VetiA

Politique de confidentialité

Dernière mise à jour : À compléter (date de mise en ligne après revue DPO/avocat)

VetiA accorde une importance fondamentale à la protection des données personnelles de ses utilisateurs et de leurs clients. La présente politique décrit comment nous collectons, utilisons et protégeons vos données, conformément au Règlement Général sur la Protection des Données (RGPD, Règlement UE 2016/679) et à la loi Informatique et Libertés modifiée.

1. Responsable de traitement et sous-traitance

Vétérinaire / Cabinet est le responsable de traitement des données patients (animaux) et clients (propriétaires) saisies dans le Service.

VetiA SASagit en qualité de sous-traitant au sens de l'article 28 du RGPD. Un Data Processing Agreement (DPA) encadre cette relation et est mis à disposition sur demande à sebastien.maira@gmail.com.

2. Catégories de données collectées

  • Données du vétérinaire utilisateur: identité, email, numéro d'Ordre, cabinet de rattachement, identifiants de connexion.
  • Données patients (animaux): nom, espèce, race, âge, poids, antécédents, consultations, examens, prescriptions. Ces données ne constituent pas des données de santé au sens du RGPD (l'animal n'est pas une personne physique) mais sont traitées avec la même rigueur de sécurité.
  • Données clients (propriétaires) : nom, prénom, téléphone, email, adresse postale. Ces données sont des données personnelles au sens du RGPD.
  • Données techniques: adresse IP, type de navigateur, horodatage des connexions, logs d'activité de sécurité.

3. Finalités du traitement

  • Fournir le service d'assistance clinique au vétérinaire
  • Générer des diagnostics, traitements, comptes-rendus assistés par IA
  • Permettre le partage de documents avec le client via le portail Family
  • Assurer la sécurité et la traçabilité des actions sur la plateforme
  • Répondre aux obligations légales et réglementaires

4. Bases légales

  • Exécution du contrat : fourniture du Service au vétérinaire
  • Intérêt légitime : sécurité, prévention de la fraude
  • Consentement : portail Family (le client consent à l'ouverture)
  • Obligation légale : conservation comptable, fiscale, déontologique

5. Sous-traitants ultérieurs

VetiA fait appel à des sous-traitants ultérieurs pour fournir certaines composantes techniques du Service. Tous opèrent sous DPA conforme au RGPD :

  • Supabase Inc. — Hébergement de la base de données et du stockage de fichiers, région UE (Frankfurt). Chiffrement au repos et en transit.
  • Vercel Inc.— Hébergement de l'application web, régions UE.
  • Anthropic PBC— Fournisseur du modèle d'IA (Claude). Politique zero-data-retention activée : vos données ne servent pas à entraîner les modèles. Les transferts UE→US sont encadrés par les Clauses Contractuelles Types (CCT) de la Commission européenne (Module 2, responsable→sous-traitant), intégrées au Data Processing Agreement d'Anthropic.
  • Resend (resend.com) — Envoi des emails transactionnels (invitations au portail Family, notifications). Traite les adresses email des destinataires uniquement, pas le contenu des dossiers cliniques.
  • Sentry (Functional Software, Inc.)— Supervision technique et détection des erreurs applicatives. Configuré pour n'envoyer aucune donnée personnelle : les cookies, en-têtes, adresses IP et emails sont supprimés avant transmission, et les erreurs métier attendues sont filtrées.

6. Transferts hors Union européenne

Les données sont stockées dans l'Union européenne (Supabase, région Frankfurt). Seules les requêtes d'inférence envoyées au modèle d'IA (Anthropic) transitent par les États-Unis. Ce transfert est encadré par les Clauses Contractuelles Types (CCT / SCC 2021)de la Commission européenne, intégrées au Data Processing Agreement d'Anthropic, complétées par la politique zero-data-retention (aucune conservation des données par le modèle).

7. Durée de conservation

Les données sont conservées pour la durée strictement nécessaire aux finalités décrites, puis archivées ou supprimées :

  • Dossiers médicaux des animaux et comptes-rendus : conservés pendant toute la relation de soin, puis archivés 5 ans après la dernière consultation (alignement sur le délai de prescription civile et la responsabilité professionnelle).
  • Ordonnances et données de traçabilité du médicament : conservées 5 ans au titre des obligations de traçabilité du médicament vétérinaire.
  • Données clients (propriétaires): conservées tant que le client a au moins un animal suivi actif, puis supprimées ou anonymisées dans le même délai d'archivage que les dossiers associés.
  • Compte vétérinaire : conservé tant que le compte est actif. Après résiliation, les données sont supprimées sous 30 jours, hors données soumises à conservation légale (dossiers, ordonnances).
  • Logs techniques et de sécurité (connexions, accès) : conservés 12 mois maximum.
  • Requêtes envoyées à l'IA: non conservées par le fournisseur (politique zero-data-retention). Seuls les résultats que vous choisissez d'enregistrer sont stockés dans le dossier.

Ces durées sont indicatives et seront confirmées par le Conseil régional de l'Ordre des vétérinaires compétent. Le cabinet, responsable de traitement, peut définir des durées plus longues si une obligation légale l'impose.

8. Droits des personnes concernées

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès à vos données
  • Droit de rectification
  • Droit à l'effacement (sous réserve d'obligations légales de conservation)
  • Droit à la limitation du traitement
  • Droit à la portabilité (export CSV / PDF de vos données)
  • Droit d'opposition
  • Droit de définir des directives post-mortem

Pour exercer ces droits : sebastien.maira@gmail.com. Un retour sous 30 jours.

Vous disposez également du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), www.cnil.fr.

9. Sécurité

  • Chiffrement TLS 1.3 pour tous les transits
  • Chiffrement au repos sur la base de données et le stockage
  • RLS (Row Level Security) PostgreSQL pour cloisonner les cabinets
  • Authentification par mot de passe, avec double authentification (2FA par application TOTP) activable en option par chaque utilisateur dans ses réglages
  • Audits réguliers des dépendances et plan de réponse aux incidents

10. Cookies

VetiA utilise uniquement des cookies strictement nécessaires au fonctionnement (session, préférences). Aucun cookie analytique ou publicitaire n'est déposé. Aucun consentement explicite n'est requis pour ces cookies fonctionnels.

11. Délégué à la Protection des Données (DPO)

VetiA n'a pas désigné de Délégué à la Protection des Données : la désignation n'est pas obligatoire au regard de l'article 37 du RGPD (l'activité n'implique pas de suivi systématique à grande échelle, ni de traitement à grande échelle de données sensibles au sens de l'art. 9). Cette analyse est revue régulièrement et un DPO sera désigné si l'activité l'exige.

Pour toute question relative à la protection des données ou pour exercer vos droits, contactez le point de contact RGPD : sebastien.maira@gmail.com.

12. Contact

Pour toute question sur cette politique ou sur le traitement de vos données : sebastien.maira@gmail.com.