1. Définitions
- Données : toute donnée à caractère personnel traitée par CureNest pour le compte de la Clinique via la plateforme.
- Personnes concernées : les patients de la Clinique et, accessoirement, les membres de son personnel.
- Loi applicable : la loi algérienne n° 18-07 du 10 juin 2018 et, lorsque pertinent, le Règlement général sur la protection des données (UE 2016/679).
2. Objet et durée
CureNest traite les Données pour la seule finalité d'exécution du service clinique : gestion des rendez-vous, de la file d'attente, des patients, des équipes, du calendrier, des notifications et des statistiques. Le traitement dure aussi longtemps que la Clinique reste cliente, augmenté du délai de restitution et de suppression prévu à l'article 9.
3. Nature des traitements
Les opérations effectuées sur les Données comprennent :
- la collecte par saisie du personnel clinique via l'interface ;
- l'enregistrement, la structuration et la conservation en base de données ;
- la consultation, la modification et la suppression par les utilisateurs autorisés ;
- la transmission automatisée pour l'envoi de notifications (par exemple rappels de rendez-vous) ;
- l'archivage, la sauvegarde et, in fine, l'effacement sécurisé.
4. Catégories de données et de personnes concernées
| Catégorie de personnes | Catégories de données |
|---|---|
| Patients | Identité (nom, prénom, date de naissance, genre, numéro national d'identification), coordonnées (téléphone, e-mail, contact d'urgence), données de santé (notes cliniques libres, antécédents saisis, historique des rendez-vous), données relatives aux rendez-vous et à la file d'attente. |
| Personnel de la Clinique | Identité professionnelle, e-mail, téléphone, rôle, permissions, historique de connexion, statut du compte. |
5. Obligations de CureNest en qualité de sous-traitant
CureNest s'engage à :
- ne traiter les Données que sur instruction documentée de la Clinique, dans les limites prévues par le contrat ;
- garantir la confidentialité par des engagements contractuels avec tout membre de son personnel ayant accès aux Données ;
- mettre en œuvre les mesures de sécurité décrites dans notre Déclaration de sécurité ;
- assister la Clinique dans ses obligations de réponse aux demandes des personnes concernées, dans la mesure du raisonnable et en fournissant les outils techniques appropriés ;
- notifier la Clinique dans les meilleurs délais, et au plus tard sous 72 heures, de toute violation de Données avérée, avec les éléments permettant d'évaluer l'incident ;
- supprimer ou restituer les Données à la fin de la prestation, selon le choix de la Clinique, sous réserve des obligations légales de conservation.
6. Obligations de la Clinique en qualité de responsable de traitement
La Clinique s'engage à :
- disposer d'une base juridique valable pour chaque traitement effectué via la plateforme, et en particulier recueillir les consentements requis ;
- informer ses patients du recours à CureNest comme sous-traitant et des modalités du traitement ;
- configurer correctement les rôles et permissions de son personnel afin de respecter le principe de minimisation des accès ;
- répondre aux demandes d'exercice des droits des patients, en utilisant les outils d'export et de suppression fournis par CureNest.
7. Sous-traitants ultérieurs (sub-processors)
Toutes les données applicatives (bases de données, sauvegardes, fichiers téléversés) sont hébergées en Algérie. Seuls la diffusion de l'interface web et l'envoi d'e-mails transactionnels reposent sur des prestataires hors territoire national. La liste actualisée des sous-traitants est la suivante :
| Sous-traitant | Rôle | Données traitées | Localisation |
|---|---|---|---|
| [À compléter – hébergeur national] | Serveurs applicatifs, bases de données, sauvegardes chiffrées | Ensemble des données patients, cliniques et utilisateurs | Algérie |
| [À compléter – CDN / hébergement du front] | Diffusion des fichiers statiques de l'interface web (React) | Aucune donnée patient. Fichiers identiques pour tous les utilisateurs. | Hors Algérie |
| [À compléter – e-mail transactionnel] | Envoi des e-mails de confirmation, de rappel et de notification | Adresse e-mail du destinataire, nom, date et heure du rendez-vous, nom de la Clinique. Aucun contenu médical. | Hors Algérie |
CureNest informe la Clinique de tout ajout ou remplacement de sous-traitant ultérieur au moins trente (30) jours avant sa mise en production, permettant à la Clinique de s'y opposer pour motif légitime.
8. Transferts hors du territoire national
Par principe, les données patients et cliniques ne quittent pas le territoire algérien. Seules les deux exceptions listées ci-dessus (diffusion du front et e-mails transactionnels) impliquent un traitement hors d'Algérie, dans un périmètre strictement limité et sans transfert de données médicales. Pour ces traitements, CureNest s'assure que des garanties contractuelles appropriées encadrent le transfert, conformément à la loi n° 18-07.
9. Restitution et suppression
À la fin du contrat, la Clinique dispose d'un délai de trente (30) jours pour demander l'export de ses Données. Passé ce délai, CureNest procède à leur suppression des environnements de production dans les trente (30) jours suivants, puis des sauvegardes dans un délai supplémentaire n'excédant pas trente (30) jours, sous réserve des obligations légales de conservation.
10. Audit
La Clinique peut demander, une fois par an et moyennant un préavis raisonnable, un audit documentaire des mesures mises en œuvre par CureNest. CureNest peut satisfaire cette obligation en fournissant un rapport d'audit indépendant ou tout document équivalent.
11. Responsabilité
Chaque partie répond des dommages causés par le non-respect de ses propres obligations au titre du présent accord. La responsabilité de CureNest ne peut excéder, toutes causes confondues, le montant annuel payé par la Clinique au titre de l'abonnement, sauf en cas de faute lourde ou intentionnelle.
12. Contact
Pour toute question relative au traitement des données : support@curenest.health.