, email, téléphone, adresse)
  • L'ensemble de ses factures (PDF conformes pour archivage légal)

Aucune action de Deiz n'est requise : ces exports sont accessibles en libre-service dans l'interface du praticien.

Suppression

Sur demande du praticien (ou automatiquement 30 jours après la fermeture du compte), Deiz procède à la suppression définitive de toutes les données traitées pour son compte, y compris dans les sauvegardes, selon le cycle de rotation de celles-ci.

Une attestation de suppression peut être fournie sur demande écrite.

Deiz ne conserve aucune copie des données patients après la suppression, sauf si une obligation légale l'impose (et dans ce cas, uniquement pour la durée et la finalité prévues par la loi).

8. Droits d'audit et de contrôle

Conformément à l'article 28(3)(h) du RGPD, Deiz met à la disposition du praticien toutes les informations nécessaires pour démontrer le respect des obligations prévues par le présent accord.

Le praticien peut, à ses frais et après un préavis raisonnable d'au moins 30 jours, procéder à des audits ou les faire réaliser par un auditeur indépendant qu'il aura mandaté, sous réserve que :

  • L'audit soit réalisé dans le respect de la confidentialité des autres clients de Deiz
  • L'auditeur soit soumis à une obligation de confidentialité
  • L'audit ne perturbe pas de manière déraisonnable l'activité de Deiz
  • La fréquence des audits soit limitée à une fois par an, sauf incident significatif justifiant un audit supplémentaire

Deiz peut également satisfaire à cette obligation en fournissant des rapports d'audit récents réalisés par un tiers indépendant, lorsqu'ils existent.

Deiz s'engage à informer immédiatement le praticien si, à son avis, une instruction reçue dans le cadre d'un audit constitue une violation du RGPD ou d'autres dispositions du droit de l'Union ou des États membres relatives à la protection des données.

Contact

Pour toute question relative à cet accord de traitement des données, pour signaler une violation ou pour exercer votre droit d'audit :

Email : audren.bdb@gmail.com

SMS : 07 61 24 35 81

Dernière mise à jour : Avril 2026