Opaoma - La plateforme des professionnels du bien-être mental & corps

PROTECTION DES DONNÉES DE BIEN-ÊTRE

Architecture pensée pour le bien-être mental & corps

Opaoma est conçu comme un outil professionnel et non comme un hébergeur de données de santé (au sens de l'article L.1111-8 du Code de la santé publique). Les données sensibles restent sur l'appareil de l'utilisateur ou sont chiffrées de bout en bout (illisibles côté serveur).

Données sensibles stockées localement

Humeurs, journal et notes restent sur l'appareil de l'utilisateur

Messagerie chiffrée de bout en bout

Le serveur ne stocke que des données chiffrées, illisibles par Opaoma

Outil professionnel, pas hébergeur de données

Le thérapeute est responsable de traitement, Opaoma est sous-traitant technique

Contrats de sous-traitance conformes RGPD

Conformité article 28 du RGPD avec tous nos prestataires

Protection renforcée

Mesures de sécurité appliquées

Sauvegarde quotidienne chiffrée

PRA/PCA documenté

Journalisation complète

Cloisonnement des données

Accès sécurisé et tracé

CHIFFREMENT

Protection multiniveau

Vos données sont protégées a chaque étape : en transit, au repos, et même nous ne pouvons pas les lire.

Chiffrement en transit

Toutes les communications utilisent TLS 1.3, le protocole le plus sécurisé actuellement disponible.

TLS 1.3 obligatoire
Certificate pinning
Perfect Forward Secrecy

Chiffrement au repos

Vos données sont chiffrées au repos par notre hébergeur, conformément aux standards de sécurité en vigueur.

Chiffrement côté serveur
Clés gérées par l'hébergeur
Isolation des données par client

Chiffrement de bout en bout

La messagerie patient-thérapeute est chiffrée E2E : seuls vous et votre patient pouvez lire les messages.

Chiffrement authentifié (NaCl/Curve25519)
Clés uniques par utilisateur
Vérification d'intégrité

CONTRÔLE D'ACCÈS

Accès sécurisé et traçabilité complète

Chaque accès aux données est authentifié, autorisé et enregistré. Vous gardez le contrôle total sur qui peut voir quoi.

🔐

Authentification forte

2FA disponible prochainement pour les comptes professionnels

👥

RBAC granulaire

Contrôle d'accès base sur les rôles

📜

Journaux d'audit

Historique complet de toutes les actions

⏰

Sessions sécurisées

Expiration automatique et révocation

🚨

Détection d'anomalies

Alertes en cas de comportement suspect

📍

Géolocalisation

Vérification de l'origine des connexions

Journal d'audit

[14:32:01]LOGINdr.martin@...->success

[14:32:15]VIEWdr.martin@...->patient_123

[14:33:42]EXPORTdr.martin@...->rapport.pdf

[14:35:08]MESSAGEdr.martin@...->encrypted

[14:38:22]LOGOUTdr.martin@...->session_end

RGPD

Conformité RGPD complète

Le Règlement Général sur la Protection des Données est au cœur de notre conception. Tous les droits de vos utilisateurs sont respectés.

📋

Droit d'accès

Vos patients peuvent consulter toutes leurs données a tout moment

✏️

Droit de rectification

Modification des informations personnelles en quelques clics

🗑️

Droit a l'effacement

Suppression complète et irréversible sur simple demande

📦

Droit a la portabilité

Export de toutes les données dans un format standard

🚫

Droit d'opposition

Contrôle total sur l'utilisation des données

⏸️

Droit a la limitation

Suspension du traitement sur demande

📜

Registre des traitements

Documentation complète de tous les traitements

🔔

Notification des violations

Alerte sous 72h en cas d'incident

Délégué a la Protection des Données

Pour toute question relative a vos données personnelles ou pour exercer vos droits, contactez notre DPO.

hello@opaoma.app

🇪🇺

100% France & Union Européenne

Vos données ne quittent jamais le territoire européen

🇪🇺

Base de données

Union Européenne (Supabase)

🇪🇺

Site web

Vercel (CDN européen)

SOUVERAINETÉ

Données hébergées en Union Européenne

Vos données sont hébergées dans l'Union Européenne via Supabase (région UE). Les transferts hors UE sont encadrés par des clauses contractuelles types (SCCs).

Hébergement UE

Base de données Supabase en région européenne

Clauses contractuelles types

SCCs conformes au RGPD pour les transferts hors UE

Juridiction européenne

Le droit européen (RGPD) s'applique a vos données

Transparence totale

Liste complète de nos sous-traitants disponible sur demande

Mesures de sécurité supplémentaires

Nous allons au-delà des standards pour garantir la protection maximale

🔍

Tests de pénétration

Audits de sécurité réguliers par des experts indépendants

🛡️

WAF & DDoS Protection

Protection contre les attaques web et déni de service

🔄

Sauvegardes chiffrées

Backups quotidiens avec rétention de 30 jours

📱

Sécurité mobile

App protégée contre le reverse engineering

🎓

Formation équipe

Sensibilisation sécurité continue de nos employés

🚨

Incident Response

Équipe d'intervention 24/7 en cas d'incident

Questions fréquentes sur la sécurité

Tout ce que vous devez savoir sur la protection de vos données

Vos données sont hébergées dans l'Union Européenne via Supabase (région UE). Le site web est servi par Vercel. Supabase et Vercel sont des entreprises américaines soumises au Cloud Act, mais les données résident en UE et les transferts sont encadrés par des clauses contractuelles types (SCCs) conformément au RGPD.

Les messages entre thérapeutes et patients sont chiffrés directement sur l'appareil de l'expéditeur avant d'être envoyés. Seul le destinataire possède la clé pour les déchiffrer. Même nos serveurs ne peuvent pas lire le contenu des messages. Nous utilisons un chiffrement authentifié de bout en bout (NaCl/Curve25519), une librairie cryptographique reconnue.

La suppression de compte entraîne l'effacement définitif et irréversible de toutes vos données de nos serveurs dans un délai de 30 jours maximum. Cela inclut les messages, les notes, les fichiers et toutes les métadonnées. Nous conservons uniquement les données de facturation obligatoires pendant la durée légale.

Oui, absolument. Vous êtes le seul a avoir accès aux données de vos patients. Nous ne vendons jamais de données, ne faisons pas de publicité ciblée, et n'utilisons pas les données pour entraîner des modèles d'IA. Notre modèle économique repose uniquement sur les abonnements.

Opaoma n'est pas soumis à la certification HDS (Hébergeur de Données de bien-être) car nous ne stockons pas de données de bien-être en clair sur nos serveurs. Les données sensibles restent sur l'appareil de l'utilisateur ou sont chiffrées de bout en bout (le serveur ne peut pas les lire). Le thérapeute reste responsable de traitement au sens du RGPD, et Opaoma agit comme sous-traitant technique (article 28 RGPD).

Nous avons un programme de divulgation responsable. Si vous découvrez une vulnérabilité, veuillez nous contacter a security@opaoma.app. Nous nous engageons a répondre sous 48h et a vous tenir informé de la résolution. Les chercheurs en sécurité de bonne foi seront remerciés publiquement (avec leur accord).

Nous appliquons les bonnes pratiques de sécurité : chiffrement de bout en bout (NaCl/Curve25519), stockage local des données sensibles, conformité RGPD. Opaoma n'est pas soumis à la certification HDS car les données de bien-être ne sont pas hébergées en clair sur nos serveurs.

Les sauvegardes sont effectuées quotidiennement et chiffrées. Elles sont stockées de manière géographiquement séparée pour garantir la résilience. La rétention est de 30 jours. Les sauvegardes sont testées régulièrement pour s'assurer de leur intégrité.

Vos données de bien-être protégées

Standards de sécurité les plus élevés

Chiffrement E2E