Politique de Confidentialité et de Protection des Données Personnelles
Application Ocureo — Éditée par Dokitek
Date de dernière mise à jour : 4 mars 2026 Version : 2.0
1. Préambule
La société Dokitek (ci-après « Dokitek », « nous », « notre ») édite l’application Ocureo, un logiciel de gestion de bilans orthoptiques destiné aux orthoptistes. Dokitek édite également les applications TVPS Calc, Easy DEM et MVPT Calc.
La présente politique de confidentialité a pour objet de vous informer de manière transparente sur les traitements de données personnelles que nous réalisons, conformément au :
- Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (« RGPD ») ;
- Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée (« Loi Informatique et Libertés ») ;
- Code de la santé publique, notamment ses dispositions relatives à l’hébergement de données de santé (articles L.1110-4, L.1111-8).
Cette politique s’applique :
- à l’utilisation de l’application Ocureo (logiciel desktop macOS et Windows) ;
- à la navigation sur le site web ocureo.com ;
- à toute interaction avec nos services (support, formulaires, inscription).
2. Définitions
| Terme | Définition |
|---|---|
| Données personnelles | Toute information se rapportant à une personne physique identifiée ou identifiable (article 4.1 RGPD). |
| Données de santé | Données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne (article 4.15 RGPD). |
| Responsable de traitement | La personne physique ou morale qui détermine les finalités et les moyens du traitement de données personnelles (article 4.7 RGPD). |
| Sous-traitant | La personne physique ou morale qui traite des données personnelles pour le compte du responsable de traitement (article 4.8 RGPD). |
| Utilisateur | Tout professionnel de santé (orthoptiste) utilisant l’application Ocureo. |
| Patient | Toute personne dont les données de santé sont saisies dans l’application Ocureo par un Utilisateur dans le cadre de sa prise en charge. |
3. Responsable de traitement
3.1 Identité
| Information | Détail |
|---|---|
| Dénomination sociale | Dokitek |
| Forme juridique | SARL |
| Siège social | 81 chemin de Lasgraves, 32490 Marestaing |
| SIRET | 980 959 472 00021 |
| RCS | 980 959 472 R.C.S. Auch |
| Email de contact | julien@dokitek.com |
3.2 Distinction des rôles
La qualification de responsable de traitement et de sous-traitant dépend du contexte :
| Contexte | Rôle de Dokitek | Rôle de l’Utilisateur (orthoptiste) |
|---|---|---|
| Données de compte, abonnement et facturation | Responsable de traitement | Personne concernée |
| Données de navigation sur ocureo.com | Responsable de traitement | Personne concernée |
| Données de santé des patients | N’intervient pas — Les données de santé sont stockées exclusivement en local sur l’ordinateur de l’Utilisateur. Dokitek n’y a pas accès. | Responsable de traitement |
| Données d’authentification | Délègue intégralement à AWS Cognito (sous-traitant, voir section 7.3). Dokitek ne collecte, ne stocke et n’a pas accès aux mots de passe ni aux tokens de session. | Personne concernée |
Précision importante : Dans sa conception actuelle, Ocureo stocke l’intégralité des données patients (bilans orthoptiques, mesures, observations) exclusivement sur l’ordinateur de l’Utilisateur, dans une base de données locale. Ces données ne transitent pas par les serveurs de Dokitek et ne sont pas accessibles par Dokitek. Le praticien orthoptiste est seul responsable de traitement pour les données de santé de ses patients.
4. Référent Protection des Données
Dokitek a désigné un référent interne chargé de la protection des données personnelles.
| Information | Détail |
|---|---|
| Fonction | Référent Protection des Données |
| julien@dokitek.com | |
| Adresse postale | 81 chemin de Lasgraves, 32490 Marestaing |
Pour toute question relative à la protection de vos données personnelles ou pour exercer vos droits, vous pouvez contacter le référent à l’adresse indiquée ci-dessus.
5. Données collectées
5.1 Données collectées via l’application Ocureo
| Catégorie | Données | Finalité |
|---|---|---|
| Données d’identification du compte | Adresse email | Création et gestion du compte utilisateur |
| Données d’authentification | Identifiants de connexion (email, mot de passe), tokens de session | Authentification — intégralement déléguée à AWS Cognito (voir section 7.3). Dokitek ne collecte ni ne stocke les mots de passe. |
| Données professionnelles | Nom du cabinet, informations professionnelles saisies dans les paramètres | Personnalisation de l’application et des rapports |
| Données d’abonnement | Type d’abonnement, dates de début et fin, statut | Gestion de l’accès au service |
| Données techniques | Identifiant de l’appareil, système d’exploitation, version de l’application | Gestion des appareils autorisés, support technique, sécurité |
| Données de santé des patients | Identité du patient, bilans orthoptiques, mesures, observations cliniques | Stockées exclusivement en local — Dokitek n’y a pas accès |
5.2 Données collectées via le site web ocureo.com
| Catégorie | Données | Finalité |
|---|---|---|
| Formulaire de contact | Nom, adresse email, message | Répondre à votre demande de contact |
| Données de navigation | Pages visitées, durée des visites, appareil, navigateur | Analyse de fréquentation et amélioration du site |
| Préférence de thème | Choix du thème clair/sombre (stocké en localStorage, pas un cookie) | Mémorisation de votre préférence d’affichage |
6. Finalités et bases légales du traitement
Conformément aux articles 6 et 9 du RGPD, chaque traitement repose sur une base légale spécifique.
6.1 Traitements liés à l’application Ocureo
| Finalité | Données concernées | Base légale (art. 6 RGPD) | Durée de conservation |
|---|---|---|---|
| Gestion du compte utilisateur | Exécution du contrat (art. 6.1.b) | Durée de l’abonnement + 3 ans après la fin du contrat | |
| Authentification et sécurité | Email (identifiant de connexion), identifiant d’appareil. Les mots de passe et tokens de session sont gérés exclusivement par AWS Cognito (voir section 7.3). | Exécution du contrat (art. 6.1.b) et intérêt légitime (art. 6.1.f) — sécurité du service | Durée de la session (tokens gérés par Cognito) ; 1 an (logs de connexion) |
| Gestion des abonnements | Type d’abonnement, statut, dates | Exécution du contrat (art. 6.1.b) | Durée de l’abonnement + 10 ans (obligations comptables) |
| Facturation | Données de paiement (traitées par le prestataire de paiement) | Obligation légale (art. 6.1.c) — Code général des impôts | 10 ans à compter de la transaction |
| Gestion des appareils autorisés | Identifiant d’appareil, nom, système d’exploitation | Exécution du contrat (art. 6.1.b) | Durée de l’abonnement |
| Support technique | Email, échanges de support, données techniques | Exécution du contrat (art. 6.1.b) | 3 ans après le dernier contact |
| Amélioration du service | Données techniques anonymisées | Intérêt légitime (art. 6.1.f) — amélioration de l’application | 12 mois |
6.2 Traitements liés au site web ocureo.com
| Finalité | Données concernées | Base légale (art. 6 RGPD) | Durée de conservation |
|---|---|---|---|
| Formulaire de contact | Nom, email, message | Intérêt légitime (art. 6.1.f) — répondre à une demande de contact | 3 ans après le dernier contact |
| Communication commerciale | Consentement (art. 6.1.a) | Jusqu’au retrait du consentement ou 3 ans après le dernier contact | |
| Sécurité du site | Logs serveur, adresses IP | Intérêt légitime (art. 6.1.f) — sécurité | 12 mois |
6.3 Note sur les données de santé (article 9 RGPD)
Les données de santé constituent une catégorie particulière de données personnelles bénéficiant d’un régime de protection renforcé en vertu de l’article 9 du RGPD. Leur traitement n’est autorisé que dans les cas limitativement énumérés par l’article 9.2.
Dans le cas d’Ocureo : les données de santé des patients sont stockées et traitées exclusivement en local sur l’ordinateur du praticien orthoptiste. Dokitek ne collecte pas, ne stocke pas et n’a pas accès à ces données. Le praticien orthoptiste, en sa qualité de professionnel de santé soumis au secret professionnel (article L.1110-4 du Code de la santé publique), est seul responsable de traitement pour ces données.
Le traitement de ces données par le praticien est fondé sur l’article 9.2.h du RGPD (traitement nécessaire aux fins de la médecine préventive, des diagnostics médicaux, de la prise en charge sanitaire, par un professionnel de santé soumis au secret professionnel).
7. Protection des données dès la conception (article 25 RGPD)
Conformément à l’article 25 du RGPD, Ocureo intègre la protection des données personnelles dès la phase de conception de l’application et par défaut.
7.1 Architecture locale-first (Privacy by Design)
L’architecture d’Ocureo a été conçue pour minimiser la circulation des données personnelles :
- Stockage local des données de santé : l’intégralité des données patients (bilans, mesures, observations cliniques) est stockée dans une base de données locale sur l’ordinateur de l’Utilisateur. Aucune donnée de santé ne transite par nos serveurs.
- Fonctionnement hors connexion : l’application reste pleinement fonctionnelle sans connexion internet pour toutes les fonctionnalités cliniques (saisie, consultation, génération de rapports).
- Séparation des données : les données d’authentification et d’abonnement (seules données transitant par nos serveurs) sont strictement séparées des données de santé.
7.2 Minimisation des données (Privacy by Default)
- Seules les données strictement nécessaires au fonctionnement du service sont collectées côté serveur (email, statut d’abonnement, identifiant d’appareil).
- Les fonctionnalités optionnelles (analyses automatiques dans les bilans) sont désactivables par l’Utilisateur pour chaque examen.
- Aucun traitement automatisé de profilage n’est effectué sur les données.
7.3 Délégation de l’authentification à AWS Cognito
L’intégralité de la gestion des identités et de l’authentification est déléguée à AWS Cognito, un service managé d’Amazon Web Services. Ce choix architectural est fondamental : Dokitek ne développe, ne maintient et n’héberge aucune infrastructure d’authentification. Les mots de passe, tokens de session et mécanismes de sécurité associés sont entièrement pris en charge par AWS Cognito, sans que Dokitek n’y ait accès.
Pourquoi cette délégation renforce la sécurité : en confiant l’authentification à AWS Cognito, Dokitek s’appuie sur un prestataire dont l’infrastructure est auditée en continu par des organismes indépendants et certifiée selon les référentiels suivants :
| Certification | Pertinence |
|---|---|
| ISO/IEC 27001:2022 | Système de management de la sécurité de l’information |
| ISO/IEC 27017:2015 | Contrôles de sécurité spécifiques au cloud |
| ISO/IEC 27018:2019 | Protection des données personnelles dans le cloud |
| ISO/IEC 27701:2019 | Management de la vie privée (aligné RGPD) |
| SOC 1, 2, 3 | Contrôles de sécurité, disponibilité et confidentialité audités |
| HDS | Hébergement de données de santé (région Europe — Paris) |
| C5 | Cloud Computing Compliance Criteria Catalogue (BSI, Allemagne) |
Cette approche offre aux utilisateurs d’Ocureo des garanties de sécurité qu’une implémentation interne ne pourrait atteindre avec le même niveau d’assurance et d’audit indépendant. Les rapports de conformité AWS sont disponibles via le programme AWS Artifact.
7.4 Autres mesures de sécurité
- Chiffrement en transit : toutes les communications entre l’application et nos serveurs sont chiffrées (TLS 1.2+).
- Gestion des appareils : le nombre d’appareils autorisés est limité et contrôlable par l’Utilisateur et l’administrateur du cabinet.
- Séparation des données : les données d’authentification (gérées par Cognito) et les données de santé (stockées localement) ne coexistent jamais sur le même système.
8. Destinataires et sous-traitants
8.1 Catégories de destinataires
Les données personnelles peuvent être communiquées aux catégories de destinataires suivantes :
- Personnel habilité de Dokitek : dans la stricte mesure nécessaire à l’exécution de leurs missions (support technique, gestion des comptes).
- Sous-traitants techniques : prestataires intervenant pour le compte de Dokitek, dans le cadre de contrats conformes à l’article 28 du RGPD (voir section 8.2).
- Autorités compétentes : sur réquisition judiciaire ou administrative, dans les cas prévus par la loi.
8.2 Liste des sous-traitants
Dokitek fait appel aux sous-traitants suivants pour le fonctionnement de ses services :
| Sous-traitant | Fonction | Données concernées | Localisation | Garanties |
|---|---|---|---|---|
| Amazon Web Services (AWS) | Hébergement de l’infrastructure serveur, service d’authentification (Cognito), envoi d’emails transactionnels (SES), hébergement du site web (S3 + CloudFront) | Données de compte (email, mot de passe chiffré, tokens), données d’abonnement, identifiants d’appareils, données de navigation (logs CloudFront) | UE (région Paris, eu-west-3) | Clauses contractuelles types (CCT), DPA AWS, certifications ISO 27001, SOC 2, HDS |
| Stripe | Traitement des paiements | Données de paiement (numéro de carte, etc.) — Dokitek ne stocke pas les données de carte bancaire | UE / États-Unis | EU-US Data Privacy Framework (DPF), certification PCI-DSS, CCT |
| Brevo (Sendinblue) | Envoi d’emails marketing (newsletters) | Email, statistiques d’ouverture et de clics | France (UE) | Données hébergées en UE, DPA Brevo, certifications ISO 27001 |
| Cloudflare, Inc. | Protection anti-spam du formulaire de contact (Turnstile) | Aucune donnée personnelle stockée par Cloudflare — le service fonctionne sans cookies et sans collecte d’identifiants | États-Unis | EU-US Data Privacy Framework (DPF), CCT, certifications ISO 27001, SOC 2 |
| Google LLC | Mesure d’audience du site web (Google Analytics 4, via Google Tag Manager) — uniquement après consentement explicite de l’utilisateur | Données de navigation anonymisées : pages visitées, durée de visite, source de trafic, type d’appareil, pays. Adresse IP anonymisée. Aucune donnée personnelle identifiante. | États-Unis | EU-US Data Privacy Framework (DPF), CCT, certifications ISO 27001, SOC 2 |
Engagement de Dokitek : nous nous engageons à informer nos Utilisateurs de tout changement significatif dans la liste des sous-traitants. La liste à jour est consultable dans la présente politique.
Aucun sous-traitant n’a accès aux données de santé des patients, celles-ci étant stockées exclusivement en local sur l’ordinateur de l’Utilisateur.
9. Transferts de données hors de l’Union européenne
9.1 Principe
Les données personnelles traitées par Dokitek sont hébergées au sein de l’Union européenne (région AWS Paris, eu-west-3).
9.2 Transferts encadrés
Certains sous-traitants sont des sociétés américaines (Stripe, Cloudflare). Lorsque des offres régionalisées existent, Dokitek privilégie systématiquement les instances européennes : Stripe traite les paiements via son entité européenne (Stripe Payments Europe, Ltd., Irlande), et les données de paiement des clients européens sont traitées au sein de l’UE. L’infrastructure AWS est hébergée dans la région Europe — Paris (eu-west-3). Les transferts résiduels vers les États-Unis sont encadrés par les mécanismes suivants, conformément au chapitre V du RGPD :
- EU-US Data Privacy Framework (DPF) : décision d’adéquation de la Commission européenne du 10 juillet 2023 pour les entités certifiées ;
- Clauses contractuelles types (CCT) : adoptées par la Commission européenne, intégrées aux contrats avec chaque sous-traitant ;
- Mesures supplémentaires : chiffrement des données en transit et au repos, minimisation des données transférées.
9.3 Garanties spécifiques
Dokitek s’engage à :
- évaluer régulièrement le niveau de protection offert par les pays destinataires ;
- suspendre les transferts si les garanties ne sont plus jugées suffisantes ;
- privilégier systématiquement des sous-traitants établis dans l’UE lorsque cela est possible.
10. Durées de conservation
Les données personnelles sont conservées pour une durée proportionnée à la finalité du traitement.
| Catégorie de données | Base active | Archivage intermédiaire | Durée totale | Référence |
|---|---|---|---|---|
| Données de compte utilisateur | Durée de l’abonnement | 3 ans après résiliation | 3 ans après fin de contrat | Prescription civile |
| Données de facturation | Durée du contrat | 10 ans après la transaction | 10 ans | Art. L.123-22 Code de commerce, Code général des impôts |
| Données de support | Durée du traitement de la demande | 3 ans après le dernier échange | 3 ans | Prescription civile |
| Logs de connexion | 1 an | — | 1 an | LCEN |
| Formulaire de contact (nom, email, message) | Durée du traitement de la demande | — | 3 ans après le dernier contact | Doctrine CNIL |
| Données de santé des patients (stockées localement par le praticien) | Voir note ci-dessous | — | — | — |
Note sur les données de santé : les données de santé étant stockées localement sur l’ordinateur du praticien, Dokitek n’en assure pas la conservation. Nous rappelons aux Utilisateurs que le référentiel CNIL applicable aux cabinets médicaux et paramédicaux préconise une conservation des dossiers patients de 20 ans à compter de la dernière prise en charge (5 ans en base active + 15 ans en archivage intermédiaire). Il appartient à chaque praticien de s’assurer du respect de ces durées.
À l’expiration des durées de conservation, les données sont supprimées ou anonymisées de manière irréversible.
11. Sécurité des données
11.1 Mesures techniques
- Chiffrement des communications : protocole TLS 1.2+ pour toutes les communications client-serveur.
- Authentification déléguée à AWS Cognito : l’authentification est intégralement assurée par AWS Cognito, service bénéficiant des certifications ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3, HDS et C5 (voir section 7.3). Dokitek ne développe, ne stocke et n’a accès à aucun mot de passe ni token de session.
- Séparation des environnements : environnements de développement, test et production strictement séparés.
- Contrôle d’accès : système de permissions basé sur les rôles, limitation du nombre d’appareils autorisés par compte.
- Infrastructure hébergée en UE : serveurs situés dans la région AWS Paris (eu-west-3), bénéficiant des certifications ISO 27001, SOC 2 et HDS.
11.2 Mesures organisationnelles
- Accès aux données limité au personnel strictement habilité.
- Sensibilisation à la protection des données personnelles.
- Procédures de gestion des incidents de sécurité.
11.3 Notification des violations de données
Conformément aux articles 33 et 34 du RGPD, en cas de violation de données personnelles :
- Dokitek notifiera la CNIL dans un délai de 72 heures après en avoir pris connaissance, si la violation est susceptible d’engendrer un risque pour les droits et libertés des personnes concernées ;
- Les personnes concernées seront informées dans les meilleurs délais si la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés.
11.4 Note sur l’hébergement des données de santé (HDS)
La certification HDS (article L.1111-8 du Code de la santé publique) encadre l’hébergement externalisé de données de santé à caractère personnel. Elle couvre six activités distinctes, depuis la mise à disposition de l’infrastructure physique (activités 1-2) jusqu’à l’administration du système d’information contenant les données de santé (activité 5) et la sauvegarde externalisée (activité 6). La conformité HDS ne se limite pas au recours à un hébergeur d’infrastructure certifié : un éditeur de logiciel qui administre un système contenant des données de santé à caractère personnel doit lui-même être certifié pour l’activité 5 (« administration et exploitation du système d’information de santé »), conformément au référentiel HDS en vigueur (arrêté du 26 avril 2024).
Dans le cas d’Ocureo, cette question ne se pose pas : les données de santé des patients sont stockées exclusivement en local sur l’ordinateur du praticien. Elles ne sont pas hébergées sur l’infrastructure de Dokitek, ne transitent pas par nos serveurs et ne sont pas administrées par Dokitek. En l’absence d’hébergement externalisé de données de santé à caractère personnel, la certification HDS n’est pas applicable à notre activité. Cette analyse est cohérente avec la FAQ de l’Agence du Numérique en Santé (ANS), qui confirme que la certification HDS s’applique uniquement à l’hébergement de données de santé à caractère personnel par un tiers.
Concernant les données de recherche anonymisées (section 14), celles-ci ne constituent pas des données de santé à caractère personnel au sens du RGPD (Considérant 26) et sont donc également hors du périmètre HDS. Une analyse d’anonymisation formelle, réalisée selon la méthodologie du Health Data Hub et les critères de la CNIL, est disponible sur demande (voir section 14.4).
Si Dokitek devait, à l’avenir, proposer des fonctionnalités impliquant le stockage de données de santé à caractère personnel sur ses serveurs (synchronisation, sauvegarde cloud, etc.), la certification HDS serait requise — tant pour l’hébergeur d’infrastructure (activités 1 à 4) que pour Dokitek en qualité d’administrateur du système d’information (activité 5), conformément aux exigences du référentiel HDS en vigueur.
12. Vos droits
12.1 Droits garantis
Conformément au RGPD et à la Loi Informatique et Libertés, vous disposez des droits suivants :
| Droit | Description | Référence |
|---|---|---|
| Droit d’accès | Obtenir la confirmation que vos données sont traitées et en recevoir une copie | Art. 15 RGPD |
| Droit de rectification | Faire corriger des données inexactes ou compléter des données incomplètes | Art. 16 RGPD |
| Droit à l’effacement | Obtenir la suppression de vos données, sous réserve des obligations légales de conservation | Art. 17 RGPD |
| Droit à la limitation | Demander la suspension du traitement de vos données dans certains cas | Art. 18 RGPD |
| Droit à la portabilité | Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine | Art. 20 RGPD |
| Droit d’opposition | Vous opposer au traitement de vos données fondé sur l’intérêt légitime | Art. 21 RGPD |
| Droit de retirer votre consentement | Retirer à tout moment un consentement précédemment donné, sans affecter la licéité du traitement antérieur | Art. 7.3 RGPD |
| Droit de définir des directives post-mortem | Définir des directives relatives à la conservation, à l’effacement et à la communication de vos données après votre décès | Art. 85 Loi Informatique et Libertés |
12.2 Comment exercer vos droits
Vous pouvez exercer vos droits par :
- Email : julien@dokitek.com
- Courrier postal : Dokitek — Référent Protection des Données, 81 chemin de Lasgraves, 32490 Marestaing
Afin de traiter votre demande, nous pourrons vous demander de justifier de votre identité. Nous nous engageons à répondre dans un délai d’un mois à compter de la réception de votre demande. Ce délai peut être prolongé de deux mois en cas de complexité ou de nombre élevé de demandes, auquel cas vous en serez informé.
12.3 Droit de réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données personnelles n’est pas conforme à la réglementation, vous avez le droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) :
| Adresse | CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 |
| Site web | www.cnil.fr |
| Téléphone | 01 53 73 22 22 |
13. Cookies et traceurs
13.1 Site web ocureo.com
Le site web ocureo.com ne dépose actuellement aucun cookie sur votre terminal.
Le site utilise le localStorage de votre navigateur pour mémoriser votre préférence de thème (clair/sombre). Le localStorage n’est pas un cookie au sens de la directive ePrivacy : il n’est pas transmis au serveur à chaque requête et ne permet aucun suivi inter-sites.
Aucun cookie analytique, marketing ou publicitaire n’est déposé. En conséquence, aucun bandeau de consentement aux cookies n’est affiché, le site ne déposant aucun traceur soumis à consentement.
13.2 Gestion de vos préférences
Vous pouvez à tout moment supprimer la préférence de thème stockée en localStorage via les paramètres de votre navigateur (« Données de sites » ou équivalent).
Si des cookies venaient à être ajoutés à l’avenir (par exemple pour des outils analytiques), un bandeau de consentement conforme aux recommandations de la CNIL serait mis en place préalablement à tout dépôt.
13.3 Application Ocureo
L’application desktop Ocureo n’utilise pas de cookies ni de traceurs. Aucune donnée de navigation ou d’usage n’est collectée par l’application à des fins analytiques.
Pour plus de détails, consultez notre Politique Cookies.
14. Recherche et données anonymisées
Ocureo propose une fonctionnalité optionnelle permettant de contribuer à la recherche en orthoptie à partir de données cliniques anonymisées. Cette section décrit les modalités de cette collecte.
14.1 Principe général
Lorsque le praticien active la fonctionnalité de recherche, certaines mesures cliniques structurées (valeurs numériques, énumérations, booléens) peuvent être transmises à Dokitek sous forme intégralement anonymisée. Les données sont anonymisées de manière irréversible directement sur l’appareil du praticien, avant toute transmission. Aucune donnée à caractère personnel (nom, date de naissance, coordonnées, identifiant patient, texte libre, photographies) ne quitte l’appareil.
14.2 Consentement
La participation repose sur un double opt-in explicite :
- Opt-in praticien : le praticien active volontairement la fonctionnalité dans les paramètres de l’application ou lors de la configuration initiale. Il peut la désactiver à tout moment, avec effet immédiat.
- Consentement patient par bilan : pour chaque bilan, le praticien confirme avoir recueilli le consentement du patient. Cette confirmation est désactivée par défaut.
14.3 Données transmises
Les données transmises se limitent à :
- L’âge du patient en années et mois (calculé localement — ni la date de naissance ni la date du bilan ne sont transmises) ;
- Le sexe (M / F / non spécifié) ;
- Le type de bilan réalisé et la liste des sous-tests ;
- Les mesures cliniques structurées de chaque sous-test (valeurs numériques, énumérations et booléens uniquement).
Sont explicitement exclus : tout identifiant patient, toute date, toute métadonnée praticien ou cabinet, tout champ de texte libre (observations, notes), tout fichier (photos, documents) et toute préférence d’affichage. Les enregistrements sont versés dans un pool unique, sans aucune segmentation par praticien, cabinet ou zone géographique.
14.4 Qualification juridique
Une analyse d’anonymisation formelle a été réalisée conformément à la méthodologie recommandée par le Health Data Hub et aux critères définis par la CNIL et le Groupe de travail « Article 29 » (Avis 05/2014, WP216). Cette analyse conclut que les données collectées satisfont les trois critères d’anonymisation effective de la CNIL :
- Individualisation : aucun identifiant direct ou stable ne permet d’isoler un individu dans le jeu de données ;
- Corrélation : aucun élément ne permet de relier deux enregistrements distincts concernant la même personne ;
- Inférence : la combinaison des données transmises ne permet pas de déduire l’identité d’un individu.
En conséquence, les données collectées dans ce cadre ne constituent pas des données à caractère personnel au sens du RGPD (Considérant 26). Le traitement n’est soumis ni au RGPD, ni à la certification HDS (article L.1111-8 du Code de la santé publique), ni aux méthodologies de référence CNIL (MR-004). L’analyse d’anonymisation complète est disponible sur demande auprès du référent protection des données.
15. Informations à destination des praticiens orthoptistes
15.1 Vos obligations en tant que responsable de traitement
En tant que professionnel de santé libéral, vous êtes responsable de traitement pour les données de santé de vos patients saisies dans Ocureo. À ce titre, le RGPD et la réglementation française vous imposent notamment :
- D’informer vos patients du traitement de leurs données (affichage en salle d’attente, remise d’un document, etc.) ;
- De garantir la sécurité des données stockées sur votre ordinateur (mot de passe de session, chiffrement du disque, sauvegarde sécurisée) ;
- De respecter les durées de conservation préconisées par le référentiel CNIL (20 ans à compter de la dernière prise en charge) ;
- De répondre aux demandes d’exercice des droits de vos patients (accès, rectification, effacement sous réserve des obligations de conservation).
15.2 Ressources utiles
- CNIL — RGPD et professionnels de santé libéraux : www.cnil.fr/fr/rgpd-et-professionnels-de-sante-liberaux
- Référentiel CNIL — Gestion de cabinet médical et paramédical : disponible sur le site de la CNIL
16. Modifications de la politique
Dokitek se réserve le droit de modifier la présente politique de confidentialité afin de l’adapter aux évolutions réglementaires, techniques ou fonctionnelles.
En cas de modification substantielle :
- La date de mise à jour en en-tête du document sera actualisée ;
- Les Utilisateurs disposant d’un compte seront informés par email au moins 15 jours avant l’entrée en vigueur des modifications ;
- La version mise à jour sera accessible sur le site ocureo.com.
Nous vous invitons à consulter régulièrement cette politique pour rester informé de nos pratiques en matière de protection des données.
17. Contact
Pour toute question relative à la présente politique ou à la protection de vos données personnelles :
| Référent Protection des Données | Dokitek |
| julien@dokitek.com | |
| Adresse postale | 81 chemin de Lasgraves, 32490 Marestaing |
18. Droit applicable
La présente politique de confidentialité est régie par le droit français. Tout litige relatif à son interprétation ou à son application sera soumis aux tribunaux compétents.
Document rédigé conformément au Règlement (UE) 2016/679 (RGPD), à la Loi n° 78-17 du 6 janvier 1978 modifiée (Loi Informatique et Libertés) et aux recommandations de la Commission Nationale de l’Informatique et des Libertés (CNIL).