RGPD & Confidentialité

Politique de Confidentialité de Solstice Psychologues

Version : 1.0

Date d’entrée en vigueur : 02/04/2025

Dernière mise à jour : 02/04/2025

1. Introduction

Bienvenue chez Solstice Psychologues (« nous », « notre » ou « nos »), une clinique française spécialisée dans la thérapie relationnelle et les interventions centrées sur l’attachement. Nous accordons une grande importance à votre vie privée et nous nous efforçons de protéger vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD), au Code de la Santé Publique français (notamment l’Article L1110-4 sur le secret médical et l’Article L1111-7 sur l’accès au dossier médical), et aux réglementations professionnelles pertinentes (par exemple, le code de déontologie français des psychologues).

Ce document explique :

  • Quelles données personnelles nous collectons
  • Comment et pourquoi nous les collectons
  • Comment nous utilisons, conservons et partageons vos données
  • Vos droits sur vos données selon le RGPD et la loi française

En accédant à nos services ou en les utilisant, que ce soit en personne ou via des outils d’évaluation numériques, vous reconnaissez avoir lu et compris cette Politique de Confidentialité. Si vous n’êtes pas d’accord avec l’une de ses dispositions, veuillez nous contacter avant de poursuivre l’utilisation de nos services.

2. Coordonnées du Responsable du Traitement

Nom de la clinique : Solstice Psychologues

Adresse : Saint-Jorioz, France

Email : hans@absl.io

Téléphone : +33 7 8381 8811

Nous sommes responsables (« Responsable du traitement ») de la détermination des finalités et des moyens du traitement de vos données personnelles.

2.1 Délégué à la Protection des Données (DPO)

Conformément à l’Article 37 du RGPD pour les prestataires de soins de santé traitant des données sensibles, notre DPO désigné est :

Name : Prakhar Srivastava

Email : prakhar@absl.io

Le DPO supervise notre stratégie de protection des données et notre conformité aux lois sur la protection des données. Vous pouvez contacter le DPO pour toute question concernant le traitement de vos données personnelles.

3. Champ d’Application

Cette Politique de Confidentialité s’applique aux :

  • Services en Personne : Données collectées lors des séances de thérapie, consultations et processus administratifs dans nos locaux en France.
  • Outils Numériques : Données collectées via notre site web ou toute plateforme d’évaluation intégrée (par exemple, Entrelacs ou similaire).
  • Communications : Données collectées lorsque vous nous appelez, nous envoyez un email ou interagissez avec nous de toute autre manière.

4. Définitions Clés

Données Personnelles : Toute information se rapportant à une personne physique identifiée ou identifiable (Article 4 du RGPD).

Données de Catégorie Particulière : Données personnelles particulièrement sensibles selon l’Article 9 du RG Hardly Parsed Data (par exemple, santé, thérapie ou état de santé mentale).

Traitement : Toute opération effectuée sur des données personnelles (par exemple, collecte, stockage, utilisation, transmission).

Personne Concernée : La personne physique dont les données personnelles sont traitées (c’est-à-dire vous, notre patient/client).

Thérapeute : Un professionnel de santé mentale agréé, conseiller ou psychologue travaillant chez ou avec Solstice Psychologues.

Entrelacs : Un outil d’évaluation numérique tiers qui peut collecter ou stocker des données personnelles (par exemple, réponses aux enquêtes) dans des conditions conformes au RGPD.

Dossier Médical Partagé (DMP) : Système français de dossier médical partagé.

Hébergeur de Données de Santé (HDS) : Un hébergeur certifié répondant aux exigences françaises pour le stockage/traitement des données médicales.

5. Données que Nous Collectons

5.1 Données d’Identification et de Contact

Nom, Adresse, Téléphone, Email : Nécessaires pour gérer vos rendez-vous, la facturation et les communications.

Date de naissance : Pour l’identification et la conformité à certaines exigences administratives ou de soins de santé.

5.2 Informations de Santé et de Thérapie (Données de Catégorie Particulière)

Notes Cliniques : Résumés des séances de thérapie, progrès thérapeutiques, évaluations liées à l’attachement, etc.

Données d’Évaluation : Réponses aux questionnaires ou aux outils basés sur l’IA (par exemple, Entrelacs), capturant des détails sur le bien-être émotionnel, la qualité des relations ou d’autres facteurs psychosociaux.

Informations de Référence : Si un autre professionnel vous réfère, nous pouvons avoir des lettres de référence ou des notes médicales avec votre consentement.

5.3 Données Administratives et Financières

Facturation et Paiement : Informations pour les factures, reçus, éventuellement données partielles de carte de paiement (si vous payez électroniquement), coordonnées bancaires (pour les remboursements directs ou les dépôts).

Détails d’Assurance : Le cas échéant (par exemple, mutuelle ou assurance complémentaire).

5.4 Données Techniques (Interactions Numériques)

Adresse IP, Informations sur l’Appareil, Type de Navigateur : Collectées lors de la navigation sur notre site web ou portail numérique.

Cookies : Petits fichiers texte pour la gestion des sessions, l’analyse ou les préférences utilisateur (Section 12).

6. Finalités et Bases Légales du Traitement

Selon le RGPD, nous devons identifier des bases juridiques valables (Articles 6 et 9 du RGPD) pour traiter vos données :

  • Consentement (Article 6(1)(a) ; 9(2)(a))
    Pour collecter vos informations de santé sensibles via des formulaires numériques ou des questionnaires d’auto-évaluation. Pour les communications marketing optionnelles (par exemple, newsletters ou promotions d’ateliers).
  • Exécution d’un Contrat (Article 6(1)(b))
    Fourniture de services thérapeutiques et tâches administratives connexes (rendez-vous, facturation).
  • Obligation Légale (Article 6(1)(c))
    Conformité aux réglementations françaises en matière de soins de santé, aux codes professionnels ou aux demandes légitimes des autorités publiques.
  • Intérêts Légitimes (Article 6(1)(f))
    Amélioration ou sécurisation de nos services (par exemple, analyses agrégées, sécurité informatique de la clinique). Équilibrage de nos intérêts avec vos droits et libertés fondamentaux.
  • Prestation de Soins de Santé (Article 9(2)(h))
    Traitement des données de catégorie particulière liées à votre santé physique ou mentale pour le diagnostic ou le traitement sous secret professionnel.

Bases Légales Détaillées pour Chaque Activité de Traitement

Activité de Traitement Finalité Catégorie de Données Base Légale RGPD
Services Thérapeutiques Fournir des séances de thérapie, maintenir les dossiers cliniques, suivre le traitement Données de Santé et de Thérapie (catégorie particulière) Art. 6(1)(b) (contrat de services) ; Art. 9(2)(h) (prestation de soins)
Administration et Facturation Gérer les rendez-vous, factures, traitement des paiements Données d’Identification, de Contact, Financières Art. 6(1)(b) (exécution d’un contrat)
Évaluations Numériques (ex. Entrelacs) Analyser les réponses aux questionnaires pour personnaliser la thérapie Données de Santé et de Thérapie (catégorie particulière) Art. 6(1)(a) (consentement) ou 6(1)(b) (contrat) selon le contexte ; Art. 9(2)(a) ou 9(2)(h)
Références et Soins Multidisciplinaires Échanger des informations pertinentes avec d’autres professionnels de santé (avec consentement) Données de Santé et de Thérapie (catégorie particulière) Art. 6(1)(c) (obligation légale) ou 6(1)(b) ; Art. 9(2)(h) (soins de santé)
Contrôle Qualité et Recherche Anonymiser ou agréger les données pour des examens internes ou des recherches non commerciales Données Anonymisées/Pseudonymisées Art. 6(1)(f) (intérêts légitimes) ou Art. 9(2)(j) (recherche) si identifiable
Marketing / Newsletter (optionnel) Envoyer des mises à jour, promotions ou informations sur les événements Données de Contact (email, téléphone) Art. 6(1)(a) (consentement)
Analyse du Site Web / Cookies Suivre l’engagement des utilisateurs, améliorer la fonctionnalité du site Données Techniques (IP, appareil, cookies) Art. 6(1)(a) (consentement) pour les cookies non essentiels ; Art. 6(1)(f) (intérêts légitimes) pour les journaux de sécurité
Formation IA pour Entrelacs Utiliser les réponses thérapeutiques anonymisées/pseudonymisées pour améliorer les modèles d’évaluation basés sur l’IA Données de Santé et de Thérapie (catégorie particulière) Art. 6(1)(a) (consentement) et Art. 9(2)(a) (consentement explicite)

7. Comment Nous Utilisons Vos Données

Services Thérapeutiques

Pour conduire la thérapie, maintenir les dossiers cliniques et suivre les progrès du traitement (par exemple, méthodes centrées sur l’attachement).

Administration et Facturation

Gestion des rendez-vous, communication des changements d’horaire, traitement des paiements et émission des factures.

Évaluations Numériques

Si vous optez pour l’utilisation d’Entrelacs ou d’outils similaires, nous stockons et analysons vos réponses aux questionnaires pour mieux adapter votre thérapie.

Utilisation des Données Clients pour la Formation de l’IA

Avec votre consentement explicite, nous pouvons utiliser vos réponses liées à la thérapie pour former et améliorer nos outils d’évaluation basés sur l’IA, comme Entrelacs. Nous appliquons des mesures de sécurité strictes pour protéger votre vie privée, telles que la pseudonymisation, le chiffrement et les contrôles d’accès. Vous pouvez retirer votre consentement à tout moment en nous contactant à hans@absl.io. Nous ne traiterons vos réponses pour la formation de l’IA que si vous donnez une permission explicite (Article 6(1)(a) et 9(2)(a) du RGPD).

Références et Soins Multidisciplinaires

Avec votre consentement explicite, nous pouvons partager ou demander certaines données avec/auprès d’autres professionnels de santé (par exemple, psychiatres, médecins généralistes) pour des soins intégrés.

Contrôle Qualité et Recherche

Nous pouvons anonymiser ou agréger les données cliniques pour des examens internes, l’amélioration de la clinique ou la recherche non commerciale, en veillant toujours à ce que les données ne puissent pas vous identifier.

Conformité Légale et Sécurité

Si la loi l’exige ou pour protéger la vie ou le bien-être de quelqu’un, nous pouvons divulguer les données minimales nécessaires à l’autorité compétente.

8. Partage des Données

Nous respectons strictement :

  • L’Article L1110-4 du Code de la Santé Publique (secret médical)
  • Le Code de Déontologie des Psychologues français
  • Les exigences du RGPD pour les données de catégorie particulière

8.1 Personnel Interne de la Clinique

Thérapeutes et Personnel Administratif : Accès à vos données selon le principe du “besoin d’en connaître”.

8.2 Tiers et Prestataires de Services

Hébergement des Données de Santé

Actuellement, nous ne stockons aucune donnée de santé.

Une fois que notre clinique aura démarré son activité, nos données de santé seront stockées exclusivement auprès de prestataires certifiés “Hébergeur de Données de Santé” (HDS) conformément à l’Article L.1111-8 du Code de la Santé Publique. Notre(s) hébergeur(s) certifié(s) HDS :

Nom(s) du/des Prestataire(s) : Google Cloud Platform

Numéro(s) de Certification HDS : 2012-001b

Validité de la Certification : En vigueur du 15 mai 2021, avec une date d’expiration au 15 mai 2024

Outils Numériques : Par exemple, Entrelacs, utilisé dans le cadre d’Accords de Traitement des Données garantissant la conformité au RGPD.

Prestataires IT/Hébergement : Serveurs sécurisés ou services cloud qui hébergent ou traitent vos données ; nous exigeons qu’ils maintiennent des mesures strictes de confidentialité et de sécurité.

Processeurs de Paiement : Si vous payez par carte de crédit ou virement bancaire, les données financières pertinentes sont traitées par des prestataires conformes aux normes PCI-DSS et au RGPD.

8.3 Autres Professionnels de Santé

Orientation / Coordination des Soins : Partagées uniquement avec votre consentement préalable ou si médicalement critique.

8.4 Autorités Légales/Réglementaires

Si Requis par la Loi : Nous pouvons divulguer les données pertinentes pour satisfaire aux obligations légales, ordonnances judiciaires ou protéger les droits.

8.5 Transferts d’Entreprise

Changements de Propriété de la Clinique : Si la clinique fusionne ou est acquise, vos données restent protégées selon des conditions similaires. Vous serez informé de tout changement significatif de propriété.

9. Transferts Internationaux de Données

Localisation Principale des Données : France (ou serveurs basés dans l’EEE) avec Google Cloud Platform.

Transferts Occasionnels Hors EEE : Si nous utilisons un service tiers (par exemple, un fournisseur de messagerie basé sur le cloud) dont les serveurs sont situés hors de l’EEE, nous garantissons :

  • Clauses Contractuelles Types (CCT) en place, ou
  • Décision d’Adéquation (si le pays est reconnu par la Commission européenne comme offrant un niveau de protection des données adéquat), ou
  • Tout autre mécanisme de transfert approuvé par le RGPD.

Note : Nous vous informerons de tout changement substantiel dans nos flux de données transfrontaliers, y compris le pays de destination et les garanties applicables.

10. Sécurité des Données

10.1 Mesures Techniques et Organisationnelles

Nous prenons des mesures techniques et organisationnelles pour protéger vos données personnelles :

  • Chiffrement : Protocoles sécurisés (HTTPS/TLS) pour les transferts de données, chiffrement au repos lorsque possible.
  • Contrôles d’Accès : Accès basé sur les rôles, politiques de mots de passe et authentification multi-facteurs pour le personnel manipulant des données sensibles.
  • Sécurité Physique : Accès restreint aux locaux de la clinique et fichiers/armoires verrouillés pour les dossiers papier.
  • Audit et Tests : Évaluations périodiques de sécurité, analyses de vulnérabilité et formation du personnel.
  • Réponse aux Incidents : En cas de violation des données personnelles, nous suivons notre plan de réponse et notifions la CNIL (Commission Nationale de l’Informatique et des Libertés) et les personnes concernées si le risque est élevé.

10.2 Notifications de Violation de Données

En cas de violation de données :

  • Nous notifierons la CNIL dans les 72 heures.
  • Les patients concernés seront notifiés sans délai injustifié si le risque est élevé.
  • Méthodes de notification : email et/ou courrier recommandé.
  • Informations fournies : nature de la violation, conséquences probables, mesures prises.

11. Conservation des Données

Nous conservons les dossiers conformément à la réglementation française en matière de santé :

  • Dossiers Adultes : 20 ans à compter de la dernière consultation.
  • Dossiers Mineurs : Jusqu’au 28ème anniversaire du patient (si la dernière consultation a eu lieu avant 18 ans).
  • Patients Décédés : 10 ans à compter de la date du décès.
  • Données d’Évaluation Numérique : Alignées sur les périodes de conservation des dossiers médicaux ci-dessus ou jusqu’à ce que vous demandiez leur suppression (sauf si les obligations légales exigent le contraire).
  • Documents Financiers : 10 ans (exigences comptables françaises).
  • Données de Formation IA : Si vous consentez à l’utilisation de vos données pour la formation de l’IA, elles peuvent être conservées jusqu’à la fin du processus de formation ou pendant une durée maximale de 5 ans, après quoi elles seront définitivement supprimées ou anonymisées.
  • Les données anonymisées peuvent être conservées indéfiniment à des fins statistiques ou d’assurance qualité.

12. Cookies et Outils en Ligne

Lors de l’utilisation de notre site web ou portail numérique, nous utilisons des cookies pour améliorer votre expérience et nos services. Nous suivons les directives de la CNIL (Commission Nationale de l’Informatique et des Libertés) pour assurer la conformité avec la réglementation française sur la protection des données.

12.1 Types de Cookies que Nous Utilisons

Cookies Nécessaires : Permettent les fonctionnalités essentielles du site web telles que la connexion sécurisée, la continuité de session et les fonctionnalités d’accessibilité. Aucun consentement n’est requis pour ces cookies.

Cookies d’Analyse (Optionnels) : Utilisés pour suivre l’engagement des utilisateurs, analyser le trafic du site web et améliorer l’expérience utilisateur. Votre consentement explicite est requis avant que ces cookies ne soient placés.

Cookies de Préférence : Stockent votre langue, localisation et autres préférences pour personnaliser votre expérience.

12.2 Gestion du Consentement aux Cookies

Nous fournissons un mécanisme de consentement aux cookies transparent et convivial conforme aux exigences de la CNIL :

  • Collecte du Consentement : Avant de placer des cookies non essentiels, nous obtenons votre consentement explicite via une bannière contextuelle ou un outil de gestion du consentement.
  • Retrait du Consentement : Vous pouvez examiner, retirer ou modifier vos préférences de cookies à tout moment via le lien ou outil de paramétrage des cookies.
  • Conservation et Révision : Vos préférences de cookies sont stockées pour une durée limitée, après laquelle nous pouvons vous demander de renouveler votre consentement.

13. Vos Droits

13.1 Droits en vertu du RGPD et de la loi française

En vertu du RGPD et de la loi française, vous avez le droit de :

  • Accès (y compris selon l’Article L1111-7) : Recevoir une copie de vos données, y compris les dossiers médicaux.
  • Rectification : Demander des corrections des données inexactes ou incomplètes.
  • Effacement (Droit à l’Oubli) : Demander la suppression de vos données dans certaines circonstances, sauf si la conservation est requise par la loi.
  • Limitation du Traitement : Limiter temporairement l’utilisation de vos données si vous contestez leur exactitude ou leur licéité.
  • Portabilité des Données : Recevoir vos données dans un format structuré, couramment utilisé ou les faire transférer à un autre prestataire, si techniquement possible.
  • Opposition : S’opposer au traitement basé sur des intérêts légitimes ou le marketing direct.
  • Retrait du Consentement : Si nous nous appuyons sur le consentement, vous pouvez le retirer à tout moment (cela n’affecte pas le traitement passé effectué légalement).
  • Porter Plainte : Si vous estimez que nous violons vos droits, vous pouvez déposer une plainte auprès de la CNIL (www.cnil.fr).
  • Droit de Retrait du Consentement pour la Formation IA : Si vous avez précédemment accepté que nous utilisions vos données anonymisées pour la formation d’Entrelacs, vous pouvez retirer votre consentement à tout moment en nous contactant à prakhar@absl.io.

13.2 Accès aux Dossiers Médicaux

Conformément à l’Article L1111-7 du Code de la Santé Publique, vous avez le droit d’accéder à vos dossiers médicaux directement ou par l’intermédiaire d’un médecin de votre choix. Cet accès sera fourni dans un délai de :

  • 8 jours pour les dossiers de moins de 5 ans
  • 2 mois pour les dossiers plus anciens

Les dossiers médicaux peuvent être fournis par email crypté, en personne à notre clinique, ou envoyés par courrier recommandé (frais d’expédition éventuels).

13.3 Comment Exercer Vos Droits

Soumettre une Demande

Email : prakhar@absl.io

Vérification d’Identité

Nous pouvons demander une copie d’une pièce d’identité valide (par exemple, passeport, permis de conduire) pour nous assurer de ne divulguer les données qu’à la bonne personne.

Accusé de Réception de la Demande

Dans les X jours ouvrables, nous confirmerons la réception de votre demande et fournirons un numéro de référence pour le suivi.

Évaluation et Exécution

Nous évaluerons votre demande selon le RGPD et la loi française. Si aucune exemption ne s’applique, nous procéderons à son exécution.

Délai de Réponse

En général, nous répondons dans un délai d’un (1) mois à compter de la date de réception de votre demande vérifiée. Si la demande est complexe ou si vous avez fait plusieurs demandes, ce délai peut être prolongé jusqu’à deux (2) mois supplémentaires, mais nous vous informerons de toute prolongation et de ses motifs.

Fourniture des Informations

Nous pouvons fournir vos données par voie électronique (email crypté) ou par courrier.

Droit de Recours

Si vous n’êtes pas d’accord avec notre réponse ou si vous estimez que vos droits en matière de données ont été violés, vous pouvez contacter la CNIL (www.cnil.fr) ou chercher un recours judiciaire.

14. Données des Enfants

Âge Minimum : Nos services sont généralement destinés aux personnes de 18 ans et plus, ou aux mineurs plus jeunes s’ils sont accompagnés d’un parent/tuteur.

Consentement Parental : Nous exigeons l’autorisation du tuteur légal pour toute personne de moins de 18 ans.

Conservation : Les dossiers des enfants sont souvent soumis à des périodes de conservation prolongées conformément à la loi française.

Données des Mineurs : Pour les patients de moins de 18 ans :

  • Méthode de vérification : pièce d’identité officielle du parent/tuteur
  • Processus d’authentification double pour les outils en ligne
  • Formulaires de consentement spéciaux pour les évaluations numériques
  • Exigences régulières de renouvellement du consentement

15. Prise de Décision Automatisée / Profilage

Outils Consultatifs Uniquement : Nos plateformes d’évaluation numérique (par exemple, Entrelacs) peuvent utiliser des algorithmes pour fournir des aperçus ou des scores préliminaires concernant les styles d’attachement ou les indicateurs de santé mentale.

Surveillance par un Thérapeute : Toutes les décisions finales et les plans de traitement sont pris par un thérapeute ou psychologue humain agréé.

Droit à l’Examen Humain : Si vous avez des préoccupations concernant des suggestions automatisées, vous pouvez demander un examen complet et une explication à votre thérapeute.

Pas d’Effets Juridiques ou Significatifs : Les résultats des outils d’IA ou autres outils automatisés ne produisent pas d’effets juridiques ou similairement significatifs sur vos droits ou votre accès aux soins de santé.

16. Responsabilité Professionnelle et Assurance

Nous maintenons une assurance responsabilité professionnelle conformément à la réglementation française pour les psychologues/thérapeutes. Cela peut s’étendre aux obligations découlant des violations de la protection des données. Cependant, cela n’affecte pas votre droit de poursuivre des recours juridiques si vous estimez que vos droits en matière de protection des données ont été violés.

17. Audits Internes et Surveillance de la Conformité

Nous auditons périodiquement nos pratiques de protection des données pour assurer la conformité avec le RGPD, le Code de la Santé Publique français et les codes professionnels pertinents. Tout écart ou problème identifié est traité rapidement.

Notre surveillance de la conformité comprend :

  • Audits internes annuels
  • Examens annuels du DPO
  • Sessions régulières de formation du personnel

18. Mises à Jour de la Politique

Nous pouvons modifier cette Politique de Confidentialité pour refléter :

  • Les changements réglementaires en matière de protection des données ou de droit de la santé
  • Les mises à jour opérationnelles ou nouveaux services proposés
  • Les améliorations techniques/de sécurité

Lorsque des changements substantiels sont effectués, nous vous en informerons :

  • Par email (si fourni)
  • Via un avis sur le site web (par exemple, bannière ou pop-up)

La date de “Dernière Mise à Jour” en haut indique quand les révisions ont pris effet. En continuant à utiliser nos services après l’entrée en vigueur des modifications, vous acceptez la Politique révisée.

19. Protocoles d’Urgence

En cas d’incapacité du thérapeute ou de situation d’urgence :

Thérapeute de Secours Désigné : daniela@solsticepsy.fr

Accès d’Urgence aux Données : Accordé uniquement sous stricte confidentialité, conformément à l’Article L1110-4. L’accès d’urgence aux données ne sera accordé que dans les cas où la continuité des soins est en danger et sera enregistré dans notre système à des fins d’audit.

20. Nous Contacter et Réclamations

Pour toute question ou préoccupation concernant cette Politique de Confidentialité, ou pour exercer vos droits sur vos données :

Email : prakhar@absl.io

Vous pouvez également contacter la CNIL (www.cnil.fr) si vous estimez que vos données personnelles ont été traitées de manière inappropriée.

21. Accessibilité Linguistique

Cette politique de confidentialité est disponible en :

  • Français (version principale)

22. Contrôle des Versions et Approbation

Version Date Auteur / Révisé Par Modifications
1.0 02/04/2025 Prakhar Srivastava, Yacine Bouatrous, et Hans Rocha IJzerman Publication Initiale de la Politique

Propriétaire de la Politique : Annecy Behavioral Science Lab, Actionnaire Principal