Politique de confidentialité & Protection des données (RGPD)

Dernière mise à jour : février 2026

1. Responsable du traitement

Le responsable du traitement de vos données personnelles est :

  • Société : TAKOMIT EURL
  • Représentant légal : Damien Mollard
  • Adresse : 13 bis chemin de la marianne, 33520 Bruges, France
  • SIRET : 922 610 050 00010
  • Email : privacy@docal.io

Conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés), TAKOMIT EURL s'engage à protéger la vie privée et les données personnelles de ses utilisateurs.

2. Données personnelles collectées

2.1 Données de compte

  • Adresse email : identification et communications
  • Mot de passe : hashé avec bcrypt, jamais stocké en clair
  • Paramètres de synchronisation : préférences de configuration
  • Date de création et de dernière connexion

2.2 Données Google

Lors de la connexion via Google OAuth, nous collectons :

  • Adresse email Google : identification
  • Tokens OAuth (access token & refresh token) : chiffrés AES-256-GCM, permettant l'accès à Google Calendar en votre nom
  • Événements Google Calendar : lus pour la synchronisation inverse uniquement

2.3 Données Doctolib — données de santé (Article 9 RGPD)

⚠️ Traitement de données de santé

Les rendez-vous médicaux constituent des données de santé au sens de l'article 9 du RGPD. Leur traitement est fondé sur votre consentement explicite (article 9§2a), recueilli lors de la configuration du service.

  • Identifiants Doctolib : email et mot de passe, chiffrés avec AES-256-GCM avant stockage
  • Rendez-vous patients : titre, date, heure, durée, praticien — utilisés uniquement pour la synchronisation vers Google Calendar
  • Liste des agendas : noms et identifiants de vos agendas Doctolib

2.4 Données de facturation

Les paiements sont traités par Stripe. Nous ne stockons aucune donnée bancaire. Nous conservons uniquement : plan souscrit, date de souscription, statut d'abonnement et identifiant client Stripe.

2.5 Données techniques

  • Logs d'erreurs de synchronisation (anonymisés dans les 30 jours)
  • Cookies de session (voir section 8)

3. Base légale des traitements

TraitementBase légale
Création et gestion du compteExécution du contrat (Art. 6§1b)
Synchronisation des agendasExécution du contrat (Art. 6§1b)
Traitement des données de santé (rendez-vous)Consentement explicite (Art. 9§2a)
Envoi de notifications et emailsExécution du contrat (Art. 6§1b)
Facturation et gestion des abonnementsObligation légale + contrat (Art. 6§1b et 6§1c)
Amélioration du service (logs d'erreurs)Intérêt légitime (Art. 6§1f)

4. Finalités du traitement

Vos données sont utilisées exclusivement pour :

  • Synchroniser vos rendez-vous Doctolib vers Google Calendar
  • Créer des absences Doctolib depuis vos événements Google Calendar (synchronisation inverse)
  • Vous envoyer des alertes en cas d'erreur de synchronisation
  • Gérer votre abonnement et votre facturation
  • Assurer la sécurité et la fiabilité du service

Nous ne vendons, ne louons et ne partageons jamais vos données à des fins commerciales ou publicitaires.

5. Durées de conservation

DonnéeDurée de conservation
Données de compte (email, mot de passe)Durée de l'abonnement + 30 jours après suppression
Tokens OAuth GoogleJusqu'à déconnexion Google ou suppression du compte
Identifiants Doctolib chiffrésJusqu'à déconnexion Doctolib ou suppression du compte
Données de rendez-vous (santé)Non stockées — traitées à la volée, non persistées
Données de facturation10 ans (obligation comptable légale)
Logs d'erreurs30 jours

6. Destinataires et sous-traitants

Vos données peuvent être transmises aux sous-traitants suivants, dans le strict cadre de la fourniture du service :

Sous-traitantRôleLocalisation
Hostinger International Ltd.Hébergement serveur et base de donnéesData center France (UE)
Google LLCAuthentification OAuth, API Google CalendarÉtats-Unis (clauses contractuelles types UE)
Stripe Inc.Traitement des paiementsÉtats-Unis / UE (certifié PCI DSS)
Resend Inc.Envoi d'emails transactionnelsÉtats-Unis (clauses contractuelles types UE)

Aucune donnée n'est vendue ou partagée à des fins publicitaires ou commerciales.

7. Transferts hors Union Européenne

Certains sous-traitants (Google, Stripe, Resend) sont établis aux États-Unis. Ces transferts sont encadrés par des clauses contractuelles types (CCT) approuvées par la Commission européenne, conformément à l'article 46 du RGPD, garantissant un niveau de protection adéquat de vos données.

8. Sécurité des données

TAKOMIT EURL met en œuvre les mesures techniques et organisationnelles suivantes :

  • Chiffrement en transit : HTTPS/TLS obligatoire pour toutes les communications
  • Chiffrement au repos : tokens OAuth et identifiants Doctolib chiffrés avec AES-256-GCM
  • Mots de passe : hashés avec bcrypt (facteur de coût 10)
  • Sessions : cookies HttpOnly, Secure, SameSite=Lax (iron-session)
  • Base de données : hébergée dans un data center en France, sauvegardes quotidiennes chiffrées
  • Accès restreint : seuls les administrateurs habilités accèdent à la base de données

9. Cookies

Nous utilisons uniquement des cookies strictement nécessaires au fonctionnement du service. Ces cookies ne nécessitent pas de consentement préalable (directive ePrivacy, article 5§3).

CookieFinalitéDurée
Session utilisateurMaintenir la connexion (HttpOnly, Secure)Session navigateur
Protection CSRFSécurité des formulairesSession navigateur

Nous n'utilisons aucun cookie de tracking, de publicité ou d'analyse comportementale.

10. Utilisation de l'API Google Calendar

Notre utilisation de l'API Google Calendar respecte les Règles relatives aux données utilisateur des services API de Google, y compris les exigences d'utilisation limitée (Limited Use).

Les données obtenues via l'API Google Calendar sont utilisées exclusivement pour :

  • Créer, modifier et supprimer des événements correspondant à vos rendez-vous Doctolib
  • Lire vos événements Google Calendar pour la synchronisation inverse
  • Créer des calendriers dédiés pour chaque agenda Doctolib

Ces données ne sont pas utilisées pour développer, améliorer ou entraîner des modèles d'IA généralisés, ni partagées avec des tiers à d'autres fins.

11. Vos droits

Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants :

  • Droit d'accès (Art. 15) : obtenir une copie de vos données personnelles traitées
  • Droit de rectification (Art. 16) : corriger vos données inexactes ou incomplètes
  • Droit à l'effacement (Art. 17) : supprimer votre compte et l'ensemble de vos données
  • Droit à la portabilité (Art. 20) : recevoir vos données dans un format structuré et lisible par machine
  • Droit d'opposition (Art. 21) : vous opposer au traitement fondé sur l'intérêt légitime
  • Droit de limitation (Art. 18) : limiter le traitement dans certains cas
  • Retrait du consentement : retirer à tout moment votre consentement au traitement des données de santé, sans que cela n'affecte la licéité des traitements antérieurs

Pour exercer vos droits, contactez-nous à : privacy@docal.io. Nous répondrons dans un délai d'un mois (Art. 12 RGPD).

Vous pouvez également supprimer votre compte directement depuis les paramètres de votre espace utilisateur.

12. Droit de réclamation auprès de la CNIL

Si vous estimez que le traitement de vos données n'est pas conforme au RGPD, vous disposez du droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :

  • Commission Nationale de l'Informatique et des Libertés (CNIL)
  • 3 place de Fontenoy, TSA 80715, 75334 Paris cedex 07
  • www.cnil.fr

13. Modifications de cette politique

Nous pouvons mettre à jour cette politique de confidentialité. En cas de modification substantielle, nous vous en informerons par email au moins 30 jours avant l'entrée en vigueur et afficherons un avis visible sur le site.

La version en vigueur est toujours accessible à l'adresse www.docal.io/confidentialite.

14. Contact

Pour toute question relative à cette politique ou à vos données personnelles :

  • Email : privacy@docal.io
  • Courrier : TAKOMIT EURL — 13 bis chemin de la marianne, 33520 Bruges, France

Cette politique est conforme au Règlement (UE) 2016/679 (RGPD), à la loi Informatique et Libertés modifiée, et aux règles d'utilisation des API Google.

Voir aussi : Mentions légales Conditions d'utilisation