HexaPay ← Retour

Politique de protection des données (RGPD)

Conforme RGPD UE 2016/679 — Loi française Informatique et Libertés

🔒 Principe fondamental : 100% local

HexaPay fonctionne entièrement sur l'ordinateur du kinésithérapeute, comme Vega5. Aucune donnée patient (NIR, nom, date de soin, ordonnance) ne quitte la machine. Notre architecture exclut volontairement l'hébergement HDS pour minimiser les risques.

1. Responsable du traitement

HexaPay — Auto-entreprise
DPO : (à désigner)
Contact : dpo@hexa-pay.fr

2. Données collectées par HexaPay (logiciel local)

Stockées exclusivement sur le PC du kinésithérapeute (SQLite chiffré Fernet AES-256) :

  • Patients : NIR, nom, prénom, date naissance — issus de Vega5
  • Rejets NOÉMIE : code, libellé, montant, date — issus de la BAL
  • Ordonnances : PDF + extraction OCR — issus de Vega5
  • Licence praticien : RPPS, ADELI, adresse cabinet

Durée de conservation : 5 ans après le dernier acte (rejets payés ou irrécouvrables).

3. Données remontées au cloud HexaPay (OVH France)

Uniquement des statistiques financières anonymisées :

  • Chiffre d'affaires récupéré par mois (sans détail patient)
  • Nombre de rejets traités (sans détail patient)
  • Statut technique de l'installation (versions, jobs CRON, alertes)
  • Email du praticien (pour le support et la facturation)

✓ Aucun NIR, aucun nom patient, aucune donnée de santé ne remonte jamais au cloud.

4. Base légale du traitement

Pour les données patients : obligation légale (gestion des FSE SESAM-Vitale, article L. 161-31 du Code de la sécurité sociale).
Pour les données praticien : exécution du contrat (abonnement HexaPay).

5. Sous-traitants

  • OVH France (hébergement du site hexa-pay.fr) — RGPD conforme, données en France
  • Stripe (paiements) — DPA signé, RGPD conforme, données en UE/USA
  • Brevo (emails transactionnels) — DPA signé, RGPD conforme
  • Cloudflare (tunnel sécurisé optionnel) — données techniques uniquement

6. Droits des personnes

Conformément aux articles 15 à 22 du RGPD, chaque personne dispose des droits suivants :

  • Accès : obtenir une copie de ses données
  • Rectification : corriger des données inexactes
  • Effacement : suppression définitive (sauf obligation légale)
  • Limitation : geler le traitement
  • Portabilité : récupérer ses données dans un format standard
  • Opposition : refuser le traitement

Pour exercer ces droits : dpo@hexa-pay.fr. Réponse sous 30 jours. En cas de réponse insatisfaisante : recours CNIL.

7. Sécurité technique

  • Chiffrement local de la base SQLite (Fernet AES-256)
  • Authentification API par token Bearer 64 chars
  • Communications TLS 1.3 obligatoires
  • HMAC-SHA256 sur les licences (anti-piratage)
  • Pas d'accès distant non sollicité par le praticien
  • Backup local quotidien chiffré

8. Anonymisation et purge

HexaPay propose une fonction d'anonymisation des patients à la demande (espace Réglages) et purge automatique des données de plus de 5 ans. Les exports comptables conservent uniquement les montants (sans identifiant patient).

9. Cookies

Le site hexa-pay.fr utilise uniquement des cookies techniques nécessaires au fonctionnement (session, panier, langue). Aucun cookie publicitaire ou de tracking tiers.

10. Notification de violation

En cas de violation de données, la CNIL est notifiée sous 72 heures et les personnes concernées sous délai raisonnable, conformément à l'article 33 du RGPD.

11. Contact

DPO HexaPay : dpo@hexa-pay.fr
Pour toute réclamation auprès de l'autorité de contrôle : CNIL — formulaire de plainte