Hébergement de Données de Santé (HDS) en France
L'ensemble des données — comptes cabinets, devis, données patients, signatures — est hébergé exclusivement en France chez Scalingo SAS, hébergeur certifié HDS v2.0 conformément à l'article L.1111-8 du Code de la santé publique. L'infrastructure physique est opérée par 3DS Outscale dans leurs datacenters parisiens (région osc-fr1).
Certificat LNE n° 38436-2 (HDS v2.0) — valide du 12 septembre 2025 au 11 septembre 2028. Délivré par le Laboratoire national de métrologie et d'essais sous accréditation Cofrac n° 4-0038. Statement of Applicability ISO/IEC 27001:2022 + HDS 2.0 v1.0.0 du 14 avril 2025.
La certification couvre les 6 activités HDS pertinentes pour DentiClaire : mise à disposition des sites physiques, des infrastructures matérielles, de la plateforme d'hébergement applicatif, de l'infrastructure virtuelle, administration/exploitation du SI et sauvegardes externalisées.
Certificat complet disponible sur simple demande à [email protected].
DentiClaire intervient comme sous-traitant au sens de l'article 28 du RGPD pour le compte des cabinets dentaires, qui restent responsables de traitement des données de leurs patients. L'accord de sous-traitance (DPA) est accessible dans la page mentions légales.
Chiffrement et intégrité des données
Contrôle d'accès et traçabilité
Sous-traitants encadrés
DentiClaire limite strictement le nombre de sous-traitants ayant accès aux données. Chaque sous-traitant est soumis à un contrat imposant des garanties RGPD au moins équivalentes.
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Scalingo SAS | Hébergement application + base de données (certifié HDS) | France (Paris) |
| Brevo (Sendinblue SAS) | Envoi d'emails et SMS transactionnels | France / UE |
| Cloudflare Inc. | CDN, DNS, protection DDoS | États-Unis ¹ |
| Cloudflare R2 | Stockage chiffré des PDF de devis, radios DentiVision et sauvegardes BDD | États-Unis ¹ |
| Stripe Inc. | Traitement des paiements — aucune donnée patient | États-Unis ¹ |
| Modal Labs Inc. | Inférence IA DentiVision — radiographies traitées en mémoire vive, non stockées | États-Unis ¹ |
| Sentry (Functional Software Inc.) | Monitoring d'erreurs applicatives — pas de PII (send_default_pii=False) | États-Unis ¹ |
| Anthropic, PBC | API IA générative pour chatbot landing et synthèse de rapports administratifs | États-Unis ¹ |
¹ Transferts encadrés par le EU-U.S. Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023) + Clauses Contractuelles Types en backup.
Sauvegardes et continuité d'activité
Gestion des incidents de sécurité
En cas de violation de données à caractère personnel au sens de l'article 4.12 du RGPD, DentiClaire notifie le cabinet concerné dans les 48 heures après en avoir pris connaissance — soit 24h plus tôt que le délai légal imposé à la CNIL par l'article 33 RGPD.
La notification précise la nature de l'incident, les catégories de données et personnes concernées, les conséquences probables, et les mesures de remédiation engagées. Un point de contact dédié est maintenu tout au long de la gestion.
Aucun incident de sécurité n'a impacté les données de nos cabinets utilisateurs depuis le lancement de la plateforme.
Intelligence artificielle (DentiVision)
Le module DentiVision analyse les radiographies panoramiques pour aider au diagnostic. Les radiographies sont transmises de manière chiffrée à l'infrastructure d'inférence, traitées exclusivement en mémoire vive, puis supprimées immédiatement après analyse. Aucune image n'est stockée par le sous-traitant d'inférence, ni réutilisée pour entraîner des modèles.
Conformément à l'article 22 du RGPD, ces analyses ne produisent aucun effet juridique automatisé et ne se substituent jamais au jugement du praticien.
Signalement responsable d'une vulnérabilité
Si vous découvrez une vulnérabilité, nous la traitons en priorité. Merci de nous la signaler de manière responsable avant toute divulgation publique, à l'adresse [email protected]. Nous nous engageons à accuser réception sous 48h et à publier un correctif dans un délai proportionné à la gravité.
Conformément à la norme RFC 9116, la politique de divulgation est également publiée à /.well-known/security.txt.
Une question de sécurité ou de conformité ?
Notre Délégué à la Protection des Données — Anthony REBECCAI, désigné auprès de la CNIL sous le numéro DPO-172698 — répond aux demandes des cabinets, auditeurs et services juridiques dans un délai maximum de 30 jours.