Politique de Confidentialité - Kiné Helper

Dernière mise à jour : 2 Octobre 2025

1. Introduction

Kiné Helper est une application mobile destinée aux kinésithérapeutes pour la gestion de leur cabinet. La protection de vos données et de celles de vos patients est notre priorité absolue.

Cette politique explique comment nous collectons, utilisons, stockons et protégeons vos informations personnelles et celles de vos patients, conformément au Règlement Général sur la Protection des Données (RGPD).

2. Responsable du traitement

Gianni Vullo
Email : [email protected]
Numéro d’entreprise : be0641787533

En tant que kinésithérapeute utilisant Kiné Helper, vous êtes également responsable du traitement des données de vos patients.

3. Données collectées

3.1 Données du praticien (vous)

Informations d’identification (nom, prénom, numéro INAMI, numéro national)
Coordonnées (email, téléphone, adresse du cabinet)
Informations professionnelles (diplômes, spécialisations, n°BCE, IBAN et toutes autres informations nécessaires au bon fonctionnement de Kiné Helper)
Données de connexion et d’utilisation de l’application

3.2 Données des patients

Informations d’identification (nom, prénom, date de naissance, numéro de registre national)
Coordonnées (adresse, téléphone, email)
Données de santé (pathologies, traitements, notes cliniques, prescriptions, documents au médecins conseils, évaluations…)
Historique des soins et attestations
Données de facturation et mutuelles

3.3 Données techniques

Identifiants de l’appareil
Logs d’utilisation de l’application
Données de diagnostic en cas d’erreur

4. Base légale du traitement

Nous traitons vos données sur les bases légales suivantes :

Exécution du contrat : pour fournir les fonctionnalités de l’application
Obligation légale : conservation des données de santé selon la législation belge
Intérêt légitime : amélioration de l’application et support technique
Consentement : pour certaines fonctionnalités optionnelles

Pour les données de santé des patients, la base légale est l’exercice de votre activité professionnelle médicale.

5. Utilisation des données

Nous utilisons vos données uniquement pour :

Fournir les services de l’application (gestion de cabinet, attestations, facturation)
Assurer le fonctionnement technique de l’application
Vous fournir un support technique
Respecter nos obligations légales
Améliorer l’application (données anonymisées uniquement)

Nous ne vendons JAMAIS vos données à des tiers.

6. Stockage et sécurité des données

6.1 Hébergement

Vos données sont hébergées sur des serveurs sécurisés Supabase, situés dans l’Union Européenne (conformément au RGPD).

6.2 Mesures de sécurité

Chiffrement des données en transit (HTTPS/TLS)
Chiffrement des données au repos
Authentification sécurisée
Accès restreint aux données
Sauvegardes régulières et chiffrées
Surveillance continue de la sécurité

6.3 Stockage local

Certaines données peuvent être stockées temporairement sur votre appareil pour permettre un fonctionnement hors ligne. Ces données sont protégées par les mécanismes de sécurité de votre appareil.

7. Partage des données

Vos données ne sont partagées qu’avec :

Supabase (hébergement cloud) : sous contrat de sous-traitance conforme RGPD
Autorités compétentes : uniquement en cas d’obligation légale

Nous ne partageons pas vos données avec :

Des annonceurs
Des sociétés de marketing
Des tiers non autorisés

8. Conservation des données

Données du praticien : conservées tant que vous utilisez l’application, puis 3 mois après la suppression de votre compte
Données des patients : conservées selon les obligations légales belges (minimum 30 ans pour les dossiers médicaux)
Logs techniques : conservés 12 mois maximum

Vous pouvez demander la suppression anticipée de vos données, sous réserve des obligations légales de conservation.

9. Vos droits (RGPD)

Conformément au RGPD, vous disposez des droits suivants :

Droit d’accès : obtenir une copie de vos données
Droit de rectification : corriger vos données inexactes
Droit à l’effacement : supprimer vos données (sous réserve des obligations légales)
Droit à la limitation : limiter le traitement de vos données
Droit à la portabilité : recevoir vos données dans un format structuré
Droit d’opposition : vous opposer au traitement de vos données
Droit de retirer votre consentement : pour les traitements basés sur le consentement

Pour exercer ces droits, contactez-nous à : [email protected]

Vous avez également le droit d’introduire une réclamation auprès de l’Autorité de Protection des Données (APD) : https://www.autoriteprotectiondonnees.be/

10. Données de santé et secret professionnel

En tant que professionnel de santé, vous êtes tenu au secret professionnel. Kiné Helper est conçu pour respecter cette obligation :

Les données de santé sont strictement confidentielles
Accès limité à vous seul (et vos collaborateurs autorisés le cas échéant)
Chiffrement renforcé pour les données sensibles

11. Sous-traitants

Nous travaillons avec les sous-traitants suivants, tous conformes RGPD :

Supabase : hébergement et base de données (UE)

Tous nos sous-traitants sont liés par des accords de traitement des données conformes au RGPD.

12. Transferts internationaux

Vos données sont stockées exclusivement dans l’Union Européenne. Aucun transfert hors UE n’est effectué.

13. Cookies et trackers

L’application n’utilise pas de cookies publicitaires. Les seules données de tracking concernent :

L’authentification (tokens de session)
Les analyses d’erreurs (anonymisées)

14. Mineurs

Kiné Helper est destiné aux professionnels de santé. Les données de patients mineurs sont traitées dans le cadre de votre activité professionnelle, sous votre responsabilité.

15. Modifications de la politique

Nous pouvons mettre à jour cette politique de confidentialité. Vous serez informé de tout changement important par email ou notification dans l’application.

16. Contact

Pour toute question concernant cette politique ou vos données :

Email : [email protected]

Délégué à la Protection des Données (DPO)
Non applicable pour une structure de cette taille

Cette politique est conforme au :

Règlement Général sur la Protection des Données (RGPD - UE 2016/679)
Loi belge du 30 juillet 2018 relative à la protection des personnes physiques
Loi du 22 août 2002 relative aux droits du patient

ACCORD DE TRAITEMENT DES DONNÉES PERSONNELLES (DPA)

Kiné Helper

Date de dernière mise à jour : 3 Octobre 2025

PRÉAMBULE

Le présent Accord de Traitement des Données (Data Processing Agreement - DPA) est conclu entre :

LE SOUS-TRAITANT (Processeur) :

Gianni Carlo Vullo
Entreprise personne physique
Numéro BCE : BE0641787533
Email : [email protected]
Ci-après dénommé “le Sous-traitant” ou “Kiné Helper”

LE RESPONSABLE DU TRAITEMENT (Contrôleur) :

Le professionnel de santé (kinésithérapeute) utilisateur de l’application Kiné Helper, identifié lors de la souscription à l’abonnement.
Ci-après dénommé “le Responsable du traitement” ou “le Client” ou “le Praticien”

Article 1 - OBJET ET CHAMP D’APPLICATION

1.1 Objet

Le présent accord régit les conditions dans lesquelles le Sous-traitant traite les données à caractère personnel pour le compte du Responsable du traitement dans le cadre de l’utilisation de l’application mobile Kiné Helper.

1.2 Acceptation

L’utilisation de l’application Kiné Helper et la souscription à un abonnement valent acceptation expresse du présent DPA par le Responsable du traitement.

1.3 Conformité RGPD

Le présent accord est conclu conformément aux exigences de l’article 28 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (RGPD).

1.4 Hiérarchie des documents

En cas de contradiction entre le présent DPA et d’autres documents contractuels, le présent DPA prévaut pour tout ce qui concerne le traitement des données à caractère personnel.

Article 2 - DÉFINITIONS

Aux fins du présent accord, les termes suivants ont la signification suivante :

RGPD : Règlement Général sur la Protection des Données (UE) 2016/679
Responsable du traitement : Le kinésithérapeute utilisateur de Kiné Helper qui détermine les finalités et les moyens du traitement
Sous-traitant : Gianni Carlo Vullo, exploitant de Kiné Helper, qui traite les données pour le compte du Responsable
Données à caractère personnel : Toute information concernant une personne physique identifiée ou identifiable
Données de santé : Données relatives à la santé physique ou mentale d’une personne physique (catégorie particulière de données au sens de l’article 9 RGPD)
Personne concernée : Les patients du Responsable du traitement
Violation de données : Violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée de données
Sous-traitant ultérieur : Tout autre sous-traitant engagé par le Sous-traitant pour réaliser des activités de traitement spécifiques
APD : Autorité de Protection des Données belge

Article 3 - NATURE ET FINALITÉS DU TRAITEMENT

3.1 Nature du traitement

Le Sous-traitant traite les données à caractère personnel par le biais de l’application mobile Kiné Helper, qui permet la gestion administrative et clinique d’un cabinet de kinésithérapie.

3.2 Finalités du traitement

Les données personnelles sont traitées exclusivement aux fins suivantes :

Administration et gestion des dossiers patients
Planification et gestion de l’agenda des rendez-vous
Enregistrement des demandes de soins et prescriptions médicales
Suivi de l’évolution clinique et des traitements dispensés
Création et gestion des attestations de soins
Facturation des prestations et gestion des demandes d’accords préalables
Communication avec les patients (rappels de rendez-vous, notifications)
Génération de rapports et statistiques pour le praticien
Conformité aux obligations légales et réglementaires du secteur de la santé
Support technique et amélioration des services de l’application

3.3 Durée du traitement

Le traitement est effectué pour la durée de l’abonnement souscrit par le Responsable du traitement, ainsi que pendant les périodes de conservation légalement requises après la fin de l’abonnement.

Article 4 - CATÉGORIES DE DONNÉES ET DE PERSONNES CONCERNÉES

4.1 Catégories de personnes concernées

A. Le Responsable du traitement (le praticien) :

Données d’identification professionnelle
Coordonnées professionnelles
Informations de facturation

B. Les patients du Responsable du traitement :

Personnes physiques recevant des soins de kinésithérapie

4.2 Catégories de données personnelles traitées

A. Données du praticien :

Nom, prénom
Numéro INAMI
Adresse du cabinet
Email professionnel, numéro de téléphone
Numéro d’entreprise (BCE)
Diplômes et qualifications
Données de connexion et d’authentification
Informations bancaires (pour facturation)

B. Données des patients (données ordinaires) :

Nom, prénom, sexe
Date et lieu de naissance
Adresse complète
Numéro de téléphone, email
Numéro de registre national belge (NISS)
Numéro INS (Identification Numéro de Sécurité Sociale)
Mutuelle et numéro d’affiliation
Médecin traitant et médecins prescripteurs
Statut CG1/CG2 (Convention de remboursement)
Situation familiale et professionnelle (si pertinent pour les soins)
Photos (si nécessaire pour documentation clinique)

C. Données de santé (catégorie particulière - Article 9 RGPD) :

Prescriptions médicales et demandes de soins
Diagnostics et pathologies
Anamnèse et antécédents médicaux
Évaluations cliniques et mesures
Plans de traitement et protocoles de soins
Notes cliniques et observations du praticien
Compte-rendus de séances
Évolution et résultats des traitements
Documents médicaux associés (imagerie, rapports, etc.)
Attestations de soins délivrées
Historique complet des prestations réalisées

4.3 Base légale du traitement des données de santé

Le traitement des données de santé est effectué sur la base de l’article 9.2.h du RGPD : traitement nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’évaluation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé.

Le Responsable du traitement (kinésithérapeute) est soumis au secret professionnel conformément à l’article 458 du Code pénal belge.

Article 5 - OBLIGATIONS DU SOUS-TRAITANT

Le Sous-traitant s’engage à :

5.1 Instructions du Responsable

Traiter les données à caractère personnel uniquement sur instruction documentée du Responsable du traitement, sauf obligation légale contraire. Le présent DPA et les fonctionnalités de l’application constituent les instructions documentées.

5.2 Confidentialité

Garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité appropriée, contractuelle ou légale.

5.3 Sécurité technique et organisationnelle

Mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l’article 32 du RGPD (voir Article 9).

5.4 Sous-traitance ultérieure

Informer le Responsable de tout changement de sous-traitant ultérieur
Ne recourir qu’à des sous-traitants ultérieurs présentant des garanties suffisantes
Conclure avec les sous-traitants ultérieurs un contrat écrit imposant les mêmes obligations de protection des données

5.5 Assistance au Responsable

Dans la mesure du possible, aider le Responsable à :

Répondre aux demandes d’exercice des droits des personnes concernées
Respecter les obligations prévues aux articles 32 à 36 du RGPD (sécurité, notification, AIPD)

5.6 Notification des violations

Notifier au Responsable toute violation de données à caractère personnel dans les meilleurs délais et au plus tard dans les 48 heures après en avoir pris connaissance (voir Article 11).

5.7 Suppression ou restitution

À la fin de la prestation de services, supprimer toutes les données à caractère personnel ou les renvoyer au Responsable, et supprimer les copies existantes, sauf obligation légale de conservation (voir Article 13).

5.8 Information et audit

Mettre à disposition du Responsable toutes les informations nécessaires pour démontrer le respect des obligations et pour permettre la réalisation d’audits (voir Article 12).

5.9 Localisation des données

Garantir que les données sont hébergées exclusivement au sein de l’Union Européenne et qu’aucun transfert hors UE n’est effectué sans garanties appropriées.

5.10 Non-utilisation des données

Ne pas utiliser les données à caractère personnel à d’autres fins que celles définies dans le présent accord, notamment à des fins commerciales, publicitaires ou de profilage.

Article 6 - OBLIGATIONS DU RESPONSABLE DU TRAITEMENT

Le Responsable du traitement (le Praticien) s’engage à :

6.1 Légalité du traitement

Garantir que le traitement des données à caractère personnel est licite et conforme au RGPD et à toute autre législation applicable en matière de protection des données.

6.2 Information des personnes concernées

Informer ses patients de manière claire et complète :

De l’identité du responsable du traitement et du sous-traitant
Des finalités du traitement et de la base juridique
Des catégories de données collectées
De la durée de conservation
De leurs droits (accès, rectification, effacement, etc.)
Du droit d’introduire une réclamation auprès de l’APD

6.3 Base légale et consentement

S’assurer qu’une base légale appropriée existe pour le traitement, notamment pour les données de santé. Le cas échéant, obtenir le consentement explicite des patients.

6.4 Exactitude des données

Prendre les mesures raisonnables pour que les données à caractère personnel soient exactes et, si nécessaire, tenues à jour. Corriger ou supprimer les données inexactes sans retard.

6.5 Minimisation des données

Ne collecter et ne traiter que les données strictement nécessaires aux finalités définies.

6.6 Sécurité côté utilisateur

Mettre en œuvre des mesures de sécurité appropriées pour les équipements et systèmes sous son contrôle :

Protection par mot de passe robuste de son compte
Sécurisation de ses appareils (code PIN, biométrie)
Mise à jour régulière de l’application et du système d’exploitation
Non-partage de ses identifiants de connexion
Déconnexion en cas d’absence prolongée
Signalement immédiat de toute suspicion de compromission

6.7 Secret professionnel

En tant que professionnel de santé, respecter le secret professionnel imposé par l’article 458 du Code pénal belge et ne divulguer les données de santé qu’aux personnes autorisées.

6.8 Collaboration

Coopérer avec le Sous-traitant pour permettre le respect des obligations légales, notamment en cas de violation de données ou de demande d’exercice de droits.

6.9 Instructions claires

Fournir au Sous-traitant des instructions documentées claires en cas de demande spécifique sortant du cadre normal d’utilisation de l’application.

6.10 Notification

Informer immédiatement le Sous-traitant en cas de :

Demande d’autorité de contrôle ou judiciaire concernant les données
Suspicion de violation de données
Réclamation ou demande d’exercice de droits d’une personne concernée

Article 7 - SOUS-TRAITANTS ULTÉRIEURS

7.1 Autorisation générale

Le Responsable du traitement autorise le Sous-traitant à recourir à des sous-traitants ultérieurs pour l’exécution de ses obligations.

7.2 Liste des sous-traitants ultérieurs actuels

Au jour de la signature du présent accord, le Sous-traitant fait appel aux sous-traitants ultérieurs suivants :

Supabase, Inc.

Service : Hébergement de base de données et infrastructure cloud
Localisation : Union Européenne (serveurs en UE)
Garanties : Certification ISO 27001, conformité RGPD
Traitement : Stockage et gestion des données de l’application

7.3 Modification de la liste

Le Sous-traitant informe le Responsable de tout changement envisagé concernant l’ajout ou le remplacement de sous-traitants ultérieurs par notification dans l’application et/ou par email au moins 30 jours à l’avance.

7.4 Droit d’opposition

Le Responsable dispose d’un délai de 15 jours à compter de la notification pour formuler des objections légitimes motivées par écrit. En l’absence d’objection dans ce délai, le changement est réputé accepté.

Si le Responsable formule une objection légitime et que le Sous-traitant maintient son intention de recourir au nouveau sous-traitant, le Responsable peut résilier l’abonnement sans pénalité.

7.5 Obligations contractuelles

Le Sous-traitant impose aux sous-traitants ultérieurs, par voie de contrat, les mêmes obligations en matière de protection des données que celles définies dans le présent accord.

7.6 Responsabilité

Le Sous-traitant demeure pleinement responsable à l’égard du Responsable de l’exécution par les sous-traitants ultérieurs de leurs obligations en matière de protection des données.

Article 8 - DROITS DES PERSONNES CONCERNÉES

8.1 Exercice des droits

Les patients du Responsable du traitement disposent des droits suivants conformément au RGPD :

Droit d’accès (article 15)
Droit de rectification (article 16)
Droit à l’effacement / droit à l’oubli (article 17)
Droit à la limitation du traitement (article 18)
Droit à la portabilité des données (article 20)
Droit d’opposition (article 21)

8.2 Traitement des demandes

Les demandes d’exercice de droits doivent être adressées au Responsable du traitement (le Praticien), qui est l’interlocuteur direct des patients.

8.3 Assistance du Sous-traitant

Lorsqu’une demande est adressée directement au Sous-traitant, celui-ci :

Redirige la personne concernée vers le Responsable du traitement dans les meilleurs délais
Informe le Responsable de la demande reçue
Apporte son assistance technique au Responsable pour traiter la demande

8.4 Fonctionnalités disponibles

L’application Kiné Helper met à disposition du Responsable des fonctionnalités permettant de :

Exporter les données d’un patient (portabilité)
Modifier les informations d’un patient (rectification)
Archiver ou supprimer un dossier patient (effacement)
Générer un rapport complet des données d’un patient (accès)

8.5 Délais de réponse

Le Responsable du traitement doit répondre aux demandes des personnes concernées dans un délai d’un mois à compter de la réception de la demande, conformément à l’article 12.3 du RGPD.

8.6 Facturation

L’assistance technique standard du Sous-traitant pour l’exercice des droits est incluse dans l’abonnement. Des frais supplémentaires peuvent être facturés en cas de demandes manifestement infondées ou excessives, ou de sollicitations exceptionnelles nécessitant une intervention technique importante.

Article 9 - MESURES DE SÉCURITÉ

9.1 Principe général

Conformément à l’article 32 du RGPD, le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.

9.2 Mesures techniques de sécurité

A. Sécurité des données en transit :

Chiffrement TLS/SSL (HTTPS) pour toutes les communications
Certificats SSL valides et à jour
Protocoles cryptographiques modernes (TLS 1.2 minimum)

B. Sécurité des données au repos :

Chiffrement des données stockées dans la base de données
Chiffrement des sauvegardes
Stockage sécurisé des clés de chiffrement

C. Authentification et contrôle d’accès :

Authentification forte par email et mot de passe
Hachage des mots de passe avec algorithmes robustes (bcrypt, Argon2)
Possibilité d’authentification à deux facteurs (2FA)
Gestion des sessions sécurisées
Déconnexion automatique après inactivité
Contrôle d’accès basé sur les rôles (RBAC)

D. Protection de l’infrastructure :

Pare-feu (Firewall) applicatif et réseau
Protection contre les attaques DDoS
Protection contre les injections SQL et XSS
Protection contre les attaques par force brute (rate limiting)
Systèmes de détection d’intrusion (IDS)
Mises à jour régulières des systèmes et composants
Surveillance continue de la sécurité

E. Sauvegarde et continuité :

Sauvegardes automatiques quotidiennes
Sauvegarde géographiquement distribuée
Tests réguliers de restauration
Plan de continuité d’activité et de reprise après sinistre

9.3 Mesures organisationnelles

A. Gestion des accès :

Accès limité aux données sur base du “besoin d’en connaître”
Révision régulière des droits d’accès
Journalisation des accès aux données sensibles
Procédure de révocation immédiate des accès

B. Formation et sensibilisation :

Sensibilisation du personnel aux enjeux de sécurité et de confidentialité
Formation aux bonnes pratiques RGPD

C. Gestion des incidents :

Procédure de gestion des violations de données
Équipe de réponse aux incidents de sécurité
Conservation des journaux d’événements (logs)

D. Tests et audits :

Tests de vulnérabilité réguliers
Revues de sécurité périodiques
Analyses de code

9.4 Évaluation des risques

Le Sous-traitant prend en compte :

L’état des connaissances techniques actuelles
Les coûts de mise en œuvre
La nature, la portée et les finalités du traitement
Les risques pour les droits et libertés des personnes concernées
La sensibilité particulière des données de santé (catégorie particulière)

9.5 Documentation et mise à jour

Le Sous-traitant maintient une documentation à jour des mesures de sécurité mises en œuvre et les révise régulièrement pour s’adapter aux évolutions technologiques et aux nouvelles menaces.

9.6 Communication

Sur demande raisonnable du Responsable, le Sous-traitant fournit une description des mesures de sécurité techniques et organisationnelles mises en œuvre, dans un format approprié.

Article 10 - HÉBERGEMENT DES DONNÉES

10.1 Localisation

Les données à caractère personnel sont hébergées exclusivement sur des serveurs situés au sein de l’Union Européenne, via l’infrastructure Supabase.

10.2 Absence de transfert hors UE

Aucun transfert de données à caractère personnel n’est effectué vers des pays situés en dehors de l’Espace Économique Européen (EEE).

10.3 Garanties contractuelles

Le contrat conclu avec le fournisseur d’hébergement (Supabase) comprend les garanties appropriées en matière de protection des données personnelles, conformément au RGPD.

10.4 Changement d’hébergement

En cas de changement d’infrastructure d’hébergement, le Sous-traitant s’engage à :

Maintenir le même niveau de sécurité et de conformité
Informer le Responsable au moins 60 jours à l’avance
Garantir que les données restent hébergées dans l’UE/EEE

Article 11 - NOTIFICATION DES VIOLATIONS DE DONNÉES

11.1 Obligation de notification

En cas de violation de données à caractère personnel, le Sous-traitant notifie le Responsable du traitement dans les meilleurs délais et au plus tard dans les 48 heures après en avoir pris connaissance.

11.2 Contenu de la notification

La notification comprend au minimum :

La nature de la violation de données (accès non autorisé, perte, destruction, altération, divulgation)
Les catégories et le nombre approximatif de personnes concernées
Les catégories et le nombre approximatif d’enregistrements de données concernés
Le nom et les coordonnées du point de contact (DPO si désigné)
Les conséquences probables de la violation
Les mesures prises ou proposées pour remédier à la violation et en atténuer les effets négatifs

11.3 Enquête et documentation

Le Sous-traitant :

Mène une enquête approfondie sur la violation
Documente les faits relatifs à la violation, ses effets et les mesures correctrices
Coopère pleinement avec le Responsable pour l’évaluation de la violation

11.4 Mesures correctives

Le Sous-traitant met en œuvre sans délai toutes les mesures nécessaires pour :

Contenir et limiter la violation
Prévenir toute violation ultérieure
Sécuriser les données affectées

11.5 Responsabilité de notification aux autorités

Il incombe au Responsable du traitement (le Praticien) d’évaluer si la violation doit être notifiée à l’APD (dans les 72 heures) et/ou aux personnes concernées (patients), conformément aux articles 33 et 34 du RGPD.

Le Sous-traitant apporte son assistance au Responsable pour cette évaluation et pour effectuer les notifications si nécessaire.

11.6 Coopération

Les parties conviennent de coopérer pleinement pour :

Évaluer la gravité et les conséquences de la violation
Déterminer les obligations de notification
Rédiger les communications aux autorités et aux personnes concernées
Mettre en œuvre les mesures correctives

Article 12 - AUDITS ET CONTRÔLES

12.1 Droit d’audit

Le Responsable du traitement a le droit de réaliser des audits et inspections pour vérifier que le Sous-traitant respecte ses obligations au titre du présent accord et du RGPD.

12.2 Modalités d’audit

Les audits peuvent prendre les formes suivantes :

Questionnaires de conformité
Demandes de documentation
Audits sur site (sur rendez-vous, avec préavis raisonnable de 30 jours minimum)
Audits réalisés par un tiers indépendant mandaté par le Responsable

12.3 Documentation mise à disposition

Le Sous-traitant met à disposition du Responsable, sur demande raisonnable :

Une description des mesures techniques et organisationnelles mises en œuvre
Les politiques et procédures de sécurité
Les certifications et attestations de conformité (ISO 27001, etc.)
Les rapports d’audit existants (le cas échéant)
Les contrats conclus avec les sous-traitants ultérieurs

12.4 Fréquence

Le Responsable peut exercer son droit d’audit une fois par an, sauf en cas de circonstances exceptionnelles justifiant des audits supplémentaires (violation de données, changement majeur d’infrastructure, etc.).

12.5 Confidentialité

Le Responsable et tout auditeur tiers s’engagent à :

Respecter la confidentialité des informations obtenues lors de l’audit
Ne pas divulguer les informations à des tiers non autorisés
Utiliser les informations uniquement aux fins de vérification de la conformité

12.6 Frais

Les audits documentaires (questionnaires, demandes de documentation) sont fournis sans frais supplémentaires dans la limite du raisonnable (1 à 2 demandes par an).

Les audits sur site ou réalisés par des tiers peuvent entraîner une facturation des coûts réels engagés par le Sous-traitant (temps passé, assistance technique), sauf si l’audit révèle un manquement grave du Sous-traitant.

12.7 Coopération avec les autorités

En cas de demande d’inspection par l’APD ou toute autre autorité compétente, le Sous-traitant :

En informe immédiatement le Responsable (sauf interdiction légale)
Coopère pleinement avec l’autorité
Met à disposition toutes les informations et documents requis

12.8 Correctifs

Si un audit révèle des non-conformités, le Sous-traitant s’engage à :

Prendre les mesures correctives nécessaires dans un délai raisonnable convenu avec le Responsable
Informer le Responsable de la mise en œuvre des correctifs

Article 13 - DURÉE ET FIN DU CONTRAT

13.1 Durée

Le présent accord entre en vigueur dès la souscription à l’abonnement Kiné Helper et reste en vigueur pour toute la durée de l’abonnement et des services fournis.

13.2 Fin de l’abonnement

À la cessation de l’abonnement (résiliation, non-renouvellement, résiliation pour manquement), le Sous-traitant procède conformément aux choix du Responsable à :

Option A - Suppression (par défaut) : Le Sous-traitant supprime toutes les données à caractère personnel du Responsable et de ses patients dans un délai de 30 jours suivant la fin de l’abonnement, sauf obligation légale de conservation.

Option B - Restitution puis suppression : Sur demande expresse du Responsable formulée au plus tard 15 jours avant la fin de l’abonnement, le Sous-traitant :

Fournit une copie complète des données dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV, ou autre format convenu)
Supprime ensuite toutes les données dans un délai de 30 jours après la livraison de la copie

13.3 Période de grâce

Pendant les 30 jours suivant la fin de l’abonnement, le Responsable peut demander la restitution de ses données moyennant le paiement de frais de service.

Au-delà de cette période, les données seront définitivement supprimées, sauf :

Obligation légale de conservation (ex : données comptables, fiscales)
Nécessité de conserver certaines données pour l’établissement, l’exercice ou la défense de droits en justice

13.4 Certificat de destruction

Sur demande du Responsable, le Sous-traitant fournit une attestation écrite confirmant la suppression des données.

13.5 Conservation légale

Certaines données peuvent être conservées au-delà de la fin de l’abonnement pour se conformer aux obligations légales :

Données comptables et de facturation : 7 ans (Code de commerce belge)
Données fiscales : conformément aux obligations TVA
Données nécessaires en cas de litige : durée de prescription applicable

Ces données sont conservées de manière sécurisée avec accès restreint et uniquement pour les finalités légales requises.

13.6 Sauvegardes

Les sauvegardes techniques automatisées peuvent contenir des copies des données pendant une période maximale de 90 jours après la suppression. Ces sauvegardes sont stockées de manière sécurisée et inaccessibles, et seront supprimées au terme de leur cycle de rétention normal.

13.7 Résiliation pour manquement grave

En cas de manquement grave du Sous-traitant à ses obligations en matière de protection des données (violation non corrigée, manquement répété, refus de coopérer), le Responsable peut résilier l’abonnement avec effet immédiat sans pénalité.

Article 14 - RESPONSABILITÉ ET INDEMNISATION

14.1 Responsabilité du Sous-traitant

Le Sous-traitant est responsable des dommages causés par un traitement non conforme au RGPD ou aux instructions du Responsable, dans les limites prévues par le droit applicable.

14.2 Limites de responsabilité

Conformément aux conditions générales d’utilisation et dans les limites autorisées par la loi :

La responsabilité du Sous-traitant est limitée aux dommages directs
Le montant total de la responsabilité est plafonné au montant des abonnements payés par le Responsable au cours des 12 derniers mois

Cette limitation ne s’applique pas :

En cas de faute lourde ou de dol du Sous-traitant
Aux dommages corporels
Aux montants prévus par le RGPD en cas d’amende administrative

14.3 Responsabilité du Responsable

Le Responsable du traitement est pleinement responsable :

De la légalité du traitement qu’il effectue
De l’information et de l’obtention des consentements auprès de ses patients
De l’exactitude des données qu’il saisit
De la sécurité de ses équipements et identifiants de connexion
Du respect du secret professionnel et des obligations déontologiques

14.4 Partage de responsabilité RGPD

Conformément à l’article 82 du RGPD :

Si le Responsable et le Sous-traitant sont tous deux impliqués dans un traitement ayant causé un dommage, chacun est responsable de l’intégralité du dommage
Toutefois, chaque partie peut se retourner contre l’autre pour obtenir la part du dommage correspondant à sa part de responsabilité

14.5 Indemnisation réciproque

Chaque partie s’engage à indemniser l’autre pour tout dommage, réclamation, coût ou amende résultant de son propre manquement aux obligations du présent accord.

14.6 Assurance

Le Sous-traitant s’engage à maintenir une assurance responsabilité professionnelle couvrant les risques liés à son activité de traitement de données.

Article 15 - DÉLÉGUÉ À LA PROTECTION DES DONNÉES (DPO)

15.1 DPO du Sous-traitant

Compte tenu de la taille de l’entreprise et de la nature du traitement, le Sous-traitant n’est pas tenu de désigner un Délégué à la Protection des Données (DPO) au sens de l’article 37 du RGPD.

Toutefois, le Sous-traitant désigne un point de contact pour les questions relatives à la protection des données :

Contact pour la protection des données :
Gianni Carlo Vullo
Email : [email protected]

15.2 DPO du Responsable

Si le Responsable du traitement (le Praticien) est tenu de désigner un DPO ou choisit de le faire volontairement, il en informe le Sous-traitant en fournissant les coordonnées complètes du DPO.

15.3 Communication

Toute communication relative à la protection des données et au présent accord peut être adressée au point de contact désigné.

Article 16 - MODIFICATIONS DU DPA

16.1 Révisions

Le Sous-traitant se réserve le droit de modifier le présent DPA pour :

Se conformer à de nouvelles exigences légales ou réglementaires
Refléter des changements dans les pratiques de traitement des données
Améliorer la protection des données

16.2 Notification

Toute modification substantielle du DPA sera notifiée au Responsable par email et/ou par notification dans l’application au moins 30 jours avant son entrée en vigueur.

16.3 Acceptation

La poursuite de l’utilisation de l’application Kiné Helper après la date d’entrée en vigueur des modifications vaut acceptation de la version révisée du DPA.

16.4 Droit de résiliation

Si le Responsable n’accepte pas les modifications apportées au DPA, il peut résilier son abonnement sans pénalité avant la date d’entrée en vigueur des modifications.

Article 17 - DISPOSITIONS GÉNÉRALES

17.1 Intégralité de l’accord

Le présent DPA, conjointement avec la Politique de Confidentialité et les Conditions Générales d’Utilisation de Kiné Helper, constitue l’intégralité de l’accord entre les parties concernant le traitement des données à caractère personnel.

17.2 Hiérarchie

En cas de contradiction entre le présent DPA et d’autres documents contractuels, le présent DPA prévaut pour toutes les questions relatives au traitement des données à caractère personnel.

17.3 Divisibilité

Si une disposition du présent accord est jugée invalide ou inapplicable, les autres dispositions restent pleinement en vigueur. La disposition invalide sera remplacée par une disposition valide s’en rapprochant le plus possible.

17.4 Renonciation

Le fait pour l’une des parties de ne pas exiger l’exécution d’une disposition du présent accord ne constitue pas une renonciation à ses droits.

17.5 Cession

Le Responsable ne peut pas céder ou transférer le présent accord sans le consentement écrit préalable du Sous-traitant.

Le Sous-traitant peut céder le présent accord en cas de :

Fusion, acquisition ou cession d’activité
Changement de structure juridique À condition que le cessionnaire s’engage à respecter les termes du présent DPA.

17.6 Notifications

Toutes les notifications au titre du présent accord doivent être effectuées par écrit :

Par email aux adresses de contact indiquées
Par courrier recommandé avec accusé de réception

Les notifications sont réputées reçues :

Email : dès réception (accusé de lecture ou 24h après envoi)
Courrier : 5 jours ouvrables après envoi

17.7 Langue

Le présent accord est rédigé en langue française. En cas de traduction, la version française fait foi.

Article 18 - LOI APPLICABLE ET JURIDICTION

18.1 Loi applicable

Le présent accord est régi et interprété conformément au droit belge et au Règlement (UE) 2016/679 (RGPD).

18.2 Juridiction compétente

Tout litige relatif à l’interprétation ou à l’exécution du présent accord sera soumis à la compétence exclusive des tribunaux de l’arrondissement judiciaire de Charleroi, Belgique.

18.3 Médiation

Avant toute action en justice, les parties s’engagent à tenter de résoudre tout litige à l’amiable par voie de négociation directe pendant une période de 30 jours.

18.4 Autorité de contrôle

Les personnes concernées (patients) et le Responsable du traitement ont le droit d’introduire une réclamation auprès de l’autorité de contrôle compétente :

Autorité de Protection des Données (APD)
Rue de la Presse, 35
1000 Bruxelles, Belgique
Téléphone : +32 (0)2 274 48 00
Email : [email protected]
Site web : https://www.autoriteprotectiondonnees.be/

Article 19 - ENTRÉE EN VIGUEUR ET ACCEPTATION

19.1 Date d’entrée en vigueur

Le présent Accord de Traitement des Données entre en vigueur à la date de souscription de l’abonnement à Kiné Helper.

19.2 Acceptation

En créant un compte, en souscrivant à un abonnement et en utilisant l’application Kiné Helper, le Responsable du traitement déclare :

Avoir lu et compris l’intégralité du présent DPA
Accepter sans réserve tous les termes et conditions du présent DPA
Reconnaître sa qualité de Responsable du traitement des données de ses patients
S’engager à respecter toutes les obligations qui lui incombent en vertu du présent accord et du RGPD

19.3 Conservation

Il est conseillé au Responsable de télécharger et conserver une copie du présent DPA pour ses archives.

ANNEXE A - GLOSSAIRE COMPLÉMENTAIRE

Violation de données personnelles : Violation de la sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

Traitement : Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Pseudonymisation : Traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément.

Chiffrement : Processus de transformation des données en un format illisible sans la clé de déchiffrement appropriée.

Analyse d’impact relative à la protection des données (AIPD) : Processus d’évaluation des risques que présentent les opérations de traitement pour les droits et libertés des personnes concernées.