Politique de Confidentialité et Cookies
Dernière mise à jour : 8 mai 2026
Introduction
La protection de vos données personnelles est une priorité absolue pour Nomisora. Cette politique explique comment nous collectons, utilisons, stockons et protégeons vos informations personnelles dans le respect du Règlement Général sur la Protection des Données (RGPD) et de la loi française Informatique et Libertés.
Nomisora est une plateforme de gestion de cabinet pour les professionnels de santé (thérapeutes, ostéopathes, psychologues, kinésithérapeutes, podologues, etc.) comprenant la gestion des patients, des consultations, de l’agenda, de la facturation, ainsi que des intégrations avec des services tiers (Google Calendar, Google Meet, Stripe, Brevo).
1. Responsable du traitement
Nomisora est édité par Sébastien Palacin Noblet EI, Entreprise individuelle, N° de SIRET 51284381400041.
Siège social : 1 place du Bourguet, 31230 L’Isle En Dodon
Email de contact : contact@nomisora.fr
Délégué à la protection des données (DPO) : contact@nomisora.fr
2. Données collectées
Nous collectons les catégories de données suivantes selon votre utilisation du Service :
Données de compte praticien
- Nom, prénom, email, mot de passe (haché), numéro de téléphone
- Informations professionnelles : profession, numéro ADELI/RPPS, SIRET, adresse du cabinet
- Informations de facturation : TVA, mentions légales, conditions de paiement
- Logo et signature (si fournis)
Données patients
- Identité : nom, prénom, date de naissance, genre, email, téléphone, adresse
- Antécédents médicaux : allergies, traitements en cours, pathologies, antécédents chirurgicaux, antécédents familiaux, contre-indications, médecin traitant
- Notes de consultation : motif, examen clinique, traitement, recommandations, suivi d’évolution (niveaux de douleur, mobilité, bien-être)
- Historique des rendez-vous et des factures
Données du portail patient
- Compte patient : email, mot de passe (haché)
- Accès en lecture aux consultations et factures partagées par le praticien
- Gestion des rendez-vous (prise, annulation, reprogrammation)
Données Google Calendar et Google Meet
- Lors de la connexion de votre compte Google, nous accédons à vos calendriers Google Calendar via le protocole OAuth 2.0
- Données accessibles : liste de vos calendriers, événements (création, modification, suppression pour la synchronisation des rendez-vous)
- Liens Google Meet générés automatiquement pour les téléconsultations
- Nous ne stockons pas votre mot de passe Google. Nous conservons uniquement un jeton d’accès (token) révocable à tout moment
- Vous pouvez déconnecter Google Calendar à tout moment depuis les paramètres de votre compte
Données de facturation et paiement
- Factures émises : lignes, montants, statuts, numérotation
- Paiement de l’abonnement via Stripe : nous ne stockons pas vos données bancaires, qui sont traitées directement par Stripe
Données techniques
- Adresse IP, type de navigateur, système d’exploitation
- Logs de connexion et d’utilisation
- Cookies essentiels (authentification, préférences)
- Données analytiques anonymisées (Umami, hébergé en Europe, sans cookies tiers)
3. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Gestion de votre compte et de votre cabinet | Exécution du contrat |
| Gestion des patients, consultations et facturation | Exécution du contrat |
| Gestion de l’agenda et des rendez-vous | Exécution du contrat |
| Synchronisation avec Google Calendar et Google Meet | Consentement (connexion OAuth volontaire) |
| Envoi de SMS de rappel de rendez-vous | Exécution du contrat |
| Envoi de factures et rappels de paiement par email | Exécution du contrat |
| Portail patient (accès sécurisé aux données partagées) | Exécution du contrat |
| Site vitrine du praticien et prise de rendez-vous en ligne | Exécution du contrat |
| Gestion de l’abonnement et paiement (Stripe) | Exécution du contrat |
| Sécurité, prévention de la fraude, audit | Intérêt légitime |
| Analyses statistiques anonymisées (Umami) | Intérêt légitime |
| Communication marketing (newsletter, mises à jour) | Consentement |
4. Données de santé
Nomisora permet aux praticiens de saisir des données relatives à la santé de leurs patients (antécédents médicaux, notes de consultation, suivi thérapeutique). Ces données sont considérées comme des données sensibles au sens de l’article 9 du RGPD.
- Le praticien est responsable de traitement pour les données de santé de ses patients
- Nomisora agit en qualité de sous-traitant au sens de l’article 28 du RGPD
- Les données de santé sont chiffrées au repos (AES-256-CBC) et en transit (HTTPS/TLS)
- L’accès est strictement limité au praticien et aux éventuels remplaçants autorisés
- Les patients peuvent accéder à leurs propres données via le portail patient sécurisé
5. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles conformes aux articles 25 et 32 du RGPD :
- Chiffrement AES-256-CBC pour toutes les données personnelles identifiantes (noms, emails, téléphones, adresses, données médicales)
- Hachage SHA-256 pour les recherches sécurisées sans exposition des données en clair
- Transmission sécurisée HTTPS/TLS sur l’ensemble de la plateforme
- Authentification sécurisée avec option de double authentification (2FA) par email
- Isolation stricte des données par organisation (multi-tenancy)
- Journalisation complète des accès et modifications (audit trail)
- Hébergement en Europe chez des fournisseurs certifiés
- Mots de passe hachés (non réversibles)
6. Durée de conservation
- Données de compte praticien : durée de l’abonnement + 2 ans après la résiliation
- Données patients et consultations : durée de l’abonnement + 2 ans (le praticien peut exporter ses données avant suppression)
- Données de facturation : 10 ans (obligations légales comptables et fiscales)
- Données du portail patient : jusqu’à suppression du compte par le patient ou le praticien
- Tokens Google Calendar : jusqu’à déconnexion par l’utilisateur
- Historique SMS : 1 an
- Logs techniques et audit : 1 an
- Données analytiques : 26 mois maximum
- Données marketing : jusqu’au retrait du consentement
7. Partage des données et sous-traitants
Vos données ne sont jamais revendues. Elles peuvent être partagées uniquement avec les destinataires suivants :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Hébergeur (serveur) | Hébergement de l’application et des données | Union Européenne |
| Stripe | Paiement de l’abonnement | UE / USA (clauses contractuelles types) |
| Brevo (Sendinblue) | Envoi d’emails transactionnels et de SMS | Union Européenne |
| Google (Calendar, Meet) | Synchronisation agenda et téléconsultation (sur activation volontaire) | UE / USA (clauses contractuelles types) |
| Umami | Analytique web (hébergé par nos soins, sans cookies tiers) | Union Européenne |
Les données peuvent également être communiquées aux autorités compétentes sur réquisition judiciaire, et à vos patients pour les factures et documents que vous leur transmettez via la plateforme.
8. Intégration Google Calendar et Google Meet
Nomisora propose une intégration optionnelle avec Google Calendar et Google Meet pour la gestion de l’agenda et les téléconsultations. Cette intégration fonctionne via le protocole OAuth 2.0.
Données accessibles
- Liste de vos calendriers Google
- Événements du calendrier sélectionné (lecture, création, modification, suppression)
- Création automatique de liens Google Meet pour les téléconsultations
Ce que nous ne faisons pas
- Nous n’accédons pas à vos emails, contacts, fichiers Google Drive ou autres services Google
- Nous ne stockons pas votre mot de passe Google
- Nous ne partageons pas vos données Google Calendar avec des tiers
- Nous ne conservons pas le contenu de vos événements personnels non liés à Nomisora
Révocation
Vous pouvez révoquer l’accès de Nomisora à Google Calendar à tout moment depuis les paramètres de votre compte Nomisora ou depuis votre compte Google (myaccount.google.com/permissions). La révocation entraîne la suppression immédiate du token d’accès stocké dans notre base de données.
9. Vos droits
Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants :
- Droit d’accès : obtenir une copie de vos données personnelles
- Droit de rectification : corriger des données inexactes ou incomplètes
- Droit à l’effacement : demander la suppression de vos données (sous réserve des obligations légales de conservation)
- Droit à la limitation : restreindre le traitement de vos données
- Droit à la portabilité : recevoir vos données dans un format structuré (export Excel/CSV disponible dans l’application)
- Droit d’opposition : vous opposer au traitement de vos données
- Droit de retirer votre consentement : à tout moment pour les traitements basés sur le consentement (Google Calendar, marketing)
Pour exercer vos droits : contact@nomisora.fr. Nous répondrons dans un délai maximum de 30 jours.
10. Portail patient
Nomisora offre aux patients un accès sécurisé à leurs informations via un portail dédié.
- Les patients peuvent créer un compte avec email et mot de passe
- Ils accèdent uniquement aux données que leur praticien a choisi de partager (consultations, factures)
- Ils peuvent gérer leurs rendez-vous (prise, annulation, reprogrammation)
- Les patients peuvent modifier leurs informations de profil et supprimer leur compte à tout moment
- L’accès au portail patient est protégé par authentification sécurisée
11. Cookies
Nomisora utilise uniquement :
- Cookies essentiels : authentification (JWT), sécurité, préférences d’interface — nécessaires au fonctionnement du service
- Analytique (Umami) : mesure d’audience anonymisée, hébergée en Europe, sans cookies tiers, sans données personnelles
Nomisora n’utilise aucun cookie publicitaire ni de suivi marketing tiers. Vous pouvez gérer les cookies via les paramètres de votre navigateur.
12. Transferts de données hors UE
Les données sont hébergées dans l’Union Européenne. Certains de nos sous-traitants peuvent transférer des données hors UE dans les conditions suivantes :
- Stripe (paiement) : transferts encadrés par les clauses contractuelles types (CCT) de la Commission Européenne
- Google (Calendar/Meet, si activé) : transferts encadrés par les CCT et le Data Privacy Framework UE-USA
13. Modifications
La présente politique peut être mise à jour pour refléter les évolutions du Service ou de la réglementation. Toute modification substantielle sera notifiée par email avec un préavis de 30 jours. La date de dernière mise à jour est indiquée en haut de cette page.
14. Contact
Pour toute question relative à cette politique de confidentialité : contact@nomisora.fr
Pour une réclamation auprès de l’autorité de contrôle : www.cnil.fr