Politique de confidentialité

1. Qui traite vos données ?

Service : NanoPsy

Contact : nanopsy@nano-psy.com ou page contact

Précision RGPD : pour les données patients saisies par un praticien, ce praticien est responsable de traitement. NanoPsy agit comme sous-traitant technique.

Données liées au compte praticien (authentification, abonnement, sécurité de la plateforme) : NanoPsy agit comme responsable de traitement.

2. Données traitées

Compte praticien

Email, nom, mot de passe haché, fuseau horaire, statut de vérification email, sessions.

Données patients

Identité, coordonnées, adresse, contacts d'urgence, informations de suivi, documents et notes cliniques.

Agenda et réservations

Séances, créneaux, mode de consultation, demandes de réservation publique et IP source de la demande.

Facturation et comptabilité

Factures, lignes de facturation, écritures comptables, exports fiscaux.

Sécurité et traçabilité

Adresse IP, user-agent, statut des sessions, journaux techniques et audits.

Intégrations optionnelles

Tokens Google Calendar (chiffrés), identifiants d'abonnement Stripe, messages envoyés via SMTP.

3. Finalités et bases légales

Finalité	Base légale
Création et gestion de compte, connexion, maintenance du service	Exécution du contrat
Gestion des dossiers patients, agenda, documents, suivi clinique	Exécution du contrat et obligations professionnelles du praticien
Émission de factures et tenue d'écritures comptables	Obligations légales
Prévention des abus, sécurité applicative, limitation de débit	Intérêt légitime
Connexion Google Calendar	Consentement / action explicite de l'utilisateur

4. Sous-traitants et destinataires

Stripe : gestion des paiements et abonnements (NanoPsy ne stocke pas les données complètes de carte bancaire).

Google Calendar (optionnel) : synchronisation des événements lorsque l'utilisateur connecte son compte Google.

SMTP : envoi d'emails transactionnels (vérification, réinitialisation, rappels).

Formspree : traitement du formulaire de contact public.

Hébergement/stockage : infrastructure applicative et stockage en France selon l'environnement de déploiement.

5. Sécurité

Mots de passe hachés (bcrypt, avec pré-hachage SHA-256).
Authentification par JWT (tokens d'accès et de rafraîchissement), sessions révocables.
Stockage de hash des tokens en base, pas des tokens en clair.
Chiffrement applicatif (Fernet) des notes cliniques et des tokens d'intégration sensibles.
Journalisation de session (IP et user-agent) et protections anti-abus (rate limiting).
Contrôles d'accès par praticien pour empêcher l'accès aux données d'un autre cabinet.

6. Durées de conservation

Données de compte : pendant la durée d'utilisation du compte, puis archivage/suppression selon obligations légales.
Sessions d'authentification : durée de validité maximale alignée sur la configuration de session (30 jours par défaut pour les refresh tokens).
Tokens de réinitialisation : 2 heures ; tokens de vérification email : 7 jours.
Facturation/comptabilité : conservation légale applicable (notamment obligations comptables et fiscales).
Journaux d'audit : archivage en stockage froid après 3 ans (selon configuration base de données).

7. Cookies et stockage navigateur

Le site public n'utilise pas de traceurs publicitaires ou d'analytics tiers dans son code statique.

L'application peut utiliser localStorage et sessionStorage pour :

conserver les tokens de session utilisateur,
mémoriser des préférences d'interface,
mettre en cache certaines réponses techniques.

8. Vos droits

Vous disposez des droits d'accès, rectification, effacement, limitation, opposition et portabilité, dans les conditions prévues par la réglementation.

Pour les données patients, la demande doit être adressée en priorité au praticien concerné (responsable de traitement).

Pour les données liées à votre compte NanoPsy, contactez : nanopsy@nano-psy.com.

Vous pouvez également introduire une réclamation auprès de la CNIL.

9. Mise à jour

Dernière mise à jour : 27 février 2026.