Informations légales

Conditions Générales d'Utilisation

Dernière mise à jour : 17 avril 2026

Article 1 — Objet

Les présentes Conditions Générales d'Utilisation (ci-après « CGU ») ont pour objet de définir les modalités et conditions dans lesquelles la société DentiClaire SASU (ci-après « l'Éditeur ») met à disposition des utilisateurs professionnels (ci-après « l'Utilisateur ») sa plateforme en ligne accessible à l'adresse www.denticlaire.fr (ci-après « la Plateforme »).

La Plateforme est un logiciel en mode SaaS (Software as a Service) destiné aux cabinets dentaires, permettant la transformation de devis dentaires CCAM en pages web claires pour les patients, la signature électronique, la gestion des consentements éclairés, les relances automatiques, ainsi que le suivi statistique de l'activité.

Toute inscription ou utilisation de la Plateforme implique l'acceptation sans réserve des présentes CGU.

Article 2 — Inscription et accès

2.1 Création de compte

L'accès à la Plateforme nécessite la création d'un compte cabinet. L'inscription est réservée aux chirurgiens-dentistes et à leur personnel autorisé. L'Utilisateur s'engage à fournir des informations exactes, complètes et à jour lors de son inscription, notamment son numéro RPPS (obligatoire).

2.2 Identifiants

L'Utilisateur est seul responsable de la confidentialité de ses identifiants de connexion. Toute utilisation de la Plateforme effectuée depuis son compte est réputée avoir été faite par l'Utilisateur. En cas de suspicion d'utilisation frauduleuse, l'Utilisateur doit en informer l'Éditeur sans délai.

2.3 Rôles et permissions

Le compte cabinet dispose de plusieurs niveaux d'accès : administrateur, dentiste et secrétaire. L'administrateur du cabinet est responsable de la gestion des accès de son personnel via le système d'invitation par email.

Article 3 — Description des services

La Plateforme offre les fonctionnalités suivantes :

  • Import automatique de devis dentaires selon deux voies au choix : via l'imprimante virtuelle DentiClaire pour les logiciels de gestion installés localement (Julie, LogosW, Agatha Seven et tout autre logiciel desktop disposant d'une fonction d'impression), ou via l'extension navigateur DentiClaire pour Chrome pour les logiciels de gestion en mode cloud (Veasy, Desmos, WeClever Dental, Galaxie, Dentinnov)
  • Analyse automatique des PDF de devis : identification des actes CCAM, traduction en langage patient, calcul du reste à charge
  • Envoi des devis par email aux patients avec un lien sécurisé de consultation
  • Consultation en ligne des devis par les patients avec explications vulgarisées des actes et schéma dentaire interactif
  • Signature électronique des devis (signature simple avec SHA-256 et horodatage)
  • Gestion des consentements éclairés
  • Relances automatiques configurables (devis envoyés non consultés, devis consultés non signés)
  • Suivi des statuts des devis (envoyé, consulté, signé, refusé) et tableaux de bord statistiques
  • Réimportation automatique des devis signés dans le logiciel de gestion du cabinet
  • Analyse assistée par intelligence artificielle des radiographies panoramiques dentaires (DentiVision) : détection des dents, identification de pathologies, évaluation du niveau osseux — à titre d'aide au diagnostic uniquement

Article 4 — Obligations et interdictions

4.1 Engagements de l'Utilisateur

L'Utilisateur s'engage à :

  • Utiliser la Plateforme conformément à sa destination et aux lois et réglementations en vigueur
  • Ne pas télécharger de documents contenant des données personnelles de patients sans disposer du consentement nécessaire ou d'une base légale appropriée
  • Garantir l'exactitude des informations saisies, notamment les données de facturation
  • Respecter les obligations déontologiques et légales applicables à sa profession

4.2 Interdictions expresses

Il est formellement interdit à l'Utilisateur, à ses préposés ou à tout tiers agissant pour son compte :

  • De tenter de porter atteinte à la sécurité, à l'intégrité ou au bon fonctionnement de la Plateforme (y compris par déni de service, injection, contournement d'authentification, exploitation de vulnérabilités)
  • De céder, transférer, prêter, louer, sous-licencier ou partager l'accès à son compte ou à ses identifiants à des tiers non autorisés
  • De procéder, directement ou indirectement, à l'extraction automatisée massive de données (scraping, crawling, moissonnage, robots d'indexation non autorisés), à l'exception des cas expressément prévus par l'Éditeur (API officielle, export RGPD)
  • De décompiler, désassembler, effectuer de l'ingénierie inverse (reverse engineering), dériver le code source, les algorithmes ou les modèles d'intelligence artificielle composant la Plateforme, sauf dans les limites strictement autorisées par l'article L122-6-1 IV du Code de la propriété intellectuelle
  • De revendre, redistribuer, commercialiser, louer, proposer en marque blanche ou intégrer à une offre concurrente tout ou partie de la Plateforme, de son code, de son contenu ou de ses données sans accord écrit préalable de l'Éditeur
  • D'utiliser la Plateforme pour développer, entraîner ou améliorer un produit ou un service concurrent, y compris via l'entraînement de modèles d'apprentissage automatique
  • De contourner, désactiver ou altérer les mécanismes de comptage des praticiens actifs utilisés pour la facturation

Tout manquement aux interdictions du présent article pourra entraîner la suspension immédiate du compte sans préavis, la résiliation du contrat aux torts exclusifs de l'Utilisateur et la mise en œuvre de recours judiciaires par l'Éditeur.

Article 5 — Obligations de l'Éditeur

L'Éditeur s'engage à mettre en œuvre les moyens nécessaires pour assurer la disponibilité et la sécurité de la Plateforme. L'Éditeur fournit la Plateforme en l'état et ne garantit pas l'absence d'interruptions, d'erreurs ou de dysfonctionnements temporaires.

L'Éditeur s'engage à héberger les données sur une infrastructure certifiée HDS (Hébergeur de Données de Santé), conformément aux exigences de l'article L.1111-8 du Code de la santé publique.

L'Éditeur se réserve le droit d'interrompre temporairement l'accès pour des raisons de maintenance, avec un préavis raisonnable lorsque cela est possible.

Article 6 — Propriété intellectuelle et licence d'utilisation

6.1 Propriété de la Plateforme

L'ensemble des éléments composant la Plateforme (code source, interface, textes, graphismes, logos, algorithmes d'analyse, modèles d'intelligence artificielle, base de données CCAM, documentation) sont la propriété exclusive de l'Éditeur et sont protégés par les lois relatives à la propriété intellectuelle, notamment les dispositions du Code de la propriété intellectuelle français. La marque « DentiClaire » est déposée auprès de l'INPI.

6.2 Licence accordée à l'Utilisateur

Sous réserve du respect des présentes CGU et du paiement des sommes dues au titre des CGV, l'Éditeur concède à l'Utilisateur une licence d'utilisation de la Plateforme :

  • Non exclusive : l'Éditeur demeure libre de concéder la même licence à tout autre utilisateur
  • Non transférable et non cessible : la licence ne peut être cédée, transférée, sous-licenciée ou partagée avec un tiers sans l'accord écrit préalable de l'Éditeur
  • Personnelle : limitée au cabinet Utilisateur et à ses collaborateurs dûment autorisés via le système de comptes et de permissions de la Plateforme
  • Révocable : la licence prend fin de plein droit à la résiliation de l'abonnement, à la cessation du contrat ou en cas de violation grave des présentes CGU
  • Limitée à l'usage prévu : cet usage se limite à la gestion des devis, consentements, signatures et données patients du cabinet dans le cadre de son activité professionnelle, à l'exclusion de tout autre usage

Aucune cession de droits de propriété intellectuelle n'est consentie à l'Utilisateur au titre des présentes.

6.3 Données de l'Utilisateur

L'Utilisateur conserve la propriété de l'ensemble des données et documents qu'il importe sur la Plateforme. L'Éditeur ne revendique aucun droit de propriété sur les données de l'Utilisateur et ne les utilisera jamais à d'autres fins que la fourniture du service, conformément à l'Accord de sous-traitance (DPA, art. 28 RGPD) annexé aux présentes.

Article 7 — Responsabilité

7.1 Nature du service

La Plateforme est un outil d'aide à la gestion administrative des devis dentaires. Elle ne constitue en aucun cas un dispositif médical au sens du règlement (UE) 2017/745 et ne se substitue pas au jugement professionnel du praticien. Les fonctionnalités d'analyse assistée par intelligence artificielle (DentiVision) sont délivrées à titre d'aide au diagnostic uniquement ; la décision clinique finale appartient exclusivement au chirurgien-dentiste.

7.2 Cas d'exonération

L'Éditeur ne saurait être tenu responsable :

  • Des conséquences résultant d'une utilisation non conforme de la Plateforme ou contraire aux présentes CGU
  • De l'exactitude des analyses automatiques de devis et des suggestions de l'intelligence artificielle, celles-ci devant être vérifiées par le professionnel de santé avant toute décision
  • Des dommages indirects, incluant notamment les pertes de chiffre d'affaires, de clientèle, de chance ou d'image, sous réserve des dispositions de l'article 7.4
  • Des dysfonctionnements imputables à des causes extérieures (coupure internet, défaillance du navigateur, incompatibilité du logiciel dentaire, matériel de l'Utilisateur)
  • Des manquements d'un sous-traitant tiers (Scalingo, Brevo, Cloudflare, Stripe, Modal Labs, Sentry, Anthropic, Google — liste exhaustive dans le DPA) au-delà des engagements SLA qui lui sont propres

7.3 Plafond de responsabilité

Sous réserve des exclusions prévues à l'article 7.4, la responsabilité totale cumulée de l'Éditeur envers l'Utilisateur, au titre de l'exécution ou de l'inexécution des présentes CGU et CGV, tous préjudices confondus et toutes causes juridiques confondues, est limitée au montant des sommes effectivement versées par l'Utilisateur au cours des douze (12) mois précédant l'événement ayant donné lieu à responsabilité.

Les Parties reconnaissent que ce plafond de responsabilité, librement négocié entre professionnels, reflète l'économie générale du contrat et l'équilibre des prestations et tarifs convenus, conformément à la jurisprudence Faurecia (Cass. com., 29 juin 2010).

7.4 Exclusions du plafond — cas d'ordre public

Le plafond de responsabilité prévu à l'article 7.3 ne s'applique pas dans les cas suivants, lesquels demeurent régis par le droit commun :

  • Dommages corporels ou atteinte à la vie (nullité d'ordre public des clauses limitatives en cette matière, jurisprudence constante)
  • Faute lourde ou dol (faute intentionnelle) de l'Éditeur, conformément à l'article 1231-3 du Code civil et à la jurisprudence constante (Cass. ch. mixte, 22 avril 2005)
  • Manquement à une obligation essentielle du contrat vidant celui-ci de sa substance (jurisprudence Chronopost, Cass. com., 22 octobre 1996 ; Faurecia, Cass. com., 29 juin 2010)
  • Violation des obligations résultant du Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679), notamment les articles 28 (sous-traitance), 32 (sécurité) et 82 (responsabilité du sous-traitant) — voir l'Accord de sous-traitance (DPA)
  • Violation des droits de propriété intellectuelle de tiers résultant d'une action de l'Éditeur
  • Manquement aux obligations prévues à l'article L.1111-8 du Code de la santé publique relatif à l'hébergement de données de santé

Article 8 — Force majeure

Conformément à l'article 1218 du Code civil, aucune des Parties ne sera tenue responsable d'un manquement à ses obligations contractuelles si ce manquement résulte d'un événement de force majeure, c'est-à-dire un événement échappant au contrôle de la Partie concernée, qui ne pouvait être raisonnablement prévu lors de la conclusion du contrat et dont les effets ne peuvent être évités par des mesures appropriées.

Sont notamment considérés comme cas de force majeure : les catastrophes naturelles, les pandémies, les guerres, les attaques informatiques d'ampleur exceptionnelle, les défaillances généralisées d'Internet ou d'infrastructure cloud, les décisions gouvernementales ou réglementaires empêchant l'exécution du service.

En cas de force majeure, les obligations de la Partie affectée sont suspendues pendant la durée de l'événement. Si l'événement persiste au-delà de quatre-vingt-dix (90) jours, chaque Partie peut résilier le contrat sans indemnité.

Article 9 — Résiliation

L'Utilisateur peut résilier son abonnement et supprimer son compte à tout moment depuis les paramètres de la Plateforme. La résiliation entraîne la suppression des données conformément à notre politique de confidentialité, sous réserve des obligations légales de conservation.

L'Éditeur se réserve le droit de suspendre ou résilier l'accès d'un Utilisateur en cas de violation des présentes CGU, après mise en demeure restée sans effet pendant un délai de quinze (15) jours, sauf en cas de manquement grave nécessitant une suspension immédiate.

Article 10 — Modification des CGU

L'Éditeur se réserve le droit de modifier les présentes CGU afin de les adapter aux évolutions légales, réglementaires, techniques ou fonctionnelles de la Plateforme. Les Utilisateurs seront informés de toute modification substantielle par email à l'adresse de contact du cabinet et par notification dans la Plateforme au moins trente (30) jours avant leur entrée en vigueur.

Pendant ce délai, l'Utilisateur dispose de la faculté de refuser les nouvelles CGU. Dans ce cas, il pourra résilier son abonnement sans pénalité ni préavis par email à [email protected], la résiliation prenant effet à la date d'entrée en vigueur des nouvelles CGU. Aucune facturation ne sera alors due pour les périodes postérieures à cette résiliation.

La poursuite de l'utilisation de la Plateforme au-delà du délai de trente (30) jours vaut acceptation sans réserve des nouvelles CGU. Les modifications purement formelles (correction d'erreurs matérielles, précisions rédactionnelles sans incidence sur les droits et obligations des Parties) peuvent entrer en vigueur sans préavis particulier.

Article 11 — Droit applicable et juridiction

Les présentes CGU sont régies par le droit français. En cas de litige relatif à l'interprétation ou l'exécution des présentes, les parties s'efforceront de trouver une solution amiable dans un délai de trente (30) jours à compter de la notification écrite du litige par l'une des Parties.

À défaut de résolution amiable, et conformément à l'article 48 du Code de procédure civile, le litige sera soumis à la compétence exclusive du Tribunal judiciaire de Saint-Denis de La Réunion, y compris en cas de pluralité de défendeurs, d'appel en garantie ou de procédure de référé. Cette clause attributive de compétence est stipulée en considération de la nature civile de l'activité exercée par les Utilisateurs (professions libérales de santé).

Article 12 — Dispositions finales

12.1 Convention de preuve électronique

Conformément aux articles 1365 et suivants du Code civil, les Parties conviennent expressément que les écrits électroniques, emails, journaux de connexion, logs applicatifs, horodatages et empreintes numériques (hachages SHA-256) générés ou conservés par la Plateforme ont la même force probante qu'un écrit sur support papier et font foi entre elles, sauf preuve contraire rapportée par tout moyen.

Cette convention de preuve s'applique notamment aux signatures électroniques patients apposées sur les devis et consentements via la Plateforme, ainsi qu'aux traces de connexion et d'utilisation des utilisateurs cabinet.

12.2 Divisibilité (nullité partielle)

Si l'une quelconque des stipulations des présentes CGU venait à être déclarée nulle, illégale ou inapplicable au regard d'une disposition législative ou réglementaire en vigueur, ou d'une décision de justice ayant autorité de la chose jugée, ladite stipulation sera réputée non écrite. Les autres stipulations demeureront pleinement en vigueur et continueront à produire tous leurs effets. Les Parties s'efforceront de négocier de bonne foi une stipulation de substitution conforme à la réglementation applicable et à l'esprit du présent contrat.

12.3 Cession du contrat

L'Utilisateur ne peut céder, transférer ou sous-licencier tout ou partie de ses droits et obligations au titre des présentes sans l'accord écrit préalable de l'Éditeur. L'Éditeur se réserve la faculté de céder tout ou partie du contrat à un tiers, notamment en cas de fusion, acquisition, restructuration ou cession d'activité, sous réserve d'informer préalablement l'Utilisateur par email et à condition que le cessionnaire s'engage à respecter l'intégralité des obligations résultant des présentes. En cas de refus exprès de l'Utilisateur, il pourra résilier le contrat sans pénalité dans les trente (30) jours suivant la notification.

12.4 Non-renonciation

Le fait pour l'Éditeur de ne pas se prévaloir à un moment donné d'une quelconque disposition des présentes ne pourra être interprété comme valant renonciation à se prévaloir ultérieurement de cette même disposition.

12.5 Intégralité

Les présentes CGU, ensemble avec les CGV, la Politique de confidentialité et l'Accord de sous-traitance (DPA), constituent l'intégralité de l'accord entre les Parties et prévalent sur tout accord antérieur, écrit ou oral, relatif au même objet.

Conditions Générales de Vente

Dernière mise à jour : 17 avril 2026

Article 1 — Offre et tarification

La Plateforme DentiClaire est proposée selon le modèle suivant :

OffreTarifDétails
Essai gratuitGratuit — 14 joursToutes les fonctionnalités, sans carte bancaire, sans engagement
Pro69 € HT/mois par praticien actifToutes les fonctionnalités, devis illimités, utilisateurs illimités
Sur mesureSur devisCabinets de plus de 10 praticiens — nous contacter

Les tarifs sont indiqués en euros hors taxes (HT). La TVA applicable est ajoutée lors de la facturation au taux en vigueur (actuellement 20 %).

Le tarif est calculé sur la base du nombre de praticiens actifs (non archivés) dans le cabinet. Un praticien automatiquement détecté depuis un devis importé compte comme praticien actif. L'administrateur du cabinet peut archiver un praticien à tout moment pour qu'il ne soit plus comptabilisé.

Article 2 — Essai gratuit

Tout nouveau cabinet bénéficie d'un essai gratuit de quatorze (14) jours donnant accès à l'ensemble des fonctionnalités de la Plateforme.

Aucun moyen de paiement n'est requis pour démarrer l'essai gratuit. Aucune facturation ne sera effectuée sans action explicite de l'Utilisateur.

À l'issue de la période d'essai, en l'absence de souscription d'un abonnement payant, la création de nouveaux devis est bloquée. L'Utilisateur conserve un accès en lecture à ses devis existants, peut télécharger ses documents signés et exporter ses données (conformité RGPD).

Article 3 — Souscription et facturation

3.1 Souscription

La souscription à l'abonnement Pro s'effectue directement depuis la Plateforme via notre prestataire de paiement Stripe (Stripe, Inc. et ses entités européennes ; voir le DPA pour le détail de la sous-traitance). L'abonnement est mensuel et reconductible tacitement. L'Utilisateur peut résilier à tout moment conformément à l'article 6 des présentes.

3.2 Facturation

La facturation intervient le jour de la souscription puis à chaque date anniversaire mensuelle, sur la base du nombre de praticiens actifs à la date de facturation. Les factures sont disponibles dans l'espace de gestion Stripe accessible depuis la Plateforme.

3.3 Moyens de paiement

Les paiements sont traités de manière sécurisée par Stripe. Les factures sont payables comptant par carte bancaire ou prélèvement SEPA. DentiClaire ne stocke aucune donnée bancaire ou de carte de paiement, celles-ci étant exclusivement gérées par Stripe dans un environnement certifié PCI-DSS niveau 1.

3.4 Conditions de règlement

Le paiement est exigible à la date de facturation. Conformément à l'article L441-10 du Code de commerce, le délai de paiement entre professionnels ne peut excéder trente (30) jours à compter de la date d'émission de la facture. En pratique, le prélèvement automatique via Stripe intervient immédiatement à l'émission de la facture.

3.5 Pénalités de retard

Conformément à l'article L441-10 du Code de commerce, en cas de retard de paiement, des pénalités de retard sont exigibles de plein droit, sans qu'un rappel soit nécessaire. Le taux des pénalités de retard est égal à trois (3) fois le taux d'intérêt légal en vigueur.

En outre, une indemnité forfaitaire de quarante (40) euros pour frais de recouvrement est due de plein droit pour toute facture payée après la date d'échéance, conformément aux articles L441-10 et D441-5 du Code de commerce. Lorsque les frais de recouvrement réellement engagés sont supérieurs à ce montant forfaitaire, l'Éditeur peut demander une indemnisation complémentaire sur justificatifs.

3.6 Escompte

Aucun escompte n'est accordé en cas de paiement anticipé, conformément à l'article L441-10 I du Code de commerce.

3.7 Défaut de paiement

En cas de défaut de paiement persistant plus de quinze (15) jours après mise en demeure restée sans effet, l'Éditeur pourra suspendre l'accès à la Plateforme de plein droit sans que cela ne libère l'Utilisateur de ses obligations de paiement. Les données de l'Utilisateur demeurent conservées conformément à la politique de confidentialité et peuvent être restaurées dès régularisation du paiement.

Article 4 — Évolution du nombre de praticiens

Le montant facturé s'ajuste automatiquement en fonction du nombre de praticiens actifs :

  • Ajout d'un praticien : le nouveau tarif est appliqué au prochain cycle de facturation
  • Archivage d'un praticien : le praticien archivé n'est plus comptabilisé dans la facturation suivante. Ses devis historiques restent accessibles

Afin de prévenir les abus, la facturation mensuelle est basée sur le nombre maximal de praticiens actifs constaté au cours du mois.

Article 5 — Droit de rétractation

La Plateforme s'adresse exclusivement aux professionnels de santé agissant dans le cadre de leur activité professionnelle. Les présentes CGV constituent un contrat entre professionnels (B2B). À ce titre, le droit de rétractation prévu aux articles L221-18 et suivants du Code de la consommation n'est pas applicable.

Par ailleurs, conformément à l'article L221-28-1° du Code de la consommation, le droit de rétractation ne s'applique pas aux contrats de fourniture de contenu numérique fourni sur un support non matériel dont l'exécution a commencé avec l'accord de l'utilisateur.

Toutefois, dans un souci de satisfaction, l'Éditeur accorde un remboursement intégral sur simple demande par email à [email protected] dans les vingt-quatre (24) heures suivant le premier paiement d'un abonnement. Cette garantie ne s'applique qu'une seule fois par cabinet.

Article 6 — Résiliation

L'Utilisateur peut résilier son abonnement à tout moment depuis les paramètres de la Plateforme ou via le portail de gestion Stripe. La résiliation prend effet à la fin de la période de facturation en cours. Aucun remboursement prorata temporis n'est effectué pour la période entamée.

Après résiliation, la création de nouveaux devis est bloquée. L'Utilisateur conserve l'accès à ses données existantes conformément à l'article 2 ci-dessus.

Article 7 — Modification des tarifs

L'Éditeur se réserve le droit de modifier ses tarifs. Toute modification tarifaire sera communiquée aux Utilisateurs par email au moins trente (30) jours avant son entrée en vigueur. L'Utilisateur dispose de ce délai pour résilier son abonnement s'il n'accepte pas les nouveaux tarifs.

Les modifications tarifaires ne s'appliquent pas aux périodes de facturation déjà en cours.

Article 8 — Litiges

En cas de litige entre professionnels relatif à l'interprétation ou l'exécution des présentes CGV, les Parties s'efforceront de trouver une solution amiable dans un délai de trente (30) jours à compter de la notification écrite du litige. À défaut de résolution amiable, et conformément à l'article 48 du Code de procédure civile, le litige sera soumis à la compétence exclusive du Tribunal judiciaire de Saint-Denis de La Réunion (droit français applicable). Cette clause attributive de compétence est acceptée par l'Utilisateur en considération de la nature civile de son activité professionnelle (profession libérale de santé).

Article 9 — Niveau de service (SLA)

9.1 Engagement de disponibilité

L'Éditeur s'engage à assurer une disponibilité moyenne mensuelle de la Plateforme supérieure à 99,5 % (équivalent à un temps d'indisponibilité maximal d'environ 3 heures 40 minutes par mois). La mesure est effectuée sur les services cœur (authentification, création et consultation de devis, signature patient) via le monitoring infrastructure de notre hébergeur certifié HDS (Scalingo) et via notre outil de supervision applicative (Sentry).

9.2 Exclusions

Ne sont pas comptabilisés comme indisponibilité :

  • Les opérations de maintenance planifiée, annoncées par email ou dans la Plateforme au moins quarante-huit (48) heures à l'avance, effectuées de préférence en dehors des heures ouvrées
  • Les interruptions imputables à un sous-traitant de l'Éditeur (Scalingo, Brevo, Cloudflare, Stripe, Modal Labs, Sentry, Anthropic, Google — liste complète dans le DPA) lorsque celles-ci dépassent leurs propres engagements SLA
  • Les incidents liés à des causes extérieures : attaques informatiques d'ampleur exceptionnelle, défaillances généralisées d'Internet, décisions gouvernementales, cas de force majeure au sens de l'article 8 des CGU
  • Les dysfonctionnements résultant d'une utilisation non conforme de la Plateforme par l'Utilisateur ou d'une configuration incorrecte de ses équipements (navigateur, logiciel dentaire, imprimante virtuelle, extension navigateur)

9.3 Notification des incidents

En cas d'incident majeur affectant la disponibilité, l'Éditeur s'engage à informer les Utilisateurs par email ou notification dans un délai raisonnable et à publier un post-mortem public pour les incidents dépassant deux (2) heures d'indisponibilité.

9.4 Absence de compensation automatique

Le non-respect du SLA n'ouvre pas droit à compensation automatique. En cas de manquements répétés et significatifs au SLA, l'Utilisateur pourra résilier son abonnement sans préavis par email motivé à [email protected], avec effet à la fin de la période de facturation en cours et sans pénalité.

Article 10 — Dispositions générales

Les présentes CGV complètent les CGU. En cas de contradiction, les CGV prévalent pour les aspects commerciaux et tarifaires. Les dispositions des articles 10 et 11 des CGU relatives aux modifications et au droit applicable s'appliquent par analogie aux présentes CGV.

Les présentes CGV sont régies par le droit français, et notamment les articles L441-1 et suivants du Code de commerce et les articles 1101 et suivants du Code civil.

Politique de confidentialité

Dernière mise à jour : 17 mai 2026

La protection de vos données personnelles et de celles de vos patients est au cœur de nos préoccupations. Cette politique détaille comment nous collectons, utilisons et protégeons les données traitées via DentiClaire, conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679).

1. Responsable de traitement

Le responsable du traitement des données relatives aux cabinets utilisateurs est la société DentiClaire, SASU au capital de 10 000 €, immatriculée au RCS de Saint-Pierre de la Réunion sous le numéro 102 075 017, dont le siège social est situé 13A chemin Quartz, 97421 Saint-Louis, La Réunion, France.

S'agissant des données de santé des patients, le cabinet dentaire utilisateur est responsable de traitement ; DentiClaire intervient en qualité de sous-traitant au sens de l'article 28 du RGPD (voir l'onglet DPA).

Pour toute question relative à la protection de vos données, vous pouvez nous contacter par email à : [email protected].

2. Données collectées

2.1 Données relatives aux cabinets et utilisateurs

  • Informations d'identification : nom, prénom, adresse email professionnelle, numéro RPPS
  • Informations du cabinet : raison sociale, adresse postale, téléphone
  • Données de connexion : mot de passe hashé (PBKDF2-SHA256 avec sel unique), sessions actives
  • Journaux d'activité : actions effectuées, horodatage, adresse IP

2.2 Données relatives aux patients

  • Informations d'identification : nom, prénom, adresse email, numéro de téléphone (telles qu'extraites des devis PDF)
  • Données de santé : contenus des devis dentaires incluant les actes (codes CCAM), les dents concernées, les montants et les taux de remboursement

2.3 Données de signature électronique

  • Nom et email du signataire
  • Adresse IP et user agent du navigateur au moment de la signature
  • Empreinte cryptographique du document signé (SHA-256)
  • Horodatage de la signature

2.4 Données de paiement

Les paiements sont traités exclusivement par Stripe. DentiClaire ne collecte ni ne stocke aucune donnée bancaire (numéro de carte, IBAN, etc.). Seuls l'identifiant client Stripe et les informations d'abonnement (plan, statut, dates) sont conservés.

3. Finalités et bases légales

FinalitéBase légale
Fourniture et gestion du serviceExécution du contrat (art. 6.1.b RGPD)
Analyse et affichage des devis dentairesExécution du contrat (art. 6.1.b RGPD)
Envoi d'emails transactionnels (devis, relances, invitations, réinitialisation)Exécution du contrat (art. 6.1.b RGPD)
Signature électronique et preuve de consentementObligation légale (art. 6.1.c RGPD)
Journalisation de l'activité et sécuritéIntérêt légitime (art. 6.1.f RGPD)
Facturation et gestion des paiementsExécution du contrat (art. 6.1.b RGPD)
Amélioration du service et statistiques anonymiséesIntérêt légitime (art. 6.1.f RGPD)
Données de santé : les données extraites des devis dentaires sont des données de santé au sens de l'article 9 du RGPD. Leur traitement est autorisé sur la base de l'article 9.2.h (gestion des systèmes et services de santé). Le cabinet dentaire agit en tant que responsable de traitement des données de santé de ses patients ; DentiClaire intervient en qualité de sous-traitant au sens de l'article 28 du RGPD. Un accord de sous-traitance (DPA) est disponible sur demande.

4. Durée de conservation

  • Données du compte : conservées pendant toute la durée de l'abonnement actif, puis supprimées dans un délai de 30 jours après la suppression du compte
  • Devis signés : conservés pendant dix (10) ans conformément aux obligations légales de conservation des preuves de signature électronique. Les données sont anonymisées en cas de suppression de compte
  • Devis non signés : supprimés avec le compte
  • Journaux d'activité : conservés pendant un (1) an, puis automatiquement supprimés
  • Données de facturation : conservées pendant dix (10) ans conformément aux obligations comptables
  • Tokens de session et réinitialisation : automatiquement supprimés après expiration (respectivement 30 jours et 1 heure)

5. Sous-traitants et destinataires

DentiClaire fait appel aux sous-traitants suivants pour la fourniture du service :

Sous-traitantRôleLocalisation des données
Scalingo SASHébergement de l'application et des données (certifié HDS)France (3DS Outscale, région Paris)
Brevo (Sendinblue SAS)Envoi d'emails et SMS transactionnelsFrance / Union Européenne
Cloudflare Inc.CDN, protection DDoS et DNSPoints de présence mondiaux *
Cloudflare R2 (Cloudflare Inc.)Stockage des PDF de devis, des radiographies DentiVision et des sauvegardes de la base de données (chiffrement au repos)États-Unis (réplication globale) *
Stripe Inc.Traitement des paiements (aucune donnée patient)États-Unis *
Modal Labs Inc.Inférence IA dentaire (DentiVision) — analyse de radiographies en mémoire vive, sans stockageÉtats-Unis *
Functional Software Inc. (Sentry)Monitoring d'erreurs applicatives (sans données personnelles — send_default_pii désactivé)États-Unis *
Anthropic, PBCAPI IA générative pour le chatbot d'aide commerciale et la synthèse de rapports administratifsÉtats-Unis *

* Les transferts de données vers les États-Unis sont encadrés par le EU-U.S. Data Privacy Framework, garantissant un niveau de protection adéquat conformément à la décision d'adéquation de la Commission européenne du 10 juillet 2023.

Les sauvegardes de base de données sont chiffrées AES-256-GCM côté application avant tout transfert. La clé de chiffrement reste exclusivement détenue par DentiClaire et n'est jamais communiquée au prestataire de stockage.

Aucune autre entité tierce n'a accès aux données. DentiClaire ne vend, ne loue et ne partage jamais vos données à des fins commerciales ou publicitaires.

6. Hébergement et certification HDS

Les données sont hébergées en France chez Scalingo SAS, hébergeur certifié HDS (Hébergeur de Données de Santé) conformément à l'article L.1111-8 du Code de la santé publique. L'infrastructure est située dans les datacenters 3DS Outscale en région parisienne (osc-fr1).

Les emails et SMS transactionnels sont envoyés via Brevo (Sendinblue SAS), hébergé en France / UE. Certaines données transitent par des sous-traitants américains (Stripe pour les paiements, Cloudflare pour le CDN) dans le cadre du EU-U.S. Data Privacy Framework.

En cas d'invalidation du cadre d'adéquation, DentiClaire s'engage à mettre en place des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne pour encadrer ces transferts.

7. Droits des personnes

Conformément aux articles 15 à 21 du RGPD, vous disposez des droits suivants :

  • Droit d'accès (art. 15) : obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie
  • Droit de rectification (art. 16) : demander la correction de données inexactes ou incomplètes
  • Droit à l'effacement (art. 17) : demander la suppression de vos données, sous réserve des obligations légales de conservation
  • Droit à la limitation du traitement (art. 18) : demander la suspension du traitement dans certains cas
  • Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré et couramment utilisé (export CSV disponible dans la Plateforme)
  • Droit d'opposition (art. 21) : vous opposer au traitement fondé sur l'intérêt légitime

Pour exercer ces droits, adressez votre demande à [email protected] en joignant un justificatif d'identité. Nous répondrons dans un délai d'un (1) mois conformément à la réglementation.

Vous disposez également du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr.

8. Sécurité des données

DentiClaire met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :

  • Hébergement sur infrastructure certifiée HDS (Scalingo / 3DS Outscale, France)
  • Chiffrement des communications via HTTPS/TLS sur l'ensemble de la Plateforme
  • Mots de passe hashés avec PBKDF2-SHA256 et sel unique par utilisateur
  • Tokens de session et de réinitialisation générés de manière cryptographiquement sécurisée
  • Protection contre les attaques par force brute (rate limiting progressif par IP et par compte)
  • En-têtes de sécurité HTTP (Content-Security-Policy, X-XSS-Protection, Referrer-Policy, Permissions-Policy)
  • Protection DDoS et CDN via Cloudflare
  • Base de données PostgreSQL isolée avec connexions chiffrées
  • Déploiement automatisé via pipeline Git (aucun accès SSH direct au serveur)
  • Journalisation des accès et des actions pour la traçabilité

9. Traitements automatisés et intelligence artificielle

La fonctionnalité DentiVision utilise des modèles d'intelligence artificielle pour analyser les radiographies panoramiques dentaires. Ces traitements automatisés permettent :

  • La détection et la numérotation des dents
  • L'identification de pathologies potentielles (caries, lésions apicales, etc.)
  • L'évaluation du niveau osseux parodontal

Ces analyses constituent une aide au diagnostic et ne se substituent en aucun cas au jugement du professionnel de santé. Aucune décision médicale n'est prise automatiquement. Le praticien conserve l'entière responsabilité du diagnostic et du plan de traitement.

Les radiographies sont transmises de manière chiffrée à l'infrastructure d'inférence (Modal Labs), traitées en mémoire vive, puis supprimées immédiatement après l'analyse. Aucune image n'est stockée par le sous-traitant d'inférence. Conformément à l'article 22 du RGPD, ce traitement ne produit aucun effet juridique et ne constitue pas une décision individuelle automatisée.

10. Cookies

La Plateforme utilise deux catégories de cookies :

  • Cookies essentiels (sans consentement) : cookie de session dc_session et cookie de mémorisation du choix de consentement dc_cookie_consent_v1. Strictement nécessaires au fonctionnement du service (article 82 de la loi Informatique et Libertés).
  • Cookies de mesure publicitaire (consentement requis) : tag de conversion Google Ads, déposé uniquement après accord explicite via le bandeau de consentement. Aucune donnée patient ni de santé n'est transmise à Google.

DentiClaire n'utilise aucun cookie de remarketing, de profilage publicitaire, de réseaux sociaux ni de chat tiers. Vous pouvez modifier ou retirer votre consentement à tout moment depuis la politique cookies dédiée.

11. Délégué à la Protection des Données (DPO)

Compte tenu du traitement à grande échelle de données de santé au sens de l'article 9 du RGPD, DentiClaire a désigné un Délégué à la Protection des Données conformément à l'article 37.1.c du RGPD. Cette désignation a été enregistrée auprès de la CNIL le 16 avril 2026 sous le numéro DPO-172698. Le DPO est le point de contact unique pour toute question relative à la protection des données et pour l'exercice de vos droits.

Monsieur Anthony REBECCAI
Délégué à la Protection des Données — N° CNIL : DPO-172698
DentiClaire SASU — 13A chemin Quartz, 97421 Saint-Louis, La Réunion, France
Email : [email protected]
Site : www.denticlaire.fr

12. Analyse d'impact (AIPD)

Le traitement portant sur des données de santé à caractère sensible figure parmi les traitements pour lesquels une analyse d'impact relative à la protection des données (AIPD) est requise (article 35.3.b du RGPD et liste CNIL). DentiClaire a engagé une AIPD couvrant l'ensemble des opérations de traitement décrites dans la présente politique. Une synthèse de cette analyse, ainsi que la liste des mesures de mitigation des risques, est disponible sur demande motivée auprès du DPO.

13. Modification de la politique

La présente politique de confidentialité peut être modifiée pour refléter les évolutions du service ou de la réglementation. Toute modification substantielle sera notifiée aux Utilisateurs par email ou via la Plateforme. La date de dernière mise à jour est indiquée en haut de ce document.

Mentions légales

Conformément à l'article 6-III de la loi n° 2004-575 du 21 juin 2004 (LCEN)

1. Éditeur du site

DentiClaire
Forme juridique : SASU (Société par Actions Simplifiée Unipersonnelle)
Capital social : 10 000,00 €
Siège social : 13A chemin Quartz, 97421 Saint-Louis, La Réunion, France
Immatriculée au Registre du Commerce et des Sociétés (RCS) de Saint-Pierre de la Réunion sous le numéro 102 075 017
SIREN : 102 075 017
N° TVA intracommunautaire : FR 40 102 075 017
Directeur de la publication : Jérémie REBECCAI, Président
Contact direct et efficace (au sens de l'article 6-III de la LCEN et de la jurisprudence CJUE C-649/17 du 10 juillet 2019) :
  • Email général : [email protected] — délai de réponse garanti sous 48h ouvrées
  • Email DPO (données personnelles) : [email protected]
Site : https://www.denticlaire.fr

2. Hébergeur

Scalingo SAS
13 rue Jacques Peirotes, 67000 Strasbourg, France
RCS Strasbourg 808 665 483
Email : [email protected]
Certifié HDS v2.0 (Hébergeur de Données de Santé, référentiel de septembre 2018 mis à jour 2024) — certificat LNE n° 38436-2, délivré le 12 septembre 2025, valable jusqu'au 11 septembre 2028. Accréditation Cofrac n° 4-0038.
Statement of Applicability : ISO/IEC 27001:2022 + HDS 2.0 v1.0.0 du 14/04/2025. Site physique couvert : 9 rue de la Krutenau, 67000 Strasbourg.
Infrastructure : 3DS Outscale, région osc-fr1 (Paris, France).
Certificat complet accessible sur demande à [email protected].
Site : scalingo.com

3. Propriété intellectuelle

L'ensemble du contenu de la plateforme DentiClaire (textes, interfaces, code source, logos, éléments graphiques, algorithmes d'analyse, base CCAM) est protégé par le droit d'auteur et le droit de la propriété intellectuelle. La marque « DentiClaire » est déposée auprès de l'INPI. Toute reproduction, représentation ou diffusion, en tout ou partie, sans l'autorisation préalable et écrite de l'éditeur, est interdite.

4. Responsabilité

L'éditeur s'efforce d'assurer l'exactitude des informations diffusées sur la plateforme, mais ne saurait être tenu responsable des omissions, inexactitudes ou interruptions de service. DentiClaire est un outil d'aide à la gestion administrative et ne se substitue pas au jugement professionnel du praticien.

5. Données personnelles

Le traitement des données personnelles est décrit dans notre Politique de confidentialité. Le Délégué à la Protection des Données (DPO), Monsieur Anthony REBECCAI, désigné auprès de la CNIL sous le numéro DPO-172698, est joignable à : [email protected].

Accord de sous-traitance (DPA)

Article 28 du Règlement Général sur la Protection des Données (Règlement UE 2016/679)

Le présent accord fait partie intégrante des CGU et CGV de la Plateforme DentiClaire. Il entre en vigueur dès l'inscription du Responsable sur la Plateforme.

Entre les soussignés

Le Responsable de traitement : Le cabinet dentaire dûment identifié lors de son inscription sur la Plateforme DentiClaire, agissant en qualité de responsable de traitement au sens de l'article 4.7 du RGPD. Ci-après désigné « le Responsable ».

Le Sous-traitant :

DentiClaire SASU au capital de 10 000 €
RCS : 102 075 017 R.C.S. Saint-Pierre de la Réunion
Siège social : 13A chemin Quartz, 97421 Saint-Louis, La Réunion, France
Email : [email protected]
Représentée par son président, Jérémie REBECCAI
Ci-après désigné « le Sous-traitant » ou « DentiClaire ».

Préambule

DentiClaire est une plateforme en mode SaaS permettant aux cabinets dentaires de transformer leurs devis CCAM en documents clairs pour les patients, d'assurer la signature électronique, la gestion des consentements éclairés, les relances automatiques et le suivi statistique.

Dans le cadre de cette prestation, DentiClaire est amenée à traiter des données à caractère personnel, y compris des données de santé, pour le compte du Responsable.

Le présent accord a pour objet de définir les conditions dans lesquelles le Sous-traitant s'engage à effectuer pour le compte du Responsable les opérations de traitement de données à caractère personnel définies ci-après, conformément à l'article 28 du RGPD.

Article 1 — Objet et description du traitement

1.1 Objet

Le présent accord définit les obligations respectives des Parties en matière de protection des données à caractère personnel dans le cadre de l'utilisation de la Plateforme DentiClaire.

1.2 Nature et finalité du traitement

Le Sous-traitant traite les données personnelles pour le compte du Responsable aux fins suivantes :

  • Import, analyse et affichage structuré des devis dentaires (extraction des codes CCAM, identification des actes, calcul des restes à charge)
  • Envoi de communications par email aux patients du Responsable (transmission de devis, relances automatiques, confirmations de signature)
  • Mise à disposition d'un espace patient en ligne pour la consultation, la compréhension et la signature électronique des devis
  • Gestion des consentements éclairés associés aux actes dentaires
  • Production de statistiques et indicateurs d'activité (taux de consultation, taux de signature, délais)
  • Hébergement sécurisé des données sur une infrastructure certifiée HDS

1.3 Durée du traitement

Le traitement est effectué pendant toute la durée de l'abonnement du Responsable à la Plateforme, y compris la période d'essai gratuit. Il prend fin dans les conditions définies à l'article 10 du présent accord.

1.4 Catégories de personnes concernées

  • Les patients du cabinet dentaire du Responsable
  • Les praticiens (chirurgiens-dentistes) du cabinet
  • Le personnel du cabinet (secrétaires, assistantes dentaires) disposant d'un accès à la Plateforme

1.5 Types de données traitées

CatégorieDonnées
Données d'identification patientsNom, prénom, adresse email, numéro de téléphone, adresse postale (tels qu'extraits des devis PDF)
Données de santé patientsContenus des devis dentaires : actes prévus (codes CCAM et libellés), dents concernées, montants, taux de remboursement Sécurité sociale et mutuelle
Données de signatureNom du signataire, adresse IP, user agent du navigateur, horodatage, empreinte SHA-256 du document
Données d'identification praticiensNom, prénom, numéro RPPS, email professionnel
Données du cabinetRaison sociale, adresse, téléphone, email de contact
Données techniquesJournaux d'activité, adresses IP, horodatage des actions

Article 2 — Obligations du Sous-traitant

2.1 Instructions documentées

Traiter les données uniquement sur instruction documentée du Responsable, y compris en ce qui concerne les transferts de données vers un pays tiers. Les présentes CGU, CGV et le présent accord constituent les instructions initiales du Responsable. Toute instruction supplémentaire doit être formulée par écrit.

Si le Sous-traitant estime qu'une instruction constitue une violation du RGPD ou d'autres dispositions relatives à la protection des données, il en informe immédiatement le Responsable.

2.2 Confidentialité

Veiller à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale de confidentialité appropriée.

2.3 Sécurité des données

Mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD. Les mesures mises en œuvre par DentiClaire incluent notamment :

  • Hébergement exclusif sur infrastructure certifiée HDS (Scalingo SAS / 3DS Outscale, France)
  • Chiffrement des communications via HTTPS/TLS
  • Mots de passe hashés avec PBKDF2-SHA256 et sel unique par utilisateur
  • Tokens de session générés de manière cryptographiquement sécurisée
  • Protection contre les attaques par force brute (rate limiting progressif)
  • En-têtes de sécurité HTTP (CSP, X-XSS-Protection, Referrer-Policy, Permissions-Policy)
  • Protection DDoS via Cloudflare
  • Base de données PostgreSQL isolée avec connexions chiffrées
  • Déploiement automatisé via pipeline Git (aucun accès SSH direct)
  • Journalisation des accès et actions pour la traçabilité

2.4 Sous-traitance ultérieure

Le Sous-traitant est autorisé à faire appel aux sous-traitants ultérieurs listés en Annexe 1 du présent accord. Le Sous-traitant s'engage à informer le Responsable de tout changement prévu concernant l'ajout ou le remplacement de sous-traitants ultérieurs, donnant ainsi au Responsable la possibilité d'émettre des objections dans un délai de trente (30) jours.

Le Sous-traitant s'assure que ses sous-traitants ultérieurs présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, et qu'ils sont liés par des obligations contractuelles au moins équivalentes à celles du présent accord.

2.5 Exercice des droits des personnes concernées

Aider le Responsable, dans la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, limitation, opposition) conformément aux articles 15 à 22 du RGPD.

La Plateforme met à disposition du Responsable les fonctionnalités nécessaires pour répondre à ces demandes : export CSV des données, anonymisation des devis, suppression de compte.

2.6 Assistance au Responsable

Aider le Responsable à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD (sécurité, notification de violation, analyse d'impact), compte tenu de la nature du traitement et des informations disponibles.

Article 3 — Notification de violation de données

3.1 Délai de notification

En cas de violation de données à caractère personnel au sens de l'article 4.12 du RGPD, le Sous-traitant notifie le Responsable dans les meilleurs délais et au plus tard dans les quarante-huit (48) heures après en avoir pris connaissance.

3.2 Contenu de la notification

La notification comprend au minimum :

  • La nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d'enregistrements de données concernés)
  • Le nom et les coordonnées du point de contact chez le Sous-traitant
  • Les conséquences probables de la violation
  • Les mesures prises ou que le Sous-traitant propose de prendre pour remédier à la violation et atténuer ses effets

3.3 Coopération

Le Sous-traitant coopère pleinement avec le Responsable pour lui permettre de notifier la violation à l'autorité de contrôle compétente (CNIL) et, le cas échéant, aux personnes concernées, dans les délais prévus par les articles 33 et 34 du RGPD.

Article 4 — Droit d'audit

Le Sous-traitant met à la disposition du Responsable toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent accord et à l'article 28 du RGPD.

Le Sous-traitant permet la réalisation d'audits, y compris des inspections, par le Responsable ou un auditeur mandaté par celui-ci, et contribue à ces audits. Les conditions suivantes s'appliquent :

  • L'audit est annoncé par écrit avec un préavis raisonnable d'au moins trente (30) jours ouvrables
  • L'audit est réalisé pendant les heures ouvrables normales et ne perturbe pas de manière disproportionnée les activités du Sous-traitant
  • L'auditeur est soumis à des obligations de confidentialité appropriées
  • Le Responsable prend en charge les coûts de l'audit, sauf si celui-ci révèle un manquement du Sous-traitant à ses obligations
  • La fréquence des audits est limitée à un (1) audit par année civile, sauf circonstances exceptionnelles (violation de données, demande de l'autorité de contrôle)

Article 5 — Transferts de données hors UE

Les données à caractère personnel sont hébergées en France chez Scalingo SAS (infrastructure 3DS Outscale, région osc-fr1, Paris).

Certaines données peuvent transiter par des sous-traitants ultérieurs établis aux États-Unis (Stripe pour les paiements, Cloudflare pour le CDN et la protection DDoS). Ces transferts sont encadrés par le EU-U.S. Data Privacy Framework, conformément à la décision d'adéquation de la Commission européenne du 10 juillet 2023.

En cas d'invalidation du cadre d'adéquation, le Sous-traitant s'engage à mettre en place des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne pour encadrer ces transferts, ou à cesser le transfert si aucune garantie adéquate ne peut être mise en œuvre.

Article 6 — Obligations du Responsable

Le Responsable s'engage à :

  • Fournir au Sous-traitant des instructions documentées relatives au traitement des données
  • S'assurer qu'il dispose d'une base légale valide pour le traitement des données de santé de ses patients (article 9.2.h du RGPD — gestion des systèmes et services de santé)
  • Informer ses patients du traitement de leurs données via DentiClaire, conformément aux articles 13 et 14 du RGPD
  • Répondre aux demandes d'exercice des droits des personnes concernées (le Sous-traitant apportant son assistance technique)
  • Vérifier l'exactitude des données extraites automatiquement des devis avant envoi aux patients
  • Veiller à la confidentialité de ses identifiants d'accès à la Plateforme

Article 7 — Dispositions spécifiques aux données de santé

Les données extraites des devis dentaires (actes CCAM, dents concernées, diagnostics) constituent des données de santé au sens de l'article 9 du RGPD. À ce titre :

  • Les données sont hébergées exclusivement chez un hébergeur certifié HDS (Scalingo SAS), conformément à l'article L.1111-8 du Code de la santé publique
  • Le Sous-traitant intervient en qualité de prestataire technique du Responsable, lui-même soumis au secret médical au titre de l'article L.1110-4 du Code de la santé publique. Le personnel du Sous-traitant ayant accès aux données est tenu à une obligation contractuelle de confidentialité de portée équivalente
  • Le Sous-traitant ne procède à aucune exploitation secondaire des données de santé
  • L'accès aux données de santé est strictement limité aux personnes habilitées par le Responsable et au personnel technique de DentiClaire dans le cadre de la maintenance et du support
  • Le Sous-traitant ne transmet jamais de données de santé à des tiers, sauf obligation légale
  • Les données de santé ne sont jamais utilisées à des fins de recherche, de statistique ou de marketing sans anonymisation préalable et irréversible
  • Le Sous-traitant met en œuvre un plan de continuité d'activité (PCA) et un plan de reprise d'activité (PRA) hérités de l'hébergeur certifié HDS, garantissant la disponibilité et l'intégrité des données

Article 8 — Durée de conservation

DonnéesDurée de conservation
Données du compteDurée de l'abonnement + 30 jours après suppression du compte
Devis signés10 ans (obligation légale de conservation des preuves de signature électronique)
Devis non signésSupprimés avec le compte
Journaux d'activité1 an, puis suppression automatique
Données de facturation10 ans (obligations comptables)
Tokens de session30 jours (suppression automatique à expiration)

Article 9 — Responsabilité

Chaque Partie est responsable des dommages causés par un traitement qui ne respecte pas les obligations du RGPD qui lui incombent spécifiquement.

Le Sous-traitant n'est tenu responsable que des dommages causés par le traitement lorsqu'il n'a pas respecté les obligations du RGPD qui incombent spécifiquement aux sous-traitants ou lorsqu'il a agi en dehors ou contrairement aux instructions légales du Responsable.

Article 10 — Sort des données en fin de contrat

Au terme de la prestation (résiliation, suppression du compte ou fin d'abonnement), le Sous-traitant s'engage à :

  • Permettre au Responsable d'exporter l'intégralité de ses données dans un format structuré et couramment utilisé (export CSV disponible dans la Plateforme) avant la suppression
  • Supprimer l'ensemble des données à caractère personnel dans un délai de trente (30) jours après la suppression du compte, sous réserve des obligations légales de conservation (notamment les devis signés conservés 10 ans et les données de facturation conservées 10 ans)
  • Anonymiser de manière irréversible les données soumises à conservation légale lorsque l'identification n'est plus nécessaire
  • Fournir au Responsable, sur demande, une attestation écrite certifiant la suppression effective des données

Article 11 — Dispositions générales

11.1 Durée

Le présent accord entre en vigueur à la date d'inscription du Responsable sur la Plateforme et reste en vigueur pendant toute la durée de l'utilisation du service, y compris la période de conservation légale des données après la fin du contrat.

11.2 Modification

Le Sous-traitant peut modifier le présent accord pour refléter les évolutions réglementaires ou techniques. Toute modification substantielle est notifiée au Responsable par email au moins trente (30) jours avant son entrée en vigueur.

11.3 Droit applicable

Le présent accord est régi par le droit français et le RGPD. En cas de litige, les Parties s'efforceront de trouver une solution amiable. À défaut, le litige sera soumis aux tribunaux compétents de Saint-Denis de La Réunion.

11.4 Divisibilité

Si une clause du présent accord est déclarée nulle ou inapplicable, les autres clauses restent pleinement en vigueur.

Annexe 1 — Liste des sous-traitants ultérieurs

Conformément à l'article 2.4 du présent accord, le Sous-traitant fait appel aux sous-traitants ultérieurs suivants :

Sous-traitantRôleDonnées concernéesLocalisation
Scalingo SASHébergement application et BDD (certifié HDS)Toutes les données structuréesFrance (Paris)
Brevo (Sendinblue SAS)Envoi emails et SMS transactionnelsNom, email, téléphone patientFrance / UE
Cloudflare Inc.CDN, DNS, protection DDoSAdresses IP, requêtes HTTPÉtats-Unis *
Cloudflare R2Stockage objet : PDF de devis, radios DentiVision, sauvegardes BDDDocuments et fichiers binaires (chiffrement au repos)États-Unis (réplication globale) *
Stripe Inc.Traitement des paiementsDonnées d'abonnement (aucune donnée patient)États-Unis *
Modal Labs Inc.Inférence IA (DentiVision)Radiographies dentaires (traitées en mémoire, non stockées)États-Unis *
Functional Software Inc. (Sentry)Monitoring d'erreurs applicativesStack traces techniques sans PII (send_default_pii=False)États-Unis *
Anthropic, PBCAPI IA générative (chatbot landing, synthèse rapports admin)Messages textuels — pas de données patientÉtats-Unis *

* Transferts encadrés par le EU-U.S. Data Privacy Framework (décision d'adéquation du 10 juillet 2023).

Le présent accord est accepté de manière dématérialisée par le Responsable lors de son inscription sur la Plateforme DentiClaire. L'acceptation des CGU vaut acceptation du présent accord de sous-traitance.