RGPD

Politique de confidentialité

Traitement des données personnelles conformément au RGPD et à la loi n°78-17 modifiée. Droits patient, hébergement, cookies, déclaration d’accessibilité RGAA.

1. Objet de la présente politique

La présente politique de confidentialité décrit les conditions dans lesquelles le cabinet du Docteur Damya Bennai collecte, utilise, conserve et protège les données à caractère personnel des utilisateurs du site et des patients. Elle est rédigée en conformité avec le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des données (RGPD), la loi n°78-17 du 6 janvier 1978 modifiée (Loi informatique et libertés), et la directive 2002/58/CE modifiée (vie privée et communications électroniques).

2. Responsable du traitement

Le responsable du traitement est le Docteur Damya Bennai, exerçant en libéral aux adresses professionnelles indiquées dans les mentions légales. Le délégué à la protection des données (DPO) est joignable à l’adresse dpo@docteur-bennai.fr.

3. Données collectées et finalités

Catégories de données collectées par finalité, base légale et durée de conservation.
Catégorie de données	Finalité	Base légale (RGPD)	Durée
Nom, prénom, email, téléphone, message	Réponse à une demande administrative via formulaire de contact	Intérêt légitime — art. 6.1.f	12 mois après dernier échange
Données de connexion (adresse IP anonymisée)	Sécurité applicative, prévention des attaques	Intérêt légitime — art. 6.1.f	7 jours glissants
Données médicales (dossier patient)	Tenue du dossier médical, suivi des soins	Obligation légale — art. 9.2.h RGPD	20 ans après dernière consultation (art. R.1112-7 CSP)
Données de facturation	Comptabilité du cabinet	Obligation légale — art. 6.1.c	10 ans (Code de commerce)

4. Cookies et traceurs

Le présent site n’utilise aucun cookie tiers, aucun outil de mesure d’audience nominatif et aucun pixel publicitaire. Aucune donnée personnelle n’est partagée avec des tiers à des fins de profilage ou de publicité comportementale.

Les seuls cookies techniques susceptibles d’être déposés sont strictement nécessaires au fonctionnement du site (notamment la préférence de langue, si l’internationalisation est activée). En application de l’article 82 de la loi n°78-17 modifiée et de la directive ePrivacy, ces cookies fonctionnels ne requièrent pas de consentement préalable.

5. Doctolib — sous-traitant pour la prise de rendez-vous

La prise de rendez-vous médical est externalisée à la plateforme Doctolib (Doctolib SAS, 54 quai Charles Pasqua, 92300 Levallois-Perret). Le clic sur un bouton « Prendre rendez-vous » entraîne une navigation vers le site doctolib.fr, hébergé auprès d’un opérateur certifié Hébergeur de Données de Santé (HDS), conformément au Code de la santé publique.

La politique de confidentialité de Doctolib est applicable à compter du moment où l’internaute quitte ce site. Aucune donnée personnelle n’est échangée entre le présent site et Doctolib avant le clic explicite sur le bouton de prise de rendez-vous. Les paramètres UTM joints au lien servent uniquement à la mesure anonyme du canal d’origine (page d’où provient le clic), conformément aux recommandations de la CNIL en matière de mesure d’audience non nominative.

6. Hébergeur du site

Le site est hébergé sur Cloudflare Pages (Cloudflare, Inc., 101 Townsend Street, San Francisco, CA 94107, États-Unis). L’hébergement est régi par les Clauses Contractuelles Types (CCT) de la Commission européenne pour les transferts hors UE, conformément aux décisions de la Cour de justice de l’Union européenne (CJUE, arrêt Schrems II, 16 juillet 2020, C-311/18) et au Cadre de protection des données UE-États-Unis (Decision d’adéquation du 10 juillet 2023).

Aucune donnée de santé n’est stockée sur l’infrastructure Cloudflare Pages. Le site est statique et ne dispose d’aucune base de données patient.

7. Droits du patient et de l’internaute

Conformément aux articles 15 à 22 du RGPD, toute personne dispose des droits suivants sur ses données :

Droit d’accès — obtenir confirmation du traitement et copie des données.
Droit de rectification — faire corriger une donnée inexacte ou incomplète.
Droit d’effacement (« droit à l’oubli ») — sous réserve des obligations légales de conservation du dossier médical.
Droit à la limitation du traitement — geler le traitement pendant la vérification d’une opposition.
Droit à la portabilité — recevoir les données dans un format structuré, à transmettre à un autre responsable.
Droit d’opposition — s’opposer au traitement fondé sur l’intérêt légitime.
Droit de définir des directives post-mortem — relativement au sort des données après le décès, conformément à l’article 85 de la loi n°78-17 modifiée.

Ces droits s’exercent par courrier électronique au DPO (dpo@docteur-bennai.fr) ou par courrier postal au cabinet. La demande peut nécessiter la justification de l’identité du demandeur. Le délai de réponse maximum est d’un mois, prolongeable de deux mois en cas de demande complexe (art. 12.3 RGPD).

8. Réclamation auprès de la CNIL

En cas de désaccord persistant sur le traitement des données, toute personne peut introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) :

Adresse : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Téléphone : 01 53 73 22 22
Site : www.cnil.fr

9. Sécurité des données

Le site applique les mesures techniques et organisationnelles suivantes pour protéger les données : chiffrement TLS 1.3 sur l’ensemble des échanges, headers de sécurité applicatifs (HSTS preload, Content-Security-Policy stricte, X-Frame-Options DENY, Referrer-Policy strict-origin-when-cross-origin), absence de stockage de données patient sur l’infrastructure web. Le dossier médical patient est conservé sur un support distinct, conforme aux exigences applicables aux données de santé.

12. Analyse d'impact sur la protection des données (DPIA simplifiée)

Conformément à l'article 35 du RGPD et aux lignes directrices du G29 WP248, le cabinet du Docteur Damya Bennai a procédé à une analyse d'impact simplifiée des traitements opérés sur le site web. Cette analyse n'a pas révélé de risque élevé pour les droits et libertés des personnes concernées.

Cartographie des traitements

Analyse d'impact simplifiée — traitements web du cabinet.
Traitement	Finalité	Données	Risque résiduel
Formulaire de contact administratif	Réponse à une demande non médicale	Nom, email, téléphone, message	Faible — pas de donnée de santé, durée 12 mois, base intérêt légitime
Préférences d'accessibilité (localStorage)	Mémoriser le confort de lecture	Choix utilisateur uniquement (taille, contraste, etc.)	Très faible — donnée non personnelle, finalité service
Logs de connexion CDN (Cloudflare)	Sécurité applicative, prévention DDoS	Adresse IP anonymisée, user-agent	Faible — 7 jours glissants, base intérêt légitime sécurité
Redirection Doctolib (sous-traitant)	Prise de rendez-vous médical	Aucune sur le site, paramètres UTM anonymes	Géré par Doctolib, hébergeur certifié HDS

Mesures de protection mises en œuvre

Hébergement Cloudflare Pages avec chiffrement TLS 1.3 imposé.
Headers de sécurité applicatifs (HSTS preload, CSP stricte, X-Frame-Options DENY).
Absence de stockage de données patient sur l'infrastructure web (site statique, sans base de données).
Configuration cookie-less : aucun cookie tiers, aucun pixel publicitaire, aucun tracker analytique nominatif.
Politique de confidentialité explicite et accessible depuis chaque page.
Formulaire de contact avec mention explicite interdisant la transmission de données de santé.

Niveau de risque résiduel

L'analyse d'impact conclut à un niveau de risque résiduel faible pour les droits et libertés des personnes concernées. Aucune mesure complémentaire de type DPIA approfondie n'est requise à ce stade. Cette analyse sera revue annuellement et en cas d'évolution significative des traitements (ajout d'un outil de mesure d'audience, espace patient sécurisé, etc.).

Contact DPO

Toute question relative à la présente analyse d'impact peut être adressée au délégué à la protection des données : dpo@docteur-bennai.fr.

13. Déclaration d’accessibilité (RGAA)

Le présent site se conforme au niveau AA des Web Content Accessibility Guidelines 2.1, transposées en France par le Référentiel Général d’Amélioration de l’Accessibilité (RGAA) version 4.1. La conformité est testée à chaque mise en production via les outils axe DevTools, WAVE et Lighthouse Accessibility (score cible ≥ 95).

Contraste minimum : 4,5:1 pour le texte standard, 3:1 pour le grand texte.
Navigation au clavier : tous les éléments interactifs sont identifiables au clavier avec focus visible.
Skip-link : présent en première position du DOM.
Hiérarchie sémantique : un seul <h1> par page, descente logique H2 → H4.
Alternatives textuelles : chaque image informative dispose d’un attribut alt descriptif.
Respect du prefers-reduced-motion : les animations sont neutralisées sur demande utilisateur.

Pour signaler une difficulté d’accessibilité, contacter le DPO à dpo@docteur-bennai.fr. Une réponse est apportée dans un délai d’un mois et un correctif est mis en œuvre dans les meilleurs délais.

14. Modifications de la présente politique

La présente politique de confidentialité peut faire l’objet de mises à jour. La date de dernière modification est indiquée en bas du document. Toute modification substantielle est portée à la connaissance des utilisateurs par un encart visible sur la page d’accueil pendant au moins 30 jours.

Politique de confidentialité mise à jour le 14 mai 2026 — version 1.0.