DocertifRetour à l'accueil
Protection des données

Politique de Confidentialité

Dernière mise à jour : 16 mai 2026

Préambule

Docertif accorde une attention prioritaire à la protection des données personnelles, en particulier des données de santé traitées dans le cadre de l'émission, de l'importation, de la réservation puis de la finalisation de certificats médicaux. La présente politique explique quelles données sont traitées, pourquoi, pendant combien de temps, avec quels sous-traitants et quels droits vous pouvez exercer.

Cette politique s'applique aux services accessibles depuis le domaine Docertif, notamment :

  • les espaces comptes médecins, vérificateurs et administrateurs ;
  • les pages publiques de vérification, de profils médecins et d'information patients ;
  • les formulaires publics de liste d'attente et de demande de démo ;
  • les parcours d'authentification, y compris la connexion par Google.

Article 1 - Responsable du traitement

Le responsable du traitement des données personnelles traitées via la plateforme est l'entreprise WEEDO, éditrice de Docertif :

Article 2 - Catégories de données traitées

2.1 Données de compte et d'authentification

Lors de la création et de l'utilisation d'un compte, Docertif peut traiter :

  • adresse email ;
  • mot de passe stocké via Supabase Auth sous forme non réversible ;
  • rôle du compte (médecin, vérificateur, administrateur) ;
  • données minimales renvoyées par Google si l'utilisateur choisit la connexion Google, notamment nom, email et identifiant technique du fournisseur ;
  • preuves de vérification d'email, sessions, journaux de connexion et informations techniques associées à la sécurisation de la session.

2.2 Données de profil professionnel

Pour les comptes médecins et certains comptes vérificateurs, Docertif traite notamment :

  • nom, prénom, sexe, ville, pays et biographie professionnelle ;
  • spécialité, établissement, centre de santé, zone sanitaire, direction départementale, adresse du cabinet et téléphone professionnel ;
  • numéro d'ordre ou informations équivalentes ;
  • scan de pièce justificative professionnelle si fournie ;
  • avatar, signature numérisée, cachet et réglages de profil public ;
  • paramètres de rendez-vous et disponibilités, y compris l'activation de la téléconsultation.

2.3 Données cryptographiques et de signature

Pour permettre la signature électronique des certificats, Docertif traite :

  • clé publique de signature ;
  • clé privée chiffrée ;
  • date de génération ou de régénération de la clé ;
  • éléments techniques liés au code PIN de signature, sans conservation du PIN en clair.

Le hash du certificat est calculé côté serveur. L'IA, le navigateur et les outils client ne décident jamais du hash final servant de preuve.

2.4 Données des patients et contenu médical

Les données traitées dans les certificats peuvent inclure des données de santé particulièrement sensibles. Selon le type de certificat, Docertif peut traiter :

  • identité du patient ;
  • date de naissance, âge ou informations d'identification équivalentes ;
  • contenu médical libre saisi par le médecin ;
  • motifs cliniques, constatations et conclusions figurant dans le certificat ;
  • fichiers importés ou documents scannés dans les parcours import PDF et réserve papier.

Le médecin demeure responsable du traitement au regard de ses patients. Docertif agit comme solution technique de traitement et de conservation sécurisée.

2.5 Données relatives aux certificats

Pour chaque certificat généré, importé ou réservé puis finalisé, Docertif peut conserver :

  • référence unique du certificat ;
  • type, titre, corps du document et template PDF utilisé ;
  • hash du certificat, signature numérique et clé publique associée ;
  • jeton d'horodatage RFC 3161 émis via DigiCert TSA ;
  • statut du certificat, y compris actif, révoqué ou finalisé ;
  • chemins de stockage des PDF et reçus ;
  • informations de partage, d'envoi email ou de préparation WhatsApp lorsque ces actions sont déclenchées.

2.6 Brouillons, imports et réservations

Docertif traite également :

  • les brouillons de certificats sauvegardés dans une table dédiée ;
  • les métadonnées des imports de certificats déjà rédigés en PDF ;
  • les réservations de références pour certificats papier à finaliser plus tard ;
  • les données de reprise nécessaires à la réintégration d'un brouillon dans le formulaire de création.

2.7 Données de vérification et de consultation publique

Lorsqu'un certificat est vérifié, Docertif peut enregistrer :

  • l'identifiant ou la référence du certificat vérifié ;
  • l'identifiant du vérificateur lorsqu'il est connecté ;
  • un hash d'adresse IP pour la prévention d'abus et la traçabilité technique ;
  • la date, l'heure et certains indicateurs techniques de vérification.

La page publique de vérification n'a pas vocation à exposer le contenu médical du certificat au public.

2.8 Données de support, notifications et rendez-vous

Docertif peut traiter :

  • tickets de support interne, messages associés et métadonnées de suivi ;
  • notifications in-app et abonnements push si l'utilisateur accepte ces fonctions ;
  • demandes de rendez-vous ou de téléconsultation soumises depuis les pages publiques des médecins ;
  • numéro WhatsApp ou email lorsqu'ils sont saisis pour un échange ou une demande.

2.9 Données de paiement et de facturation

Docertif ne stocke pas les secrets financiers complets des moyens de paiement. Sont principalement traités :

  • identifiant de transaction Moneroo ;
  • montant, devise, statut et type de paiement ;
  • achat de crédits, souscription ou renouvellement d'abonnement ;
  • métadonnées utiles à la réconciliation comptable et à l'assistance client.

2.10 Données de prospection produit

Les formulaires publics peuvent traiter certaines données de prospection, notamment :

  • liste d'attente ;
  • demandes de démo gratuite ;
  • rôle, pays, email, numéro WhatsApp et préférence de démonstration.

2.11 Données techniques, cookies et mesure d'audience

Pour le fonctionnement, la sécurité et l'amélioration du service, Docertif traite aussi :

  • cookies techniques de session et de sécurité ;
  • consentement cookies stocké localement ;
  • mesure d'audience via Google Analytics 4 uniquement après consentement ;
  • logs techniques, journaux d'API, codes HTTP et timestamps ;
  • rapports d'erreurs et de performance via Sentry ;
  • données locales du Service Worker et du cache PWA sur l'appareil de l'utilisateur.

Article 3 - Finalités des traitements

Les données sont traitées notamment pour :

  • créer et sécuriser les comptes ;
  • émettre, signer, horodater, stocker, vérifier et partager les certificats ;
  • gérer les brouillons, imports et réservations ;
  • traiter les crédits, abonnements, paiements et reçus ;
  • permettre les demandes de rendez-vous, la téléconsultation et la mise en relation ;
  • fournir le support via ticket interne ou orientation WhatsApp ;
  • envoyer des emails transactionnels, notifications et rappels utiles au service ;
  • améliorer les textes via l'IA lorsqu'un utilisateur déclenche volontairement cette fonction ;
  • suivre l'audience, prévenir la fraude, protéger la plateforme et produire des statistiques d'usage.

Article 4 - Bases légales

Les traitements reposent selon les cas sur :

  • l'exécution du contrat pour fournir le service Docertif ;
  • le respect d'obligations légales en matière de conservation, de sécurité et de coopération avec les autorités compétentes ;
  • l'intérêt légitime pour la sécurité, la prévention des abus, l'analyse produit et le support ;
  • le consentement pour la mesure d'audience, certaines demandes publiques et certains usages optionnels.

Pour les données de santé traitées dans les certificats, le médecin utilisateur reste en principe le responsable du traitement à l'égard du patient. Docertif fournit l'infrastructure technique de création, de signature, d'horodatage et de conservation.

Article 5 - Mesures de sécurité

  • chiffrement des données sensibles et des brouillons lorsque le flux l'exige ;
  • hachage et signature serveur des certificats ;
  • horodatage RFC 3161 via DigiCert TSA, sans blocage fatal en cas d'échec du TSA ;
  • authentification via Supabase Auth, y compris email/mot de passe et Google OAuth ;
  • Row Level Security sur les tables sensibles ;
  • secrets conservés en variables d'environnement ;
  • journaux et rate limiting pour limiter les abus ;
  • restriction des accès internes au strict besoin de maintenance, support et sécurité.

Article 6 - Destinataires et sous-traitants

Les données peuvent être traitées par les sous-traitants techniques suivants, selon les fonctionnalités utilisées :

  • Supabase : base de données, authentification et stockage ;
  • Vercel : hébergement de l'application et infrastructure web ;
  • DigiCert TSA : horodatage RFC 3161 ;
  • Resend : emails transactionnels ;
  • Moneroo : paiements ;
  • OpenRouter : fonctions d'IA de génération et d'amélioration de texte ;
  • Google : connexion Google et mesure d'audience GA4 si consentement ;
  • Sentry : monitoring technique.

Lorsque l'IA est utilisée, Docertif a vocation à n'envoyer que les informations nécessaires à la tâche déclenchée, sans transmettre intentionnellement d'identité patient si cela n'est pas requis.

Article 7 - Durées de conservation

Les données sont conservées pendant des durées proportionnées à leur finalité, notamment :

  • données de compte : pendant la vie du compte puis pendant la durée nécessaire à la gestion post-clôture et aux obligations légales ;
  • certificats, preuves cryptographiques et PDF associés : selon les besoins de preuve, d'archivage et les obligations applicables au service ;
  • brouillons : jusqu'à suppression, transformation ou purge selon les règles produit en vigueur ;
  • logs techniques : pour une durée limitée compatible avec la sécurité, l'audit et le support ;
  • tickets de support et demandes publiques : le temps nécessaire au traitement puis à un archivage raisonnable ;
  • données de paiement : selon les obligations comptables, fiscales et de preuve ;
  • consentement cookies et données de mesure d'audience : selon les réglages du navigateur, de Google Analytics et les choix de l'utilisateur.

Article 8 - Cookies, PWA et mesure d'audience

8.1 Cookies essentiels

Docertif utilise des cookies et mécanismes techniques indispensables au fonctionnement du service, notamment pour la session, la sécurité, la navigation et la protection des flux d'authentification.

8.2 Mesure d'audience

Docertif utilise Google Analytics 4 pour mesurer l'audience. Cette mesure n'est active qu'après acceptation du bandeau cookies. Aucun cookie publicitaire n'est activé par défaut dans ce cadre.

8.3 PWA et stockage local

En tant que PWA, Docertif peut stocker localement certains fichiers de cache et ressources utiles au confort d'utilisation. Ces données restent en principe sur l'appareil de l'utilisateur.

Article 9 - Vos droits

Selon la législation applicable, vous pouvez demander :

  • l'accès à vos données ;
  • leur rectification ;
  • leur effacement lorsque cela est juridiquement possible ;
  • la limitation de certains traitements ;
  • l'opposition à certains traitements ;
  • la portabilité lorsque le cadre légal le prévoit ;
  • le retrait de votre consentement pour les traitements fondés sur celui-ci.

Pour les données de patients contenues dans les certificats, la demande doit en pratique souvent être rapprochée du médecin ayant émis le document, qui demeure responsable du traitement médical.

Article 10 - Contact et réclamations

Pour toute question relative à la vie privée ou à la sécurité :

Si vous estimez qu'un traitement n'est pas conforme au droit applicable, vous pouvez également saisir l'autorité compétente en matière de protection des données.

Article 11 - Évolution de la politique

Cette politique peut être mise à jour pour tenir compte des évolutions légales, réglementaires, techniques ou produit. La date de mise à jour indiquée en tête fait foi.