Kinedo

Politique de confidentialité (RGPD)

Dernière mise à jour : 14 avril 2026

1. Responsable du traitement

Kinedo (ci-après « nous ») est responsable du traitement de vos données personnelles au sens du Règlement Général sur la Protection des Données (RGPD, UE 2016/679). Pour toute question relative à cette politique, contactez-nous à privacy@kinedo.app.

2. Données collectées

Données d'identification (praticiens)

  • Nom, prénom, email, photo de profil (optionnelle)
  • Mot de passe (haché, non accessible en clair)
  • Numéros professionnels : RPPS, ADELI
  • Informations de facturation : entreprise, SIRET, TVA, adresse

Données de santé (patients)

Kinedo traite des données de santé au sens de l'article 9 du RGPD, incluant :

  • Identité du patient (nom, prénom, email, téléphone, date de naissance)
  • Notes médicales renseignées par le praticien
  • Plans de rééducation, séances, exercices prescrits
  • Suivi d'assiduité (validations et passages de séances)
  • Messages échangés avec le praticien, y compris pièces jointes

Données techniques

  • Cookies d'authentification (Supabase Auth)
  • Journaux de connexion (IP, user-agent, horodatage)

3. Finalités et bases légales

FinalitéBase légale
Fourniture du service de suivi patientExécution du contrat (art. 6.1.b)
Traitement des données de santéConsentement explicite du patient (art. 9.2.a) + mission de prévention/soin (art. 9.2.h)
Facturation et comptabilitéObligation légale (art. 6.1.c)
Sécurité et prévention de la fraudeIntérêt légitime (art. 6.1.f)

4. Hébergement et hébergeur de données de santé (HDS)

Kinedo est hébergé sur Vercel (États-Unis pour le frontend) et Supabase (pour la base de données et le stockage des fichiers). Nos projets Supabase sont provisionnés sur des régions européennes (Francfort) pour rester conformes au RGPD.

⚠️ Important pour la prod : avant toute commercialisation publique auprès de praticiens français, Kinedo devra soit obtenir une certification HDS, soit utiliser exclusivement un hébergeur certifié HDS (OVH Healthcare, Outscale, AWS HDS, etc.). Cette politique sera mise à jour en conséquence.

5. Durée de conservation

  • Compte praticien actif : durée de l'abonnement + 30 jours après résiliation.
  • Données patient : durée du suivi + 10 ans (obligation légale relative aux dossiers médicaux en France).
  • Logs de connexion : 12 mois maximum.
  • Factures : 10 ans (obligation comptable).

6. Vos droits (RGPD)

Vous disposez des droits suivants sur vos données :

  • Droit d'accès : obtenir une copie de vos données.
  • Droit de rectification : corriger des informations inexactes.
  • Droit à l'effacement (« droit à l'oubli ») : supprimer vos données, sous réserve des obligations légales de conservation.
  • Droit à la portabilité : récupérer vos données dans un format structuré et lisible.
  • Droit d'opposition : vous opposer au traitement pour motif légitime.
  • Droit de retirer votre consentement à tout moment.

Pour exercer ces droits, contactez-nous à privacy@kinedo.app. Nous répondons dans un délai maximum de 30 jours.

7. Sous-traitants

Nous partageons vos données uniquement avec les sous-traitants indispensables au fonctionnement du service :

  • Supabase — base de données, authentification, stockage de fichiers (Allemagne).
  • Vercel — hébergement de l'application (UE).
  • Resend — envoi d'emails transactionnels (UE/US).
  • Stripe — traitement des paiements (UE/US, certifié PCI-DSS niveau 1).

Tous ces prestataires sont engagés par contrat à respecter les mêmes standards de confidentialité et de sécurité.

8. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles adaptées pour protéger vos données : chiffrement en transit (TLS 1.3), authentification forte, isolation des données via Row-Level-Security (RLS), sauvegardes régulières, journalisation des accès, et révision périodique de nos politiques de sécurité.

9. Réclamation

Si vous estimez que vos droits ne sont pas respectés, vous pouvez déposer une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr.

⚠️ Cette politique est un modèle de démarrage. Avant toute mise en ligne publique, elle devra être validée par un avocat spécialisé en protection des données et en droit de la santé.