La sécurité des données de vos patients, notre obsession.

Hébergement HDS certifié en France, chiffrement de bout en bout, sous-traitants encadrés, notification de violation sous 48h. Voici comment nous protégeons chaque devis que vous nous confiez.

Hébergement HDS — France Chiffrement TLS 1.3 RGPD · DPA Art. 28 DPO déclaré CNIL · DPO-172698
100%
Données en France
TLS 1.3
Communications chiffrées
48h
Délai notif. violation
10 ans
Archivage devis signés

Hébergement de Données de Santé (HDS) en France

L'ensemble des données — comptes cabinets, devis, données patients, signatures — est hébergé exclusivement en France chez Scalingo SAS, hébergeur certifié HDS v2.0 conformément à l'article L.1111-8 du Code de la santé publique. L'infrastructure physique est opérée par 3DS Outscale dans leurs datacenters parisiens (région osc-fr1).

Certificat LNE n° 38436-2 (HDS v2.0) — valide du 12 septembre 2025 au 11 septembre 2028. Délivré par le Laboratoire national de métrologie et d'essais sous accréditation Cofrac n° 4-0038. Statement of Applicability ISO/IEC 27001:2022 + HDS 2.0 v1.0.0 du 14 avril 2025.

La certification couvre les 6 activités HDS pertinentes pour DentiClaire : mise à disposition des sites physiques, des infrastructures matérielles, de la plateforme d'hébergement applicatif, de l'infrastructure virtuelle, administration/exploitation du SI et sauvegardes externalisées.

Certificat complet disponible sur simple demande à [email protected].

DentiClaire intervient comme sous-traitant au sens de l'article 28 du RGPD pour le compte des cabinets dentaires, qui restent responsables de traitement des données de leurs patients. L'accord de sous-traitance (DPA) est accessible dans la page mentions légales.

Chiffrement et intégrité des données

HTTPS/TLS 1.3sur l'ensemble de la plateforme, HSTS activé avec preload.
PostgreSQL isoléconnexions chiffrées, accès réseau restreint.
Mots de passe PBKDF2-SHA256avec sel cryptographique unique par utilisateur.
Tokens cryptographiquement sûrspour les sessions et les liens patients.
Signature électronique SHA-256empreinte du document, horodatage, IP et user-agent consignés.
En-têtes HTTP de sécuritéCSP avec nonce, X-Frame-Options, Referrer-Policy, Permissions-Policy.

Contrôle d'accès et traçabilité

Rôles granulairesadministrateur, dentiste, secrétaire — droits différenciés par utilisateur.
Protection brute-forcerate-limiting progressif par IP et par compte, blocage temporaire.
Protection DDoSvia Cloudflare, couche WAF et filtrage du trafic malveillant.
Journalisation complèteaccès, actions, horodatage et IP tracés pendant 1 an (art. 32 RGPD).
Déploiement sans accès SSH directtoutes les modifs passent par pipeline Git auditable.
Secret médical étendupersonnel DentiClaire lié à une obligation contractuelle équivalente au secret médical (L1110-4 CSP).

Sous-traitants encadrés

DentiClaire limite strictement le nombre de sous-traitants ayant accès aux données. Chaque sous-traitant est soumis à un contrat imposant des garanties RGPD au moins équivalentes.

Sous-traitantRôleLocalisation
Scalingo SASHébergement application + base de données (certifié HDS)France (Paris)
Brevo (Sendinblue SAS)Envoi d'emails et SMS transactionnelsFrance / UE
Cloudflare Inc.CDN, DNS, protection DDoSÉtats-Unis ¹
Cloudflare R2Stockage chiffré des PDF de devis, radios DentiVision et sauvegardes BDDÉtats-Unis ¹
Stripe Inc.Traitement des paiements — aucune donnée patientÉtats-Unis ¹
Modal Labs Inc.Inférence IA DentiVision — radiographies traitées en mémoire vive, non stockéesÉtats-Unis ¹
Sentry (Functional Software Inc.)Monitoring d'erreurs applicatives — pas de PII (send_default_pii=False)États-Unis ¹
Anthropic, PBCAPI IA générative pour chatbot landing et synthèse de rapports administratifsÉtats-Unis ¹

¹ Transferts encadrés par le EU-U.S. Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023) + Clauses Contractuelles Types en backup.

Sauvegardes et continuité d'activité

Sauvegardes quotidiennes automatiséesPITR (Point-In-Time Recovery) sur la base de données.
Réplication multi-zonehéritée de l'infrastructure HDS Scalingo / 3DS Outscale.
PCA / PRAplans de continuité et de reprise d'activité au niveau de l'hébergeur HDS.
Export CSV illimitévos données vous appartiennent, exportables à tout moment.

Gestion des incidents de sécurité

En cas de violation de données à caractère personnel au sens de l'article 4.12 du RGPD, DentiClaire notifie le cabinet concerné dans les 48 heures après en avoir pris connaissance — soit 24h plus tôt que le délai légal imposé à la CNIL par l'article 33 RGPD.

La notification précise la nature de l'incident, les catégories de données et personnes concernées, les conséquences probables, et les mesures de remédiation engagées. Un point de contact dédié est maintenu tout au long de la gestion.

Aucun incident de sécurité n'a impacté les données de nos cabinets utilisateurs depuis le lancement de la plateforme.

Intelligence artificielle (DentiVision)

Le module DentiVision analyse les radiographies panoramiques pour aider au diagnostic. Les radiographies sont transmises de manière chiffrée à l'infrastructure d'inférence, traitées exclusivement en mémoire vive, puis supprimées immédiatement après analyse. Aucune image n'est stockée par le sous-traitant d'inférence, ni réutilisée pour entraîner des modèles.

Conformément à l'article 22 du RGPD, ces analyses ne produisent aucun effet juridique automatisé et ne se substituent jamais au jugement du praticien.

Signalement responsable d'une vulnérabilité

Si vous découvrez une vulnérabilité, nous la traitons en priorité. Merci de nous la signaler de manière responsable avant toute divulgation publique, à l'adresse [email protected]. Nous nous engageons à accuser réception sous 48h et à publier un correctif dans un délai proportionné à la gravité.

Conformément à la norme RFC 9116, la politique de divulgation est également publiée à /.well-known/security.txt.

Une question de sécurité ou de conformité ?

Notre Délégué à la Protection des Données — Anthony REBECCAI, désigné auprès de la CNIL sous le numéro DPO-172698 — répond aux demandes des cabinets, auditeurs et services juridiques dans un délai maximum de 30 jours.