Politique de confidentialité
En vigueur au 15 mars 2026
La présente politique décrit comment les données personnelles sont collectées, traitées et protégées dans le cadre de la plateforme DeGarde, accessible à l'adresse degarde.co.
DeGarde est une plateforme de planification de gardes médicales en mode SaaS. Aucune donnée de santé de patient n'est collectée, stockée ou traitée.
Article 1 — Responsable du traitement et sous-traitant
1.1 Responsable du traitement
Le responsable du traitement est l'établissement de santé client (hôpital, clinique) qui souscrit au Service et décide des finalités du traitement.
1.2 Sous-traitant
DeGarde agit en qualité de sous-traitant (article 28 du RGPD) :
Clément Tardy, entrepreneur individuel
SIRET : 913 213 682 00028
Email : contact@degarde.co
1.3 Visiteurs du site
Pour les visiteurs du site degarde.co (non Utilisateurs), Clément Tardy est responsable du traitement des données collectées via le site vitrine.
Article 2 — Contact
Pour toute question relative à vos données personnelles :
Email : contact@degarde.co
Courrier : Clément Tardy — 16 rue de Soissons, 17000 La Rochelle
Article 3 — Données collectées
3.1 Utilisateurs du Service (médecins, internes)
| Catégorie | Données |
|---|---|
| Identité professionnelle | Nom, prénom, initiales |
| Contact professionnel | Adresse email professionnelle |
| Organisation du travail | Quotité de travail, jours de disponibilité, spécialités |
| Désidérata | Disponibilités et préférences par période |
| Plannings | Affectations de gardes et postes |
| Authentification | Code PIN (stocké sous forme hashée uniquement) |
3.2 Administrateurs
| Catégorie | Données |
|---|---|
| Identité | Nom, prénom |
| Contact | Adresse email professionnelle |
| Authentification | Identifiants de connexion (hashés) |
3.3 Visiteurs du site
| Catégorie | Données |
|---|---|
| Contact | Adresse email, message (formulaire de contact) |
| Technique | Adresse IP, navigateur, pages visitées (journaux serveur) |
Article 4 — Finalités et bases juridiques
| Finalité | Base juridique | Durée |
|---|---|---|
| Fourniture du Service (plannings, désidérata, notifications) | Exécution du contrat (Art. 6.1.b) | Durée de l'Abonnement + 30 jours |
| Gestion du compte et authentification | Exécution du contrat (Art. 6.1.b) | Durée de l'Abonnement + 30 jours |
| Support et communication | Exécution du contrat (Art. 6.1.b) | Durée de l'Abonnement + 1 an |
| Facturation | Obligation légale (Art. 6.1.c) | 10 ans |
| Sécurité (journaux d'accès) | Intérêt légitime (Art. 6.1.f) | 12 mois |
| Statistiques anonymisées | Intérêt légitime (Art. 6.1.f) | Sans limitation |
| Prospection (visiteurs du site) | Consentement (Art. 6.1.a) | 3 ans après le dernier contact |
Article 5 — Destinataires
Les données sont accessibles à :
- Le Prestataire : administration, support, maintenance
- Le Client : gestion de son service via l'interface
- Les Utilisateurs du même service : plannings publiés et informations d'équipe
- Les sous-traitants ultérieurs : dans la stricte mesure nécessaire (voir Article 6)
Les données ne sont jamais vendues, louées ou mises à disposition de tiers à des fins commerciales.
Article 6 — Sous-traitants ultérieurs
| Sous-traitant | Fonction | Localisation | Garanties |
|---|---|---|---|
| Supabase Inc. | Base de données, authentification | UE (Irlande) | SOC2, HIPAA, DPA |
| Vercel Inc. | Hébergement frontend | États-Unis (Edge EU) | SOC2, SCC, DPA |
| Railway Corp. | API de calcul de plannings | UE | SOC2, DPA |
| Resend Inc. | Emails transactionnels | États-Unis | SCC, DPA |
| Stripe Inc. | Paiement en ligne | États-Unis / UE | PCI DSS, SOC2, SCC |
Article 7 — Transferts internationaux
Les données de la base de données sont hébergées dans l'Union européenne (Irlande) par Supabase.
Les transferts vers les États-Unis (Vercel, Resend, Stripe) sont encadrés par les Clauses Contractuelles Types (SCC) de la Commission européenne et des mesures techniques complémentaires (chiffrement TLS 1.2+, AES-256).
Article 8 — Durée de conservation
| Données | Conservation active | Suppression |
|---|---|---|
| Données Utilisateurs | Durée de l'Abonnement | 30 jours après résiliation |
| Données de facturation | Durée de l'Abonnement | 10 ans (obligation légale) |
| Journaux de connexion | 12 mois glissants | Automatique |
| Données prospects | 3 ans après le dernier contact | Automatique |
| Données d'essai gratuit | 90 jours après la fin de l'essai | Automatique |
Article 9 — Sécurité
Mesures techniques
- Chiffrement en transit : TLS 1.2+ (HTTPS)
- Chiffrement au repos : AES-256 (via Supabase / AWS)
- Isolation des données : Row Level Security (RLS) dans PostgreSQL — chaque Client n'accède qu'à ses propres données
- Authentification : PIN hashés avec salage
- Sauvegardes : quotidiennes, rétention de 7 jours
Notification de violation
En cas de violation de données, le Client est notifié dans les 72 heures (article 33 du RGPD), avec la nature de la violation, les données concernées, les conséquences et les mesures prises.
Article 10 — Droits des personnes
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
| Droit | Description |
|---|---|
| Accès (Art. 15) | Obtenir une copie de vos données |
| Rectification (Art. 16) | Corriger des données inexactes |
| Effacement (Art. 17) | Demander la suppression de vos données |
| Portabilité (Art. 20) | Recevoir vos données dans un format lisible par machine |
| Limitation (Art. 18) | Demander la limitation du traitement |
| Opposition (Art. 21) | S'opposer au traitement fondé sur l'intérêt légitime |
Comment exercer vos droits
- Utilisateur du Service : contactez l'administrateur de votre service ou écrivez à contact@degarde.co
- Visiteur du site : écrivez à contact@degarde.co
Délai de réponse : un (1) mois (article 12.3 du RGPD).
Réclamation auprès de la CNIL
Vous pouvez introduire une réclamation auprès de la CNIL :
Site : www.cnil.fr
Adresse : CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Article 11 — Cookies
| Cookie | Finalité | Durée |
|---|---|---|
| Cookie de session | Maintien de la connexion | Session ou 30 jours |
| Cookie de préférences | Paramètres d'affichage (thème) | 1 an |
| Cookie Supabase | Authentification | Session |
Aucun cookie publicitaire ou de suivi n'est utilisé. Ces cookies sont exemptés de consentement (CNIL).
Article 12 — Hébergement de Données de Santé (HDS)
Position
Le Service DeGarde ne nécessite pas de certification HDS au sens de l'article L.1111-8 du Code de la santé publique.
Argumentaire
L'obligation d'HDS s'applique aux hébergeurs de « données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi médico-social ».
Les données traitées par DeGarde sont exclusivement :
- Des données d'identification professionnelle (noms, prénoms de médecins)
- Des données d'organisation du travail (disponibilités, affectations, préférences)
Ces données :
- Ne sont pas recueillies à l'occasion de soins
- Ne contiennent aucune information sur la santé de patients
- Ne permettent pas d'inférer une information de santé
Malgré cette non-obligation, DeGarde applique des standards de sécurité élevés : chiffrement AES-256 au repos, TLS 1.2+ en transit, isolation RLS, hébergement EU, et DPA avec chaque sous-traitant.
Article 13 — Modification de la politique
Cette politique peut être modifiée à tout moment. Les modifications significatives sont notifiées au moins 15 jours avant leur entrée en vigueur. La version en vigueur est toujours accessible à l'adresse degarde.co/legal/confidentialite.