Politique de Confidentialité
Dernière mise à jour : 4 avril 2026
PharmConnect SAS (ci-après "PharmConnect", "nous") s'engage à protéger la vie privée de ses utilisateurs conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi Informatique et Libertés du 6 janvier 1978 modifiée.
La présente politique décrit les données que nous collectons, pourquoi nous les collectons, comment nous les protégeons et quels sont vos droits.
1. Responsable du Traitement
PharmConnect SAS
Siège social : [À compléter]
SIRET : [À compléter]
Directeur de la publication : Amrous Bourdim
Email DPO : dpo@pharmconnect.fr
2. Données Personnelles Collectées
Nous collectons uniquement les données nécessaires au fonctionnement du service, conformément au principe de minimisation (article 5-1-c du RGPD).
2.1 Données d'identité (tous les Utilisateurs)
- Nom et prénom
- Adresse email
- Numéro de téléphone (optionnel)
- Photo de profil (optionnel)
- Mot de passe (hashé, jamais stocké en clair)
2.2 Données professionnelles (Candidats)
- Profession (pharmacien, préparateur, étudiant)
- Numéro RPPS (pour la vérification professionnelle)
- Diplômes et certificats (copies numérisées)
- Expérience professionnelle et compétences
- Logiciels de pharmacie maîtrisés
- Disponibilités et zones géographiques de préférence
2.3 Données d'entreprise (Employeurs)
- Nom et adresse de l'officine
- Numéro SIRET
- Numéro de TVA intracommunautaire
- Extrait K-bis (optionnel, pour vérification)
- Coordonnées du représentant légal
2.4 Données sensibles — NIR (numéro de sécurité sociale)
Dans le cadre de la procédure DPAE (Déclaration Préalable à l'Embauche), le numéro de sécurité sociale (NIR) du Candidat peut être collecté. Ce traitement est justifié par une obligation légale (article R.1221-1 du Code du Travail).
Le NIR est chiffré au repos avec l'algorithme AES-256-GCM (chiffrement authentifié). Il n'est jamais stocké en clair dans la base de données. Le déchiffrement n'intervient qu'au moment de la transmission à l'URSSAF.
2.5 Données de localisation
- Adresse postale (officine ou candidat)
- Ville et code postal
- Coordonnées géographiques (calculées à partir de l'adresse pour le matching géographique — jamais de géolocalisation en temps réel)
2.6 Données de paiement
Les données de carte bancaire et de prélèvement SEPA sont traitées exclusivement par Stripe (certifié PCI-DSS niveau 1). PharmConnect ne stocke, ne traite et n'a jamais accès aux numéros de carte bancaire complets. Seuls les quatre derniers chiffres et la date d'expiration sont affichés dans l'interface à des fins d'identification.
2.7 Données techniques
- Adresse IP (pour la sécurité et les logs RGPD)
- Type de navigateur et système d'exploitation
- Pages visitées et horodatage (monitoring applicatif)
- Enregistrements de session anonymisés (Sentry Replay — tous les textes sont masqués, voir section Cookies)
3. Finalités et Base Légale du Traitement
| Finalité | Base légale (RGPD) | Données concernées |
|---|---|---|
| Création et gestion du compte | Exécution du contrat (art. 6-1-b) | Identité, email, mot de passe |
| Mise en relation professionnelle | Exécution du contrat (art. 6-1-b) | Profil, compétences, localisation |
| Vérification RPPS et qualifications | Intérêt légitime (art. 6-1-f) | RPPS, diplômes, pièce d'identité |
| Génération des contrats de travail | Exécution du contrat (art. 6-1-b) | Identité, données entreprise |
| DPAE auprès de l'URSSAF | Obligation légale (art. 6-1-c) | NIR, identité, données employeur |
| Facturation et comptabilité | Obligation légale (art. 6-1-c) | Données de paiement, factures |
| Support client et messagerie | Exécution du contrat (art. 6-1-b) | Messages, emails, identité |
| Monitoring et correction de bugs | Intérêt légitime (art. 6-1-f) | Données techniques, sessions replay |
| Communications marketing | Consentement (art. 6-1-a) | |
| Sécurité et prévention de la fraude | Intérêt légitime (art. 6-1-f) | IP, logs, tentatives de connexion |
4. Durée de Conservation des Données
| Type de données | Durée de conservation | Justification |
|---|---|---|
| Données du compte actif | Durée de l'inscription | Nécessaire au service |
| Après suppression du compte | 30 jours (anonymisation) | Délai technique de suppression |
| Données de facturation | 10 ans | Obligation légale (art. L.123-22 C. com.) |
| Contrats de mission signés | 5 ans après fin du contrat | Prescription légale (art. 2224 C. civ.) |
| NIR (chiffré) | 3 mois après la DPAE | Minimisation — suppression après usage |
| Logs RGPD (consentement) | 5 ans | Preuve du consentement |
| Logs techniques (IP, erreurs) | 12 mois | Sécurité et débogage |
| Comptes inactifs | Notification à 12 mois, suppression à 24 mois | Minimisation des données |
5. Sous-traitants et Destinataires des Données
Nous faisons appel aux sous-traitants suivants pour le fonctionnement de la Plateforme. Chacun est lié par un accord de traitement des données (DPA) conforme à l'article 28 du RGPD :
| Service | Prestataire | Données traitées | Localisation |
|---|---|---|---|
| Base de données & authentification | Supabase (AWS) | Toutes les données applicatives | UE (Francfort, Allemagne) |
| Hébergement web | Vercel Inc. | Données techniques, pages servies | USA (SCC) |
| Paiements | Stripe Inc. | Données bancaires, transactions | UE / USA (SCC) |
| Signature électronique | Yousign SAS | Contrats, identité des signataires | France |
| Emails transactionnels | Resend Inc. | Email, nom du destinataire | USA (SCC) |
| Monitoring & erreurs | Sentry (Functional Software Inc.) | Données techniques, sessions anonymisées | USA (SCC) |
| Rate limiting | Upstash Inc. | Clés anonymisées (IP hashée) | UE (Francfort) / USA (SCC) |
SCC = Clauses Contractuelles Types (Standard Contractual Clauses) conformes au RGPD pour les transferts de données hors de l'Espace Économique Européen, adoptées par la Commission européenne (décision d'exécution 2021/914).
Aucune donnée n'est vendue, louée ou partagée avec des tiers à des fins publicitaires ou commerciales.
6. Transferts de Données hors de l'Union Européenne
Certains de nos sous-traitants sont établis aux États-Unis (Vercel, Resend, Sentry). Pour chaque transfert, nous nous assurons que des garanties appropriées sont en place :
- Clauses Contractuelles Types (SCC) approuvées par la Commission européenne
- EU-US Data Privacy Framework pour les prestataires certifiés (Stripe, Vercel)
- Mesures techniques complémentaires : chiffrement en transit (TLS 1.3) et au repos, pseudonymisation des données dans les outils de monitoring
La base de données principale (Supabase) et les données de paiement (Stripe) sont hébergées dans l'Union Européenne.
7. Cookies et Technologies Similaires
7.1 Cookies strictement nécessaires (exemptés de consentement)
| Cookie | Finalité | Durée |
|---|---|---|
| sb-*-auth-token | Authentification Supabase | Session / 1 an |
| __vercel_* | Protection et routage Vercel | Session |
7.2 Monitoring applicatif (intérêt légitime)
Sentry collecte des données techniques pour la détection et la correction des erreurs. La fonctionnalité Session Replay enregistre les sessions utilisateur avec les protections suivantes :
- Tous les textes sont masqués (option
maskAllText: true) — aucun contenu personnel n'est lisible dans les replays - Taux d'échantillonnage : 10 % des sessions normales, 100 % des sessions avec erreur
- Conservation : 90 jours (paramètre Sentry par défaut)
7.3 Aucun cookie publicitaire
PharmConnect n'utilise aucun cookie publicitaire, aucun tracker tiers (Google Analytics, Facebook Pixel, etc.) et ne participe à aucun réseau publicitaire.
8. Mesures de Sécurité
PharmConnect met en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données :
- Chiffrement en transit : HTTPS/TLS 1.3 sur l'ensemble de la Plateforme, en-têtes HSTS activés
- Chiffrement au repos : base de données chiffrée (Supabase/AWS), NIR chiffré en AES-256-GCM
- Authentification sécurisée : mots de passe hashés (bcrypt via Supabase Auth), tokens JWT
- Contrôle d'accès : Row Level Security (RLS) dans la base de données, contrôle par rôle (Candidat, Employeur, Admin)
- Protection des API : rate limiting (Upstash Redis), validation des entrées, protection CSRF
- En-têtes de sécurité : X-Frame-Options (DENY), X-Content-Type-Options (nosniff), Referrer-Policy, Permissions-Policy, Strict-Transport-Security
- Monitoring : surveillance des erreurs en temps réel (Sentry), alertes automatisées
- Masquage des données sensibles : RPPS, SIRET, NIR partiellement masqués dans l'interface utilisateur
9. Vos Droits
Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (art. 15) — Obtenir la confirmation que vos données sont traitées et en recevoir une copie complète
- Droit de rectification (art. 16) — Corriger des données inexactes ou incomplètes, directement dans les paramètres de votre compte ou sur demande
- Droit à l'effacement (art. 17) — Demander la suppression de vos données personnelles, sous réserve des obligations légales de conservation
- Droit à la limitation du traitement (art. 18) — Demander la suspension du traitement dans certaines conditions
- Droit à la portabilité (art. 20) — Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON ou CSV)
- Droit d'opposition (art. 21) — Vous opposer au traitement de vos données fondé sur l'intérêt légitime
- Droit de retrait du consentement — Retirer votre consentement à tout moment pour les communications marketing, sans affecter la licéité du traitement antérieur
Comment exercer vos droits
- En autonomie : rendez-vous dans Paramètres > Données personnelles de votre compte pour modifier, exporter ou supprimer vos données
- Par email : contactez notre DPO à dpo@pharmconnect.fr en joignant une preuve d'identité. Nous répondons dans un délai maximum d'un (1) mois.
Si vous estimez que le traitement de vos données n'est pas conforme, vous avez le droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
10. Protection des Mineurs
La Plateforme est destinée aux professionnels de santé majeurs (18 ans et plus). Nous ne collectons pas sciemment de données personnelles de mineurs. Si nous découvrons qu'un mineur s'est inscrit, son compte sera supprimé sans délai.
11. Modification de la Politique
Nous pouvons mettre à jour cette politique pour refléter les évolutions de nos pratiques ou de la réglementation. En cas de modification substantielle, vous serez informé par email et par notification sur la Plateforme au moins quinze (15) jours avant l'entrée en vigueur.
La date de dernière mise à jour figure en haut de cette page.
12. Contact — Délégué à la Protection des Données
Délégué à la Protection des Données (DPO)
PharmConnect SAS
Email : dpo@pharmconnect.fr
Adresse : [À compléter — siège social]