Registre des activités de traitement
Conformément à l'article 30 du RGPD, MonRhumato.fr tient un registre des activités de traitement réalisées sous sa responsabilité. Ce registre est rendu public dans un souci de transparence — au-delà de l'obligation légale qui ne s'applique qu'à partir de 250 employés ou en cas de traitement risqué.
Responsable de traitement : Dr Julien Schemoul · DPO : dpo@monrhumato.fr · Dernière mise à jour : 6 mai 2026
Authentification médecin
Finalité : Permettre l'identification et la connexion sécurisée des médecins au compte MonRhumato.fr
- Base légale
- Exécution contractuelle (Art. 6.1.b)
- Personnes concernées
- Médecins inscrits (rhumatologues, MPR, MG…)
- Destinataires
- Supabase (sous-traitant) · équipe MonRhumato.fr (DPO uniquement)
- Transfert hors UE
- Non (Supabase eu-west-1 Irlande)
- Conservation
- Durée du compte + 12 mois post-suppression (purge automatique)
- Mesures de sécurité
- TLS 1.3, bcrypt, RLS Supabase, journalisation accès
- Catégories de données
- Email professionnel
- RPPS (vérifié via API ANS)
- Mot de passe haché (bcrypt via Supabase Auth)
- Cookie de session PKCE
Profil public annuaire (opt-in)
Finalité : Afficher publiquement la fiche du rhumatologue dans l'annuaire avec bio, sur-spécialités, contact
- Base légale
- Consentement explicite (Art. 6.1.a)
- Personnes concernées
- Médecins inscrits ayant activé `has_public_profile = true`
- Destinataires
- Public (page indexable Google)
- Transfert hors UE
- Non (Supabase Irlande, Vercel CDN UE)
- Conservation
- Tant que le profil est public (désactivable à tout moment depuis /parametres)
- Mesures de sécurité
- RLS Supabase, vue dédiée annuaire_v
- Catégories de données
- Bio rédigée
- Sur-spécialités
- Site web professionnel
- Email pro (si has_public_email)
Annuaire ANS (registre public)
Finalité : Afficher la liste des rhumatologues exerçant en France issue de l'API officielle Annuaire Santé de l'ANS
- Base légale
- Mission d'intérêt public (Art. 6.1.e) — données déjà publiques par l'ANS
- Personnes concernées
- Tous les rhumatologues exerçant en France (~3 824)
- Destinataires
- Public (page indexable)
- Transfert hors UE
- Non
- Conservation
- Tant que les données sont diffusées par l'ANS · Suppression sous 30 j sur demande motivée
- Mesures de sécurité
- Source officielle ANS · Pas de modification autorisée
- Catégories de données
- Nom, prénom, RPPS
- Lieux d'exercice (FINESS, adresse, ville)
- Spécialité, qualifications, secteur
Notifications push (Web Push)
Finalité : Envoi de notifications natives sur veille rhumato et nouveautés
- Base légale
- Consentement explicite (Art. 6.1.a, Art. 82 LIL)
- Personnes concernées
- Visiteurs ayant activé les notifications dans le navigateur
- Destinataires
- Service Push de l'éditeur navigateur (Apple, Mozilla, Google)
- Transfert hors UE
- Oui — Apple/Mozilla/Google (USA, SCC + chiffrement bout-en-bout VAPID)
- Conservation
- Jusqu'à désinscription · purge auto si endpoint 410 Gone
- Mesures de sécurité
- VAPID signing (RFC 8292), chiffrement payload (RFC 8291)
- Catégories de données
- Endpoint push (URL navigateur chiffrée)
- Clés p256dh + auth
Compteurs « j'aime » articles
Finalité : Mesurer la popularité des articles, dédupliquer les votes
- Base légale
- Intérêt légitime (Art. 6.1.f) — pas de PII
- Personnes concernées
- Visiteurs anonymes
- Destinataires
- Aucun tiers
- Transfert hors UE
- Non
- Conservation
- 12 mois (purge automatique)
- Mesures de sécurité
- Hash irréversible · Rate-limit 30/5min/IP
- Catégories de données
- Fingerprint hashé SHA-256 (IP+UA non récupérables)
Logs techniques (Vercel)
Finalité : Sécurité, anti-bot, debug technique
- Base légale
- Intérêt légitime (Art. 6.1.f)
- Personnes concernées
- Visiteurs
- Destinataires
- Vercel (sous-traitant)
- Transfert hors UE
- Vercel — USA (régions UE prioritaires) · SCC + DPA
- Conservation
- Selon politique de rétention Vercel (typiquement 24-72 h Pro). Pas de log applicatif additionnel côté MonRhumato.fr.
- Mesures de sécurité
- Chiffrement Vercel au repos, pas d'export vers MonRhumato.fr
- Catégories de données
- IP brute (collectée par Vercel pour anti-DoS)
- User-agent
- URL demandée
Statistiques d'audience (consentement)
Finalité : Mesure d'audience, parcours utilisateur, optimisation produit
- Base légale
- Consentement explicite (Art. 6.1.a)
- Personnes concernées
- Visiteurs ayant accepté les cookies « Statistiques »
- Destinataires
- Google Analytics 4 · Microsoft Clarity
- Transfert hors UE
- Oui — USA · SCC + DPA · IP anonymisée par GA4 (option activée)
- Conservation
- 13 mois max (recommandation CNIL)
- Mesures de sécurité
- Cookies tiers GA4/Clarity gérés par les éditeurs respectifs · pas de cookie HttpOnly côté analytics car set par JS
- Catégories de données
- Pages vues
- Temps passé
- Référent
- Cookies GA4 et Clarity
Génération IA (résumés, traductions)
Finalité : Résumer des articles, traduire des titres anglais, classer la pertinence rhumato
- Base légale
- Intérêt légitime (Art. 6.1.f) — texte public uniquement
- Personnes concernées
- Aucun (texte public d'articles, pas de PII)
- Destinataires
- Groq Cloud · Google Gemini
- Transfert hors UE
- Oui — USA · SCC · clauses no-training
- Conservation
- Cache Supabase 30 j max, purge automatique
- Mesures de sécurité
- Pas de donnée personnelle envoyée, contractuel no-training
- Catégories de données
- Titres et abstracts d'articles publics
Vous pouvez exercer vos droits (accès, rectification, effacement, portabilité, opposition, limitation) à tout moment auprès de notre DPO : dpo@monrhumato.fr. Si vous estimez que vos droits ne sont pas respectés, réclamation possible auprès de la CNIL. Voir aussi la politique de confidentialité et gérer vos cookies.