Hadalia attache une importance fondamentale à la protection des données personnelles de ses Clients (cabinets) et des visiteurs du site hadalia.com. La présente politique explique quelles données sont collectées, pourquoi, combien de temps elles sont conservées, où elles sont hébergées et quels sont vos droits.
1. Champ d'application, qui est responsable de quoi ?
Hadalia intervient sous deux casquettes distinctes :
- Responsable de traitement pour les données traitées dans le cadre de sa propre activité commerciale : visiteurs de hadalia.com, prospects, Clients (utilisateurs gérants de cabinet), facturation, support, marketing direct.
- Sous-traitant (Art. 28 RGPD) pour les données traitées pour le compte des cabinets Clients : leurs clientes finales, prises de rendez-vous, fiches soin, photos, historiques. Le cadre juridique de ce traitement est précisé dans l'accord de sous-traitance (DPA).
La présente politique couvre exclusivement le premier périmètre. Pour les données des clientes finales, les modalités d'information et d'exercice des droits sont fournies directement par chaque cabinet.
Aucune donnée de santé au sens de l'article 9 du RGPD n'est traitée par la plateforme. Le service couvre l'esthétique, le spa et le bien-être ; les cabinets s'engagent contractuellement (CGU + DPA) à ne pas saisir d'informations médicales sensibles dans les fiches client, historiques ou notes.
2. Données collectées
Lors d'une visite du site
- Adresse IP, user-agent, page consultée, horodatage, pour la sécurité, la prévention de la fraude et les statistiques agrégées.
- Cookies strictement nécessaires (session, préférences), aucun traceur publicitaire.
Lors d'une prise de contact ou d'un RDV de démo
- Nom, prénom, email, téléphone, nom du cabinet, message libre, créneau réservé.
Lors d'une souscription
- Identité, email, téléphone, adresse de facturation, données fiscales (n° TVA).
- Données de paiement traitées exclusivement par Stripe (Hadalia n'a accès ni au numéro de carte ni au CVV).
- Identifiants techniques Stripe (customer ID, subscription ID).
Pendant l'utilisation du back-office par les gérant·e·s & employé·e·s
- Identifiants de connexion (email, jeton magic-link / OTP), logs d'authentification.
- Logs applicatifs (actions sensibles auditées : création / modification / suppression).
- Échanges avec le support.
3. Finalités et bases légales
| Finalité | Base légale | Durée |
|---|---|---|
| Exécution du contrat de souscription | Art. 6.1.b RGPD (contrat) | Durée de la relation contractuelle + 5 ans (prescription civile) |
| Facturation, comptabilité | Art. 6.1.c RGPD (obligation légale) | 10 ans (Code de commerce) |
| Prospection (emails B2B vers cabinets) | Art. 6.1.f RGPD (intérêt légitime), opposition possible à tout moment | 3 ans à compter du dernier contact |
| Support et amélioration du Service | Art. 6.1.f RGPD (intérêt légitime) | 3 ans à compter du dernier échange |
| Sécurité, lutte contre la fraude, audit | Art. 6.1.f RGPD (intérêt légitime) | 12 mois pour les logs de sécurité |
4. Hébergement & sous-traitants
Vos données peuvent être communiquées aux sous-traitants suivants, strictement dans la limite des finalités énoncées. La colonne « localisation » précise où les données sont effectivement traitées.
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Supabase, Inc. | Backend applicatif (base de données, authentification, stockage, fonctions serveur, temps réel) | Union européenne |
| Amazon Web Services, Inc. | Infrastructure sous-jacente de Supabase (calcul, stockage, réseau) | Union européenne (région Irlande, eu-west-1) |
| Cloudflare, Inc. | Hébergement edge du front (Pages / Workers), CDN, protection anti-DDoS, gestion des domaines custom, bucket R2 (médias blog) | Réseau mondial, requêtes UE traitées dans des datacenters UE ; bucket R2 EU. |
| Stripe Payments Europe Ltd. | Traitement des paiements et abonnements | Irlande (UE) |
| Resend, Inc. | Emails transactionnels | États-Unis |
| SMSPartner SAS | Envoi de SMS pour les cabinets utilisant le module | France |
| Cal.com, Inc. | Prise de rendez-vous d'onboarding | États-Unis |
| OpenRouter / Fal.ai | Génération assistée de contenu éditorial (texte, images), uniquement quand l'utilisateur déclenche explicitement la fonction IA | États-Unis |
Les autorités administratives ou judiciaires peuvent également être destinataires de données sur réquisition légale.
Hadalia s'engage à n'ajouter aucun sous-traitant ultérieur sans en informer les Clients préalablement, conformément au DPA.
5. Hébergement en Union européenne & transferts
Les données applicatives de Hadalia (comptes cabinets, contenus CMS, prises de rendez-vous, fiches client non-médicales, médias hors blog) sont hébergées chez Supabase, Inc., qui s'appuie sur l'infrastructure Amazon Web Services en Union européenne (région Irlande, eu-west-1). Seuls certains sous-traitants périphériques (Resend, Cal.com, OpenRouter, Fal.ai) traitent des données aux États-Unis. Comme indiqué au §1, aucune donnée de santé au sens de l'article 9 du RGPD n'est hébergée par la plateforme.
Les éventuels transferts hors UE (limités aux sous-traitants périphériques ci-dessus) sont encadrés contractuellement par les Clauses Contractuelles Types de la Commission européenne (Décision 2021/914), intégrées aux Data Processing Agreements signés avec les sous-traitants concernés. Certains sous-traitants américains sont également certifiés au titre du EU-US Data Privacy Framework. La liste à jour des garanties par sous-traitant est disponible sur demande à florian@hadalia.com.
Les données ne quittent jamais un environnement chiffré : chiffrement au repos AES-256 sur les volumes de stockage, chiffrement en transit TLS 1.3 sur l'ensemble des communications, isolation logique stricte entre cabinets clients via des identifiants techniques uniques. Les paiements restent traités en Union européenne (Stripe Irlande), tout comme les SMS cabinet (SMSPartner France) et le bucket de médias éditoriaux Cloudflare R2 (région UE).
Conformément à l'article 14 du RGPD, vous pouvez nous demander à tout moment copie des garanties contractuelles couvrant ces transferts à l'adresse florian@hadalia.com.
6. Sécurité
La sécurité des données est traitée comme une exigence non négociable. Les mesures techniques et organisationnelles suivantes sont en place :
- Chiffrement en transit, TLS 1.3 pour toutes les communications externes et internes (HTTPS, SSH, mTLS interne).
- Chiffrement au repos, AES-256 standard industrie sur l'intégralité de la base de données, du stockage de fichiers et des index de recherche (Supabase / AWS).
- Isolation cabinet par cabinet, chaque enregistrement est rattaché à un
cabinet_idet les requêtes serveur appliquent systématiquement un contrôle d'accès explicite avant lecture ou écriture. - Authentification forte, magic-link / OTP signés, jetons de session à durée courte, MFA disponible pour les comptes super-administrateur Hadalia.
- Stripe pour les paiements, Hadalia ne stocke aucune donnée bancaire ; Stripe est certifié PCI-DSS Service Provider Level 1.
- Conformité de la plateforme backend, Supabase est certifié SOC 2 Type II, audité annuellement, avec hébergement des données en Union européenne. Pentests externes, détection d'intrusion automatisée.
- Hébergement infrastructure, AWS, certifié SOC 2 Type II, ISO 27001, ISO 9001, GDPR, HIPAA, FedRAMP.
- Sauvegardes, sauvegardes continues côté plateforme Supabase, restauration point-in-time, conservation 30 jours.
- Journalisation, actions sensibles tracées avec horodatage, auteur (
user_id) et tenant (cabinet_id) dans un journal d'audit applicatif. - Photos clientes, métadonnées EXIF (incluant géolocalisation) supprimées côté navigateur avant envoi, accès par URL signée à durée limitée.
- Notification d'incident sous 72 heures à la CNIL et aux personnes concernées en cas de violation susceptible d'engendrer un risque (Art. 33 RGPD).
7. Vos droits
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez :
- d'un droit d'accès aux données vous concernant ;
- d'un droit de rectification en cas d'inexactitude ;
- d'un droit à l'effacement (« droit à l'oubli ») dans les conditions de l'article 17 ;
- d'un droit à la limitation du traitement ;
- d'un droit à la portabilité des données fournies ;
- d'un droit d'opposition au traitement fondé sur l'intérêt légitime, en particulier à la prospection commerciale ;
- du droit de définir des directives relatives au sort de vos données après votre décès ;
- du droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr).
Ces droits peuvent être exercés par email à florian@hadalia.com. Une preuve d'identité pourra être demandée en cas de doute raisonnable. Une réponse sera apportée dans le mois suivant la demande.
8. Cookies
Le site hadalia.com utilise exclusivement des cookies strictement nécessaires au fonctionnement du Service (session, authentification, préférences techniques). Ces cookies ne nécessitent pas de consentement préalable au sens de l'article 82 de la loi Informatique et Libertés.
Aucun cookie publicitaire, de tracking comportemental ou de mesure d'audience non exempté n'est déposé.
9. Contact
Toute question relative à la présente politique ou à vos données peut être adressée à florian@hadalia.com.