RGPD · Art. 30

Registre des activités de traitement

Conformément à l'article 30 du RGPD, MonRhumato.fr tient un registre des activités de traitement réalisées sous sa responsabilité. Ce registre est rendu public dans un souci de transparence — au-delà de l'obligation légale qui ne s'applique qu'à partir de 250 employés ou en cas de traitement risqué.

Responsable de traitement : Dr Julien Schemoul · DPO : julienschemoul@monrhumato.fr · Dernière mise à jour : 6 mai 2026

T01

Authentification médecin

Finalité : Permettre l'identification et la connexion sécurisée des médecins au compte MonRhumato.fr

Base légale
Exécution contractuelle (Art. 6.1.b)
Personnes concernées
Médecins inscrits (rhumatologues, MPR, MG…)
Destinataires
Supabase (sous-traitant) · équipe MonRhumato.fr (DPO uniquement)
Transfert hors UE
Non (Supabase eu-west-1 Irlande)
Conservation
Durée du compte + 12 mois post-suppression (purge automatique)
Mesures de sécurité
TLS 1.3, bcrypt, RLS Supabase, journalisation accès
Catégories de données
  • Email professionnel
  • RPPS (vérifié via API ANS)
  • Mot de passe haché (bcrypt via Supabase Auth)
  • Cookie de session PKCE
T02

Profil public annuaire (opt-in)

Finalité : Afficher publiquement la fiche du rhumatologue dans l'annuaire avec bio, sur-spécialités, contact

Base légale
Consentement explicite (Art. 6.1.a)
Personnes concernées
Médecins inscrits ayant activé `has_public_profile = true`
Destinataires
Public (page indexable Google)
Transfert hors UE
Non (Supabase Irlande, Vercel CDN UE)
Conservation
Tant que le profil est public (désactivable à tout moment depuis /parametres)
Mesures de sécurité
RLS Supabase, vue dédiée annuaire_v
Catégories de données
  • Bio rédigée
  • Sur-spécialités
  • Site web professionnel
  • LinkedIn
  • Email pro (si has_public_email)
T03

Annuaire ANS (registre public)

Finalité : Afficher la liste des rhumatologues exerçant en France issue de l'API officielle Annuaire Santé de l'ANS

Base légale
Mission d'intérêt public (Art. 6.1.e) — données déjà publiques par l'ANS
Personnes concernées
Tous les rhumatologues exerçant en France (~3 824)
Destinataires
Public (page indexable)
Transfert hors UE
Non
Conservation
Tant que les données sont diffusées par l'ANS · Suppression sous 30 j sur demande motivée
Mesures de sécurité
Source officielle ANS · Pas de modification autorisée
Catégories de données
  • Nom, prénom, RPPS
  • Lieux d'exercice (FINESS, adresse, ville)
  • Spécialité, qualifications, secteur
T04

Notifications push (Web Push)

Finalité : Envoi de notifications natives sur veille rhumato et nouveautés

Base légale
Consentement explicite (Art. 6.1.a, Art. 82 LIL)
Personnes concernées
Visiteurs ayant activé les notifications dans le navigateur
Destinataires
Service Push de l'éditeur navigateur (Apple, Mozilla, Google)
Transfert hors UE
Oui — Apple/Mozilla/Google (USA, SCC + chiffrement bout-en-bout VAPID)
Conservation
Jusqu'à désinscription · purge auto si endpoint 410 Gone
Mesures de sécurité
VAPID signing (RFC 8292), chiffrement payload (RFC 8291)
Catégories de données
  • Endpoint push (URL navigateur chiffrée)
  • Clés p256dh + auth
T05

Compteurs « j'aime » articles

Finalité : Mesurer la popularité des articles, dédupliquer les votes

Base légale
Intérêt légitime (Art. 6.1.f) — pas de PII
Personnes concernées
Visiteurs anonymes
Destinataires
Aucun tiers
Transfert hors UE
Non
Conservation
12 mois (purge automatique)
Mesures de sécurité
Hash irréversible · Rate-limit 30/5min/IP
Catégories de données
  • Fingerprint hashé SHA-256 (IP+UA non récupérables)
T06

Logs techniques (Vercel)

Finalité : Sécurité, anti-bot, debug technique

Base légale
Intérêt légitime (Art. 6.1.f)
Personnes concernées
Visiteurs
Destinataires
Vercel (sous-traitant)
Transfert hors UE
Vercel — USA (régions UE prioritaires) · SCC + DPA
Conservation
Selon politique de rétention Vercel (typiquement 24-72 h Pro). Pas de log applicatif additionnel côté MonRhumato.fr.
Mesures de sécurité
Chiffrement Vercel au repos, pas d'export vers MonRhumato.fr
Catégories de données
  • IP brute (collectée par Vercel pour anti-DoS)
  • User-agent
  • URL demandée
T07

Statistiques d'audience (consentement)

Finalité : Mesure d'audience, parcours utilisateur, optimisation produit

Base légale
Consentement explicite (Art. 6.1.a)
Personnes concernées
Visiteurs ayant accepté les cookies « Statistiques »
Destinataires
Google Analytics 4 · Microsoft Clarity
Transfert hors UE
Oui — USA · SCC + DPA · IP anonymisée par GA4 (option activée)
Conservation
13 mois max (recommandation CNIL)
Mesures de sécurité
Cookies tiers GA4/Clarity gérés par les éditeurs respectifs · pas de cookie HttpOnly côté analytics car set par JS
Catégories de données
  • Pages vues
  • Temps passé
  • Référent
  • Cookies GA4 et Clarity
T08

Génération IA (résumés, traductions)

Finalité : Résumer des articles, traduire des titres anglais, classer la pertinence rhumato

Base légale
Intérêt légitime (Art. 6.1.f) — texte public uniquement
Personnes concernées
Aucun (texte public d'articles, pas de PII)
Destinataires
Groq Cloud · Google Gemini
Transfert hors UE
Oui — USA · SCC · clauses no-training
Conservation
Cache Supabase 30 j max, purge automatique
Mesures de sécurité
Pas de donnée personnelle envoyée, contractuel no-training
Catégories de données
  • Titres et abstracts d'articles publics

Vous pouvez exercer vos droits (accès, rectification, effacement, portabilité, opposition, limitation) à tout moment auprès de notre DPO : julienschemoul@monrhumato.fr. Si vous estimez que vos droits ne sont pas respectés, réclamation possible auprès de la CNIL. Voir aussi la politique de confidentialité et gérer vos cookies.

Page d'accueil