Politique de confidentialité & RGPD

1. Responsable du traitement

SAS Maha Giri, RCS Paris 103 427 100, Bureau 326, 59 rue de Ponthieu, 75008 Paris. DPO : dpo@mahagiri.fr.

Précision sur la qualification : SAS Maha Giri est responsable de traitement pour les données strictement nécessaires à la fourniture de la plateforme (compte praticien, facturation, sécurité). Pour les données échangées entre un client final et son praticien (contenu des messages, motifs de consultation, suivi du parcours de soins), SAS Maha Giri agit en simple sous-traitant technique au sens de l'art. 28 RGPD : chaque praticien reste seul responsable du traitement de ces données vis-à-vis de ses clients.

2. Données collectées

• Comptes praticiens : nom, prénom, email, mot de passe (haché bcrypt), téléphone, SIRET, photo, biographie, services proposés, tarifs.
• Réservations : nom, email, téléphone du client final, date, prestation choisie, notes libres saisies par le client.
• Paiements : traités par Stripe (PCI-DSS Niveau 1). Aucun numéro de carte n'est stocké sur nos serveurs.
• Logs techniques : adresse IP, user-agent, horodatage des requêtes (conservation 12 mois pour sécurité).

2 bis. Politique « no-health-data » (RGPD art. 9)

Conformément à l'article 16 des CGV Plateforme, Maha Giri ne collecte, ne traite, ni n'héberge aucune donnée concernant la santé identifiable au sens de l'article 9 RGPD. Aucun champ de la plateforme ne permet la saisie de motif de consultation, symptôme, antécédent, contre-indication ou traitement.

Mesures techniques en place :

• la colonne « notes » des réservations a été supprimée du schéma de base de données ;
• le champ « message » du formulaire de contact public est limité à 500 caractères avec avertissement explicite ;
• le contenu de ce champ est relayé immédiatement par e-mail au praticien, puis automatiquement effacé de la base au bout de 7 jours (cron quotidien) ; seule la métadonnée (qui a contacté qui, quand) est conservée ;
• les éventuels échanges contenant des informations de santé ont lieu directement entre le client et le praticien, hors plateforme (téléphone, e-mail personnel, échange en cabinet, outil tiers du praticien).

Le respect de l'article 9 RGPD côté praticien (recueil du consentement explicite, sécurité du dossier client, secret professionnel) relève de la responsabilité exclusive du praticien, qui agit en qualité de responsable de traitement indépendant pour son propre dossier client.

Recommandation forte : ne saisissez aucune donnée médicale précise (diagnostic, traitement, antécédent pathologique) dans les formulaires publics. Réservez ces échanges au cabinet, par téléphone, ou par messagerie sécurisée du praticien.

Vous pouvez retirer ce consentement à tout moment en écrivant à dpo@mahagiri.fr : le retrait n'affecte pas la licéité des traitements antérieurs.

3. Finalités & bases légales

• Exécution du contrat (art. 6.1.b RGPD) : création de votre vitrine, gestion des RDV, facturation.
• Obligation légale (art. 6.1.c) : facturation, comptabilité, lutte contre la fraude.
• Intérêt légitime (art. 6.1.f) : sécurité, prévention des abus.
• Consentement (art. 6.1.a) : emails marketing (opt-in explicite, désinscription un clic).
• Consentement (art. 6.1.a RGPD) : envoi de messages via le formulaire de contact public, abonnement éventuel à une newsletter (cf. §2 bis pour la politique no-health-data).

4. Durée de conservation

• Compte actif : pendant la durée de l'abonnement + 5 ans après résiliation (prescription commerciale, art. L.110-4 Code de commerce — alignement CGV art. 21)
• Données de facturation : 10 ans (Code commerce art. L.123-22)
• Logs techniques : 12 mois
• Cookies : 13 mois maximum (CNIL)

5. Vos droits (RGPD art. 15 à 22)

Vous disposez d'un droit : d'accès, de rectification, d'effacement ("droit à l'oubli"), de limitation, d'opposition, et de portabilité de vos données.

Pour exercer ces droits : dpo@mahagiri.fr. Réponse sous 30 jours maximum.

Export complet et suppression de compte sont également disponibles depuis votre espace praticien : Paramètres > Compte > Mes données.

6. Réclamation CNIL

Vous pouvez introduire une réclamation auprès de la CNIL : www.cnil.fr/fr/plaintes.

7. Sous-traitants & transferts hors UE (RGPD art. 44 à 49)

Liste exhaustive des sous-traitants intervenant dans le traitement de vos données :

• Stripe (Irlande, transferts US) — paiements ; SCC Module 1 + DPF (Data Privacy Framework UE-US).
• Hostinger International Limited (Chypre) — hébergement principal des serveurs en UE.
• Cloudflare (Irlande, transferts US) — CDN/sécurité périmétrique ; SCC + DPF.
• Postal — emails transactionnels, instance auto-hébergée sur nos serveurs UE.
• Bunny.net (BunnyWay d.o.o., Slovénie, UE) — diffusion vidéo et transcriptions ; pas de données client final.
• Cloudflare R2 (Irlande, transferts US) — stockage objets (médias, exports) ; SCC + DPF.
• OVH SAS (France) — bureau d'enregistrement de noms de domaine pour l'option « domaine personnalisé ».
• Telegram Messenger LLP (Royaume-Uni, décision d'adéquation UE) — alertes opérationnelles internes uniquement, aucune donnée client.
• Anthropic PBC (États-Unis) — modèle d'IA Claude utilisé par l'assistant E-CARE pour répondre aux questions des praticiens sur l'usage du builder. Aucune donnée client final ni donnée de santé n'est transmise à Anthropic. Base légale : SCC Module 2 + dérogation art. 49.1.b RGPD (exécution d'un contrat à la demande de la personne concernée).

Pour les transferts vers les États-Unis, des clauses contractuelles types (SCC, décision Commission UE 2021/914) ainsi qu'une analyse d'impact transfert (TIA Schrems II) ont été conclues. Les copies sont disponibles sur demande motivée à dpo@mahagiri.fr.

8. Sécurité

Mots de passe hachés bcrypt, communications HTTPS/TLS 1.3, authentification de session signée HMAC-SHA-256, sauvegardes quotidiennes chiffrées, journalisation des accès admin, hardening progressif au regard du référentiel ANSSI/CERT-FR applicable au titre de la directive NIS2 (UE 2022/2555).

8 bis. Violation de données personnelles (RGPD art. 33-34)

En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, SAS Maha Giri notifie la CNIL dans un délai maximal de 72 heures après en avoir pris connaissance, conformément à l'article 33 du RGPD. Lorsque la violation est susceptible d'engendrer un risque élevé, les personnes concernées en sont également informées dans les meilleurs délais, conformément à l'article 34 du RGPD. Un registre interne des violations est tenu à jour et conservé pendant 5 ans à des fins de traçabilité.

9. Mineurs

La plateforme Giri Soins n'est pas destinée aux mineurs de moins de 15 ans. Aucune inscription pour son propre compte n'est ouverte avant cet âge. Pour la prise de rendez-vous d'un mineur par un représentant légal, le consentement parental explicite est obligatoire et engage la responsabilité du représentant légal.

10. Modifications

Toute modification substantielle de la présente politique est notifiée aux comptes actifs par email avec un préavis de 15 jours. La version applicable est la dernière publiée sur cette page ; un historique signé est conservé en base et disponible sur demande.