Politique de confidentialité

Dernière mise à jour : 11 juin 2026

1. Préambule

La présente Politique de confidentialité a pour objet d'informer les utilisateurs de la plateforme Sensident (ci-après la « Plateforme ») des modalités de collecte, de traitement et d'exercice de leurs droits concernant leurs données à caractère personnel, conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679 du 27 avril 2016) et à la loi n° 78-17 du 6 janvier 1978 modifiée, dite loi Informatique et Libertés.

Sensident s'engage à traiter vos données personnelles de manière licite, loyale et transparente, conformément à l'article 5 du RGPD. Les termes utilisés dans la présente politique renvoient aux définitions de l'article 4 du RGPD.

2. Identité du responsable de traitement

Le responsable de traitement, au sens de l'article 4.7 du RGPD, est :

Paul Foucault, exploitant la plateforme Sensident

Entrepreneur individuel ou SAS en cours d'immatriculation

Adresse : à communiquer lors de l'immatriculation

Email : dpo@sensident.fr

Le numéro SIREN sera communiqué dès son attribution par l'INSEE et sera mis à jour sur les Mentions légales de la Plateforme.

3. Délégué à la protection des données (DPO)

Conformément aux articles 37 à 39 du RGPD, Sensident a désigné un Délégué à la Protection des Données (DPO) :

Paul Foucault

Email : dpo@sensident.fr

Le DPO est votre interlocuteur privilégié pour toute question relative à la protection de vos données personnelles et pour l'exercice de vos droits.

4. Données collectées

4.1 Données d'inscription

Lors de votre inscription via le formulaire dédié, les données suivantes sont collectées :

  • Adresse email : nécessaire à l'envoi des newsletters et à la gestion de votre compte.
  • Nom : prénom ou nom d'usage, utilisé pour personnaliser les communications.
  • Token d'invitation : identifiant unique fourni par votre praticien, permettant de vous rattacher au cabinet dentaire correspondant.
  • Consentements : enregistrement de vos choix pour chacune des trois finalités (newsletter, mesure d'audience, réactions), avec horodatage et empreinte technique du formulaire, conformément à l'article 7.1 du RGPD.
  • Préférences newsletter : fréquence, centres d'intérêt éventuels.

4.2 Données de mesure d'audience (heartbeat)

Si vous avez consenti à la Finalité 2 (mesure d'audience), les données suivantes sont collectées via un script JavaScript léger (heartbeat) :

  • Timestamp : horodatage de l'événement de lecture.
  • ArticleSlug : identifiant de l'article consulté.
  • Indicateur de visibilité : confirmation que le bouton de l'article était visible dans le viewport au moment de l'enregistrement.

Ces données permettent exclusivement de mesurer l'audience agrégée des articles et d'améliorer la pertinence du service. Aucune donnée de navigation externe, ni cookie de tracking tiers, ni profilage individuel n'est mis en œuvre.

4.3 Données de réactions

Si vous avez consenti à la Finalité 3 (réactions), les données suivantes sont collectées :

  • Réaction : 👍 (apprécié) ou 👎 (non apprécié).
  • ArticleSlug : identifiant de l'article concerné.

Les réactions permettent au Praticien d'avoir un retour qualitatif agrégé sur ses contenus. Les données individuelles de réaction ne sont accessibles au Praticien qu'après agrégation d'au minimum cinq (5) patients distincts, garantissant ainsi votre anonymat dans les tableaux de bord.

4.4 Données techniques

La Plateforme utilise un cookie de session essentiel au fonctionnement de Next.js. Ce cookie est strictement nécessaire à la fourniture du service et ne nécessite pas de consentement préalable conformément à l'article 82 de la loi Informatique et Libertés et à la délibération CNIL n° 2020-091 du 17 septembre 2020. Aucun cookie tiers, cookie publicitaire ou cookie de tracking n'est déposé sur votre terminal.

Les journaux techniques de connexion (logs serveur) sont conservés pour une durée de 5 ans à des fins de sécurité et de diagnostic, conformément aux obligations de l'article 32 du RGPD.

5. Finalités et bases légales du traitement

5.1 Tableau des finalités

FinalitéBase légaleDonnées concernées
Finalité 1 : Envoi de newsletters de prévention bucco-dentaireConsentement (art. 6.1.a RGPD)
Retrait possible à tout moment
Email, nom, préférences newsletter
Finalité 2 : Mesure d'audience des articlesConsentement (art. 6.1.a RGPD)
Retrait possible à tout moment
Timestamp, articleSlug, indicateur de visibilité
Finalité 3 : Collecte des réactionsConsentement (art. 6.1.a RGPD)
Retrait possible à tout moment
Réaction (👍👎), articleSlug
Gestion des inscriptions, double opt-in, désabonnementsExécution du contrat (art. 6.1.b RGPD)Email, nom, token, consentements
Sécurité, détection d'incidents, logs techniquesIntérêt légitime (art. 6.1.f RGPD) — sécurité des systèmesLogs de connexion et d'accès
Conservation des preuves de consentementObligation légale (art. 6.1.c RGPD) — art. 7.1 RGPDHorodatage, IP masquée, choix de consentement

5.2 Précisions sur les bases légales

Consentement (art. 6.1.a RGPD) : Votre consentement est recueilli pour les Finalités 1, 2 et 3, de manière distincte, libre, spécifique, éclairée et univoque, conformément à l'article 4.11 du RGPD. Vous pouvez retirer votre consentement à tout moment, sans porter atteinte à la licéité du traitement antérieur. Le retrait s'effectue via le lien de désabonnement présent dans chaque newsletter, via votre espace de gestion des préférences, ou par email à dpo@sensident.fr.

Exécution du contrat (art. 6.1.b RGPD) : Les traitements nécessaires à la gestion de votre inscription, à la validation du double opt-in et à la gestion des désabonnements sont fondés sur l'exécution des CGU auxquelles vous adhérez lors de votre inscription.

Intérêt légitime (art. 6.1.f RGPD) : Les traitements de logs techniques à des fins de sécurité reposent sur l'intérêt légitime de Sensident à assurer la sécurité de ses systèmes d'information, conformément à l'article 32 du RGPD. Une mise en balance a été réalisée et ces traitements sont strictement proportionnés à cette finalité.

6. Destinataires des données

Conformément à l'article 28 du RGPD, les données personnelles sont accessibles aux destinataires suivants, dans la stricte limite de leurs attributions respectives :

6.1 Sous-traitants

  • Brevo (anciennement Sendinblue) — sis 106 boulevard Haussmann, 75008 Paris, France : prestataire d'envoi d'emails transactionnels (double opt-in, désabonnement) et de campagnes (newsletters). Les données traitées sont l'adresse email, le nom, et les préférences de communication. Brevo agit en qualité de sous-traitant au sens de l'article 28 du RGPD. Les serveurs de Brevo sont situés en Europe (Allemagne), assurant un niveau de protection adéquat. Un accord de traitement de données (DPA) conforme à l'article 28.3 du RGPD est en vigueur.
  • Hébergeur certifié HDS (Hébergement des Données de Santé) — nom à confirmer, France : la base de données est hébergée sur Neon (AWS Europe Central, Francfort). La migration vers un hébergeur certifié HDS est en cours. Les données de consentement sont conservées chez cet hébergeur. Un DPA conforme à l'article 28.3 du RGPD sera en vigueur.
  • Stripe, Inc. — sis 354 Oyster Point Blvd, South San Francisco, CA 94080, États-Unis : prestataire de services de paiement pour les abonnements des Praticiens. Stripe ne traite pas les données personnelles des Utilisateurs (patients), mais uniquement les données de paiement des Praticiens. Stripe bénéficie des clauses contractuelles types (CCT) de la Commission européenne (décision d'exécution 2021/914 du 4 juin 2021) garantissant un niveau de protection adéquat pour les transferts de données vers les États-Unis.

6.2 Praticien

Le Praticien auquel vous êtes rattaché a accès aux données agrégées et anonymisées de son audience (statistiques de lecture, réactions avec seuil minimum de 5 patients). Le Praticien n'a pas accès à vos données individuelles de lecture ou de réaction. Il peut accéder à votre adresse email et votre nom pour la gestion de votre abonnement, en qualité de responsable conjoint du traitement.

6.3 Communication à des tiers

Sensident s'engage à ne jamais vendre, louer ou céder vos données personnelles à des tiers à des fins commerciales ou publicitaires. Aucune communication à des autorités publiques ne sera effectuée sans cadre légal approprié (réquisition judiciaire, obligation légale).

7. Transferts de données hors de l'Union européenne

Conformément au chapitre V du RGPD (articles 44 à 49), Sensident vous informe des transferts de données suivants :

  • Brevo (Allemagne) : les données nécessaires à l'envoi des emails (adresse email, nom) sont hébergées sur des serveurs situés en Allemagne, au sein de l'Union européenne. Aucun transfert hors UE n'est effectué pour ce traitement.
  • Stripe (États-Unis) : Stripe ne traite pas les données des Utilisateurs (patients). Pour les données des Praticiens (paiement), le transfert est encadré par les Clauses Contractuelles Types (CCT) de la Commission européenne, décision d'exécution 2021/914 du 4 juin 2021, complétées par des mesures techniques et organisationnelles supplémentaires (chiffrement, audit).
  • Neon (AWS Europe Central, Francfort) : les données sont hébergées au sein de l'Union européenne (Allemagne, région AWS eu-central-1). La migration vers un hébergeur certifié HDS en France est en cours.

Pour toute question relative aux garanties encadrant ces transferts, vous pouvez contacter le DPO à dpo@sensident.fr.

8. Durée de conservation des données

Conformément à l'article 5.1.e du RGPD (principe de limitation de la conservation), les données sont conservées pour une durée n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont traitées :

Catégorie de donnéesDurée de conservation en base activeSort du traitement à l'issue
Données d'inscription (email, nom, préférences)Durée de la relation contractuelle + 3 ans à compter du dernier contactSuppression définitive
Données de heartbeat (lecture)12 mois à compter de la collecteSuppression automatique après 12 mois
Données de réactions (👍👎)Durée de la relation contractuelle + 3 ansSuppression ou anonymisation
Preuves de consentement (horodatage, choix)Durée de la relation contractuelle + 5 ans (prescription légale)Suppression définitive
Logs techniques (connexion, sécurité)5 ans (conservation probatoire)Suppression définitive
Données d'inscription non validée (double opt-in expiré)7 joursSuppression automatique

9. Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD et aux articles 48 à 53 de la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :

9.1 Droit d'accès (art. 15 RGPD)

Vous pouvez obtenir la confirmation que vos données sont traitées ou non, et accéder à l'ensemble des données vous concernant détenues par Sensident, accompagnées des informations prévues par l'article 15.1 (a à h) du RGPD (finalités, catégories, destinataires, durée de conservation, etc.).

9.2 Droit de rectification (art. 16 RGPD)

Vous pouvez demander la rectification de vos données personnelles si elles sont inexactes ou incomplètes. Vous pouvez également mettre à jour vos informations directement via votre espace de gestion des préférences.

9.3 Droit à l'effacement — « droit à l'oubli » (art. 17 RGPD)

Vous pouvez demander la suppression de vos données personnelles dans les cas prévus par l'article 17.1 du RGPD, notamment : si les données ne sont plus nécessaires, si vous retirez votre consentement, si vous vous opposez au traitement, ou si le traitement est illicite. Ce droit s'exerce dans les limites prévues par l'article 17.3 du RGPD (obligations légales de conservation notamment).

9.4 Droit à la limitation du traitement (art. 18 RGPD)

Vous pouvez demander la limitation du traitement dans les cas prévus par l'article 18.1 du RGPD : contestation de l'exactitude, traitement illicite avec opposition à l'effacement, constatation ou exercice de droits en justice.

9.5 Droit d'opposition (art. 21 RGPD)

Vous pouvez vous opposer à tout moment au traitement de vos données fondé sur l'intérêt légitime (art. 6.1.f RGPD), pour des raisons tenant à votre situation particulière. Pour les traitements fondés sur le consentement (art. 6.1.a RGPD), le retrait du consentement produit les mêmes effets. Le droit d'opposition s'exerce notamment via le lien de désabonnement présent dans chaque newsletter.

9.6 Droit à la portabilité (art. 20 RGPD)

Vous pouvez recevoir les données que vous avez fournies, dans un format structuré, couramment utilisé et lisible par machine (JSON ou CSV), et les transmettre à un autre responsable de traitement. Ce droit s'applique aux traitements fondés sur le consentement (art. 6.1.a) ou l'exécution d'un contrat (art. 6.1.b), et effectués par des moyens automatisés.

9.7 Droit de définir des directives post-mortem (art. 85 loi Informatique et Libertés)

Vous pouvez définir des directives relatives à la conservation, à l'effacement et à la communication de vos données personnelles après votre décès. Ces directives peuvent être enregistrées auprès d'un tiers de confiance certifié par la CNIL ou directement auprès de Sensident.

10. Modalités d'exercice des droits

Pour exercer vos droits, vous pouvez adresser votre demande :

  • Par email à : dpo@sensident.fr
  • Via le formulaire de contact sur la Plateforme
  • Via votre espace de gestion des préférences (désabonnement, modification)

Conformément à l'article 12.3 du RGPD, Sensident s'engage à accuser réception de votre demande dans un délai de 72 heures ouvrées et à y répondre dans un délai maximal de 30 jours à compter de la réception de la demande complète. Ce délai peut être prolongé de deux mois en cas de complexité de la demande, conformément à l'article 12.3 du RGPD. Vous serez informé de cette prolongation dans le mois suivant la réception de la demande.

La demande doit être accompagnée d'un justificatif d'identité valide. Sensident pourra vous demander des informations complémentaires afin de confirmer votre identité, conformément à l'article 12.6 du RGPD.

L'exercice de vos droits est gratuit. Toutefois, en cas de demande manifestement infondée ou excessive, Sensident pourra exiger le paiement de frais raisonnables ou refuser de donner suite, conformément à l'article 12.5 du RGPD.

11. Mesures de sécurité

Conformément à l'article 32 du RGPD, Sensident met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, notamment :

  • Chiffrement en transit : l'intégralité des communications est chiffrée via TLS 1.3 (HTTPS), empêchant toute interception des données en transit entre votre navigateur et les serveurs de la Plateforme.
  • Sécurité de la base de données : mise en œuvre du Row-Level Security (RLS) sur PostgreSQL, garantissant l'isolation des données entre les différents Praticiens et empêchant tout accès non autorisé.
  • Journalisation : audit logs complets des accès et opérations, permettant la détection et la traçabilité des incidents de sécurité.
  • Agrégation des données : les données de réactions et de lecture présentées au Praticien sont agrégées avec un seuil minimum de 5 patients, garantissant l'anonymat individuel dans les tableaux de bord.
  • Contrôle d'accès : accès aux données strictement limité aux personnes autorisées, avec authentification forte. Politique de moindre privilège.
  • Sauvegardes : sauvegardes quotidiennes chiffrées avec rétention de 30 jours.
  • Mises à jour : application régulière des correctifs de sécurité sur l'ensemble de la stack technique.
  • Hébergement : migration en cours vers un hébergeur certifié HDS (Hébergement des Données de Santé) conformément aux articles L.1111-8 et R.1111-9 et suivants du Code de la santé publique, garantissant des standards de sécurité renforcés pour les données de santé.

12. Cookies et traceurs

Conformément à l'article 82 de la loi Informatique et Libertés et à la délibération CNIL n° 2020-091 du 17 septembre 2020, la Plateforme utilise exclusivement :

  • Cookie de session Next.js : cookie technique strictement nécessaire au fonctionnement de la Plateforme (maintien de session, sécurité CSRF). Ce cookie est exempté de consentement conformément aux lignes directrices de la CNIL. Il expire à la fin de la session de navigation.

Aucun cookie tiers, cookie de tracking, cookie publicitaire ou cookie de mesure d'audience externe (type Google Analytics) n'est déposé sur votre terminal. La mesure d'audience est réalisée exclusivement via le mécanisme de heartbeat interne décrit à l'article 4.2, sans dépôt de cookie.

13. Droit d'introduire une réclamation auprès de la CNIL

Conformément à l'article 77 du RGPD, si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD ou de la loi Informatique et Libertés, vous disposez du droit d'introduire une réclamation auprès de l'autorité de contrôle compétente, la Commission Nationale de l'Informatique et des Libertés (CNIL) :

CNIL

3 Place de Fontenoy — TSA 80715

75334 PARIS CEDEX 07

Téléphone : 01 53 73 22 22

Site web : www.cnil.fr

Cette réclamation peut être introduite sans préjudice de tout autre recours administratif ou juridictionnel.

14. Mise à jour de la Politique de confidentialité

La présente Politique de confidentialité est susceptible d'être modifiée pour tenir compte des évolutions légales, réglementaires, techniques ou fonctionnelles de la Plateforme. En cas de modification substantielle, les Utilisateurs seront informés par email au moins 15 jours avant l'entrée en vigueur des modifications, et invités à prendre connaissance de la nouvelle version.

La date de dernière mise à jour est indiquée en tête de ce document. Nous vous invitons à consulter régulièrement cette page.