Confidentialité
Comment Orcalis collecte, traite, conserve et protège les données personnelles et médicales en qualité de sous-traitant pour le compte des professionnels de santé.
Version 1.0 — En vigueur à compter du 01/01/2026.
DÉCLARATION D'ENGAGEMENT — Orcalis traite des données médicales à caractère particulièrement sensible. La protection de la vie privée des patients et la sécurité des données de santé constituent un engagement fondamental et non négociable d'Orcalis. Cette Politique de Confidentialité reflète les meilleures pratiques internationales en matière de cybersécurité et de protection des données de santé.
ARTICLE 1 — INTRODUCTION
1.1 La présente Politique de Confidentialité (ci-après « la Politique ») a pour objet d'informer les Utilisateurs de la Plateforme Orcalis — professionnels de santé, administrateurs de cliniques, secrétaires médicales, ainsi que, indirectement, les Patients dont les données sont traitées via la Plateforme — sur les modalités de collecte, de traitement, de conservation, de protection et de partage de leurs données à caractère personnel.
1.2 Orcalis accorde une importance primordiale à la confidentialité des données médicales et à la protection de la vie privée. La Plateforme est conçue pour répondre aux standards les plus exigeants en matière de sécurité des données de santé.
1.3 La présente Politique est établie en conformité avec les textes législatifs et réglementaires applicables, notamment ceux relatifs à l'exercice des professions de santé et à la tenue des dossiers médicaux au Maroc, ainsi que les normes et meilleures pratiques internationales en matière de cybersécurité et de protection des données de santé (ISO 27001, OWASP, etc.).
1.4 La présente Politique s'applique à l'ensemble des traitements de données à caractère personnel effectués dans le cadre de l'utilisation de la Plateforme Orcalis, ainsi qu'aux données collectées lors de la visite du site internet www.orcalis.io.
1.5 La présente Politique est susceptible d'être modifiée. La version en vigueur est en permanence accessible sur le site internet d'Orcalis à l'adresse : www.orcalis.io/confidentialite.
ARTICLE 2 — RÔLE D'ORCALIS DANS LE TRAITEMENT DES DONNÉES
2.1 Orcalis agit exclusivement en qualité de Sous-traitant. Orcalis ne détermine ni les finalités ni les moyens des traitements de données effectués via la Plateforme.
2.2 Les Établissements et professionnels de santé qui souscrivent à Orcalis agissent en qualité de Responsables du traitement. Ils déterminent les finalités et les moyens du traitement des Données personnelles et médicales de leurs Patients, ainsi que des données relatives à leurs Utilisateurs et à l'utilisation de la Plateforme au sein de leur organisation.
2.3 Orcalis traite les données uniquement sur instruction documentée des Responsables du traitement, dans le cadre de la fourniture des services Orcalis et des finalités décrites dans les présentes. Orcalis conclut avec chaque Responsable du traitement un contrat de sous-traitance définissant les obligations réciproques en matière de protection des données.
ARTICLE 3 — DONNÉES COLLECTÉES
3.1 Données médicales des Patients
Dans le cadre de l'utilisation de la Plateforme par les professionnels de santé, les catégories suivantes de données médicales, à caractère sensible, peuvent être collectées et traitées :
- Données d'identification des patients : nom, prénom, date de naissance, sexe, nationalité, numéro de CIN ou de passeport, adresse postale, numéro de téléphone, adresse email ;
- Données médicales stricto sensu : antécédents médicaux et chirurgicaux, diagnostics établis, prescriptions médicales, ordonnances, résultats d'analyses biologiques et d'imagerie médicale, comptes rendus opératoires et de consultation, protocoles thérapeutiques ;
- Données relatives aux actes médicaux : nature des actes réalisés, dates des consultations, interventions chirurgicales, soins infirmiers et actes paramédicaux ;
- Données de rendez-vous : dates, horaires et motifs de consultation, statut de présence ;
- Données de facturation des patients : montants des actes réalisés, modes de règlement, historique de facturation, remboursements ;
- Données biométriques ou spécifiques à une spécialité médicale : selon le contexte, données morphologiques, imagerie dentaire, données ophtalmologiques, données gynécologiques, etc. ;
- Toute autre donnée médicale saisie par le professionnel de santé dans le cadre de la prise en charge médicale du Patient.
Ces données constituent des données de santé. Leur traitement est soumis à des garanties renforcées et ne peut intervenir que dans le strict respect des conditions légales applicables et du secret médical, sous la responsabilité du professionnel de santé Responsable du traitement.
3.2 Données administratives des Utilisateurs
Dans le cadre de la gestion des Comptes et de la relation contractuelle avec les Utilisateurs, Orcalis collecte les données suivantes :
- Données d'identification professionnelle : nom, prénom, titre professionnel, spécialité médicale, numéro d'ordre professionnel ou d'inscription à l'organisme compétent ;
- Coordonnées professionnelles : adresse du cabinet ou de la clinique, email professionnel, numéro de téléphone professionnel, numéro de fax ;
- Données de facturation et de paiement : coordonnées bancaires (RIB/IBAN), historique des paiements, factures émises ;
- Données d'organisation : structure du cabinet, organigramme, horaires d'ouverture, paramètres de configuration de la Plateforme.
3.3 Données techniques
Dans le cadre de l'exploitation et de la sécurisation de la Plateforme, Orcalis collecte automatiquement les données techniques suivantes :
- Adresses IP des équipements utilisés pour accéder à la Plateforme ;
- Type, version et langue du navigateur web utilisé, système d'exploitation ;
- Journaux de connexion (logs de session) : dates, heures de connexion et de déconnexion, durée des sessions, fonctionnalités consultées et utilisées ;
- Journaux d'audit (audit logs) : ensemble des actions effectuées sur la Plateforme (créations, modifications, suppressions, consultations de dossiers), avec horodatage précis et identifiant de l'utilisateur ;
- Données de performance et de diagnostic : temps de réponse de la Plateforme, erreurs applicatives, rapports de crash ;
- Identifiants de session et tokens d'authentification.
3.4 Données relatives aux Cookies
La Plateforme Orcalis et le site internet www.orcalis.io utilisent des cookies et technologies similaires (pixels, balises web, stockage local). Ces technologies sont classées en plusieurs catégories :
| Catégorie de cookie | Finalité | Durée de conservation |
|---|---|---|
| Cookies essentiels / techniques | Authentification des utilisateurs, sécurisation des sessions, fonctionnement de la Plateforme. Ne peuvent pas être désactivés. | Durée de la session |
| Cookies de performance | Analyse de l'utilisation de la Plateforme pour en améliorer les performances et la convivialité. | 12 mois |
| Cookies de préférences | Mémorisation des préférences utilisateur (langue, affichage, paramètres). | 12 mois |
| Cookies analytiques (tiers) | Mesure d'audience et statistiques d'utilisation agrégées, anonymisées. | 13 mois maximum |
L'Utilisateur peut configurer son navigateur pour refuser ou supprimer les cookies non essentiels, sans que cela affecte le bon fonctionnement des fonctionnalités principales de la Plateforme. Pour les cookies tiers analytiques, l'Utilisateur peut exercer son droit d'opposition via les paramètres de son compte ou à l'adresse dpo@orcalis.io.
ARTICLE 4 — FINALITÉS DU TRAITEMENT
Les données collectées sur la Plateforme sont traitées pour les finalités suivantes, strictement définies et limitées :
| Finalité du traitement | Description |
|---|---|
| Gestion des patients | Création, mise à jour et consultation des fiches patients, gestion du parcours de soins et de l'historique médical. |
| Prise de rendez-vous | Planification, gestion des agendas médicaux, rappels de rendez-vous automatisés (SMS, email, WhatsApp). |
| Tenue des DME | Archivage et consultation des dossiers médicaux électroniques, saisie des actes médicaux. |
| Génération de documents | Création d'ordonnances, certificats médicaux, comptes rendus et courriers médicaux. |
| Facturation | Gestion des actes, émission de devis et de factures, suivi des règlements. |
| Gestion des stocks | Suivi des consommables médicaux, médicaments et équipements. |
| Analyses & statistiques | Tableaux de bord d'activité, indicateurs médicaux à usage exclusivement interne à l'Établissement. |
| Sécurité de la Plateforme | Détection et prévention des accès non autorisés, gestion des incidents de sécurité, journalisation des actions. |
| Support technique | Assistance aux Utilisateurs, résolution des incidents techniques et fonctionnels. |
| Gestion des abonnements | Traitement des paiements, émission des factures, gestion des renouvellements. |
| Communication | Envoi de notifications relatives aux mises à jour, aux incidents et aux évolutions de la Plateforme. |
| Amélioration de la Plateforme | Analyse des usages agrégés et anonymisés pour améliorer les fonctionnalités et l'expérience utilisateur. |
4.1 Orcalis s'engage à ne pas traiter les données collectées à des fins autres que celles énumérées ci-dessus, et notamment à ne pas les utiliser à des fins publicitaires, commerciales tierces, ou d'analyse à des fins propres sans le consentement préalable des Responsables du traitement.
ARTICLE 5 — BASE LÉGALE DU TRAITEMENT
Les traitements effectués par Orcalis, en qualité de Sous-traitant, reposent sur les bases légales déterminées par les Responsables du traitement, notamment :
- a) Exécution du contrat : le traitement des données personnelles des Utilisateurs (professionnels de santé, administrateurs) est nécessaire à l'exécution du contrat d'abonnement et à la fourniture des services Orcalis ;
- b) Consentement : le traitement des données médicales des Patients est fondé sur le consentement éclairé et spécifique de chaque Patient, collecté par le Responsable du traitement (professionnel de santé ou Établissement) ;
- c) Obligation légale : certains traitements sont rendus obligatoires par la réglementation applicable (conservation des dossiers médicaux, obligations comptables, journaux d'audit requis par la loi) ;
- d) Intérêt légitime : certains traitements sont nécessaires à des fins de sécurité de la Plateforme, de prévention des fraudes et d'amélioration des services, dans le respect des droits et des libertés fondamentales des personnes concernées.
5.1 Les Responsables du traitement sont seuls responsables de s'assurer que leurs traitements disposent d'une base légale appropriée conformément à la réglementation applicable. Orcalis n'effectue aucune démarche déclarative ou autorisation en son nom propre.
ARTICLE 6 — HÉBERGEMENT DES DONNÉES
6.1 L'ensemble des données de la Plateforme Orcalis, y compris les Données médicales à caractère sensible, est hébergé sur des infrastructures cloud sécurisées gérées par AWS (Amazon Web Services).
6.2 Localisation des serveurs : Allemagne (Union Européenne). En cas d'hébergement hors du Maroc, Orcalis s'assure que le pays destinataire offre un niveau de protection des données équivalent à celui garanti par la législation marocaine, ou conclut avec le prestataire les garanties contractuelles appropriées (clauses contractuelles types ou mécanisme équivalent reconnu).
6.3 Les infrastructures d'hébergement retenues par Orcalis offrent notamment les garanties suivantes :
- Redondance géographique et réplication des données pour assurer la continuité de service ;
- Contrôle d'accès physique strict aux centres de données (badges, biométrie, vidéosurveillance) ;
- Certifications de sécurité reconnues (ISO 27001, SOC 2 ou équivalent) ;
- Plans de reprise d'activité (PRA) et de continuité d'activité (PCA) documentés et testés.
6.4 Toute modification substantielle du prestataire d'hébergement ou de la localisation des serveurs sera portée à la connaissance des Utilisateurs avec un préavis raisonnable, et les garanties de protection des données seront maintenues à un niveau équivalent.
ARTICLE 7 — SÉCURITÉ DES DONNÉES
Orcalis met en œuvre un ensemble complet de mesures techniques et organisationnelles pour garantir la confidentialité, l'intégrité, la disponibilité et la résilience des données traitées via la Plateforme.
7.1 Chiffrement des données
- a) Chiffrement en transit : toutes les communications entre les équipements des Utilisateurs et les serveurs Orcalis sont chiffrées via le protocole TLS 1.2 minimum (HTTPS obligatoire), rendant impossible l'interception des données par des tiers ;
- b) Chiffrement au repos : les Données médicales et toutes les données sensibles stockées sur les serveurs sont chiffrées en utilisant l'algorithme AES-256, standard recommandé par les autorités de cybersécurité ;
- c) Protection des mots de passe : les mots de passe des Utilisateurs sont stockés sous forme hachée avec sel, en utilisant des algorithmes éprouvés (bcrypt, argon2 ou équivalent). Aucun mot de passe n'est stocké en clair sur les serveurs d'Orcalis ;
- d) Chiffrement des sauvegardes : l'ensemble des sauvegardes de données est chiffré avant stockage sur les supports de sauvegarde.
7.2 Sauvegardes
- a) Des sauvegardes complètes et automatisées de l'ensemble des données de la Plateforme sont effectuées quotidiennement, selon le principe 3-2-1 (3 copies, sur 2 supports différents, dont 1 hors site) ;
- b) Les sauvegardes sont stockées sur des infrastructures géographiquement distinctes des données de production, pour garantir la résilience en cas de sinistre ;
- c) Des tests de restauration des sauvegardes sont réalisés régulièrement (au minimum trimestriellement) pour valider leur intégrité et leur utilisabilité ;
- d) La durée de rétention des sauvegardes est de trente (30) jours en rotation, permettant une restauration à tout point dans le temps au cours de cette période.
7.3 Contrôles d'accès et authentification
- a) Authentification : l'accès à la Plateforme est conditionné à une authentification sécurisée par identifiant et mot de passe robuste. L'authentification à deux facteurs (2FA) est disponible et vivement recommandée pour tous les Utilisateurs ;
- b) Contrôle d'accès basé sur les rôles (RBAC) : chaque Utilisateur n'a accès qu'aux fonctionnalités et aux données strictement nécessaires à l'exercice de ses fonctions professionnelles, selon les droits attribués par l'Administrateur principal ;
- c) Gestion des sessions : les sessions inactives font l'objet d'une déconnexion automatique après un délai configurable, pour prévenir les accès non autorisés en cas d'absence de l'Utilisateur ;
- d) Accès internes Orcalis : les accès des équipes Orcalis aux données de production sont strictement limités, contrôlés, journalisés et soumis au principe du moindre privilège.
7.4 Traçabilité et journaux d'audit
Toutes les actions effectuées sur la Plateforme sont enregistrées dans des journaux d'audit (audit logs) immuables et horodatés, comprenant les informations suivantes :
- Identité de l'utilisateur ayant effectué l'action ;
- Nature précise de l'action (consultation, création, modification, suppression, exportation) ;
- Date et heure exactes de l'action (horodatage UTC) ;
- Adresse IP de l'équipement utilisé ;
- Identifiant de l'enregistrement concerné (numéro de dossier patient, identifiant d'ordonnance, etc.).
Ces journaux d'audit sont protégés contre toute modification ou suppression non autorisée, et sont conservés pendant une durée minimale de douze (12) mois. Ils constituent des éléments de preuve disponibles en cas de litige, d'incident de sécurité ou de contrôle par les autorités.
7.5 Autres mesures de sécurité
- Audits de sécurité et tests de pénétration (pentests) réalisés régulièrement par des prestataires qualifiés et indépendants, conformément aux recommandations OWASP et aux standards ISO 27001 ;
- Pare-feux applicatifs (WAF), systèmes de détection d'intrusions (IDS/IPS) et surveillance continue de la Plateforme ;
- Politique de gestion des vulnérabilités avec processus de correction rapide (patch management) ;
- Formation et sensibilisation régulière du personnel d'Orcalis aux enjeux de la sécurité des données de santé ;
- Engagements contractuels de confidentialité imposés à l'ensemble du personnel et des prestataires ayant accès aux données.
ARTICLE 8 — DURÉE DE CONSERVATION DES DONNÉES
8.1 Les données sont conservées par Orcalis, pour le compte des Responsables du traitement, pendant les durées nécessaires aux finalités de leur traitement et conformément aux obligations légales applicables.
| Catégorie de données | Durée de conservation | Base légale |
|---|---|---|
| Dossiers Médicaux Électroniques (DME) | Minimum 10 ans après la dernière consultation, ou durée spécifique selon la spécialité médicale | Réglementation marocaine sur les dossiers médicaux |
| Ordonnances médicales | 10 ans minimum | Code de déontologie médicale |
| Journaux d'audit (audit logs) | 12 mois minimum | Obligation légale de traçabilité |
| Données de facturation (Patients) | 10 ans | Code de commerce marocain — prescription comptable |
| Données de connexion (logs) | 12 mois | Obligation légale de traçabilité |
| Données du Compte Utilisateur | Durée de l'abonnement + 90 jours après résiliation | Exécution du contrat |
| Données de paiement (abonnement) | 10 ans | Prescription légale comptable |
| Cookies essentiels | Durée de la session | Nécessité technique |
| Cookies analytiques | 13 mois maximum | Consentement |
| Sauvegardes | 30 jours en rotation | Nécessité opérationnelle |
8.2 À l'expiration des durées de conservation définies ci-dessus, les données sont soit définitivement supprimées par des procédés sécurisés (effacement cryptographique ou destruction physique des supports), soit irréversiblement anonymisées, de telle sorte qu'elles ne puissent plus être rattachées à une personne identifiable.
8.3 L'Utilisateur ou l'Établissement peut, à tout moment pendant la durée de son abonnement, procéder à l'export de l'ensemble de ses données dans un format standard et interopérable (CSV, PDF, XML selon le type de données). Cette fonctionnalité est accessible directement via la Plateforme ou sur demande à l'adresse contact@orcalis.io.
ARTICLE 9 — PARTAGE ET DESTINATAIRES DES DONNÉES
9.1 Principe de non-partage commercial
Les données des Utilisateurs et des Patients traitées via la Plateforme Orcalis ne sont en aucun cas vendues, louées, cédées ou partagées à des fins commerciales ou publicitaires avec des tiers. Orcalis n'est pas une société de données et ne monétise pas les données médicales.
9.2 Sous-traitants techniques
Pour assurer la fourniture de ses services, Orcalis peut faire appel à des prestataires techniques tiers (sous-traitants ultérieurs), ayant un accès technique limité et strictement nécessaire aux données :
| Catégorie de sous-traitant | Finalité |
|---|---|
| Hébergeur cloud | Hébergement sécurisé des données et des infrastructures Orcalis |
| Prestataire de paiement | Traitement sécurisé des transactions financières liées aux abonnements |
| Prestataire SMS / WhatsApp | Envoi des rappels de rendez-vous aux patients (numéros de téléphone uniquement) |
| Prestataire d'emailing transactionnel | Envoi d'emails de notification aux Utilisateurs et, le cas échéant, aux Patients |
| Outil de support technique | Gestion des tickets d'assistance et des demandes des Utilisateurs |
| Outil de monitoring / observabilité | Surveillance technique de la performance et de la disponibilité de la Plateforme |
9.3 Orcalis s'assure que l'ensemble de ses sous-traitants :
- Présentent des garanties suffisantes en matière de protection des données personnelles ;
- N'utilisent les données traitées qu'aux fins strictement définies dans leur contrat de prestation de service avec Orcalis ;
- Sont liés à Orcalis par des clauses contractuelles de protection des données conformes à la réglementation applicable.
9.4 Accès par les autorités publiques
Orcalis peut être contrainte de divulguer des données à caractère personnel aux autorités judiciaires, administratives ou de sécurité du Royaume du Maroc sur réquisition légale ou décision judiciaire. Dans ce cas, Orcalis :
- a) Vérifie préalablement la légalité, la validité et le fondement juridique de la demande avant d'y donner suite ;
- b) Ne communique que les données strictement nécessaires à la demande, dans le respect du principe de minimisation ;
- c) Informe les Responsables du traitement concernés de la demande reçue, dans toute la mesure où la loi applicable le permet.
9.5 Transfert de données entre professionnels de santé
Le partage de données médicales entre professionnels de santé via la Plateforme (par exemple, lors d'une référence médicale ou d'un transfert de patient) est effectué sous la responsabilité exclusive du Responsable du traitement (professionnel de santé ou Établissement), dans le respect du secret médical et du consentement du Patient.
ARTICLE 10 — DROITS DES UTILISATEURS ET DES PATIENTS
Les personnes dont les données sont traitées disposent des droits suivants, qu'elles peuvent exercer auprès du Responsable du traitement ou, le cas échéant, via Orcalis en sa qualité de Sous-traitant :
10.1 Droit d'accès
Tout Utilisateur ou toute personne concernée (y compris un Patient par l'intermédiaire du professionnel de santé responsable) peut demander confirmation du fait que des données à caractère personnel le concernant sont traitées, et en obtenir une copie dans un délai de trente (30) jours.
10.2 Droit de rectification
Tout Utilisateur peut demander la correction des données personnelles le concernant qui seraient inexactes, incomplètes, équivoques ou périmées. Concernant les données médicales des Patients, la demande de rectification doit être adressée au professionnel de santé Responsable du traitement, qui dispose des droits nécessaires pour effectuer les corrections.
10.3 Droit de suppression (droit à l'oubli)
Tout Utilisateur peut demander la suppression de ses données personnelles, sous réserve des obligations légales de conservation applicables (notamment la conservation des dossiers médicaux). Concernant les données médicales des Patients, la demande doit être adressée au Responsable du traitement, qui en appréciera la faisabilité au regard des obligations légales et déontologiques applicables.
10.4 Droit d'opposition
Tout Utilisateur peut s'opposer, pour des motifs légitimes tenant à sa situation particulière, au traitement de ses données personnelles, à l'exception des traitements nécessaires à l'exécution du contrat d'abonnement ou fondés sur une obligation légale. L'opposition au traitement à des fins de prospection commerciale ou de profilage peut être exercée à tout moment et sans justification.
10.5 Droit à la portabilité
Tout Utilisateur peut demander la fourniture de ses données dans un format structuré, couramment utilisé, standardisé et lisible par machine (CSV, PDF, XML selon le type de données), permettant leur transfert à un autre prestataire de services de gestion médicale. Orcalis met à disposition une fonctionnalité d'export dans la Plateforme.
10.6 Droit de limitation du traitement
Dans certains cas prévus par la réglementation applicable, tout Utilisateur peut demander la limitation du traitement de ses données (par exemple, pendant la vérification d'une demande de rectification ou d'opposition).
10.7 Modalités d'exercice des droits
Les demandes d'exercice des droits peuvent être adressées à Orcalis par les moyens suivants :
- Par email à : dpo@orcalis.io (réponse sous 30 jours ouvrables) ;
- Par courrier postal à : Rue 8 N° 43, Hay Tarik, Sidi Bernoussi, Casablanca, à l'attention du Délégué à la Protection des Données ;
- Via le formulaire de contact disponible sur : www.orcalis.io/mes-droits.
Orcalis se réserve le droit de demander une preuve d'identité pour toute demande d'exercice de droits, afin de prévenir tout accès frauduleux aux données. Ce délai de réponse peut être prolongé de deux (2) mois supplémentaires en cas de demande complexe ou de volume important, sous réserve d'en informer le demandeur dans le délai initial.
ARTICLE 11 — DONNÉES ISSUES DES PLATEFORMES TIERCES (META / WHATSAPP)
11.1 Pour l'envoi des rappels de rendez-vous et des notifications aux patients, Orcalis s'appuie sur la WhatsApp Business Platform fournie par Meta Platforms, Inc. (« Meta »). À ce titre, Orcalis utilise les API, outils et services de la plateforme Meta (« Plateforme Meta ») et traite des données de plateforme (« Platform Data ») au sens des Conditions de la Plateforme Meta (Meta Platform Terms).
11.2 Données concernées : dans le cadre de ces intégrations, Orcalis traite principalement le numéro de téléphone du patient, le contenu des modèles de message (rappels, confirmations, notifications), le statut technique des messages (envoyé, distribué, lu, en échec) et les identifiants techniques de message. Aucune donnée médicale n'est transmise via WhatsApp au-delà des informations strictement nécessaires au rappel (par exemple, date et heure du rendez-vous).
11.3 Finalités : ces données sont traitées exclusivement pour l'envoi de rappels et de notifications de rendez-vous, à la demande et pour le compte du professionnel de santé Responsable du traitement, et uniquement aux fins autorisées par la documentation développeur de Meta.
11.4 Engagements relatifs aux données de plateforme : conformément aux Conditions de la Plateforme Meta, Orcalis s'engage à : (i) ne traiter les données de plateforme que comme décrit dans la présente Politique ; (ii) ne pas vendre, louer ni céder ces données ; (iii) ne pas les utiliser à des fins de profilage publicitaire, de surveillance ou de prise de décision d'éligibilité ; (iv) ne les partager qu'avec les sous-traitants strictement nécessaires (Article 9) ; et (v) mettre en œuvre des mesures de sécurité conformes aux standards de l'industrie (Article 7).
11.5 Consentement et désinscription : l'envoi de messages WhatsApp suppose le recueil préalable, par le professionnel de santé, du consentement du patient. Le patient peut à tout moment se désinscrire des messages (par exemple en répondant « STOP ») et demander la suppression de ses données dans les conditions prévues à l'Article 12.
ARTICLE 12 — SUPPRESSION DES DONNÉES (DATA DELETION)
12.1 Toute personne dont les données sont traitées par Orcalis — Utilisateur, ainsi que tout patient destinataire de communications via la Plateforme ou via WhatsApp — peut demander la suppression de ses données personnelles, y compris les données issues des plateformes tierces (Meta / WhatsApp). Ce droit est accessible à l'ensemble des personnes pouvant accéder à la Plateforme ou recevant ses communications.
12.2 Pour demander la suppression de vos données, vous pouvez utiliser l'un des moyens suivants :
- Envoyer une demande par email à : contact@orcalis.io (ou dpo@orcalis.io pour les demandes relatives à la protection des données) ;
- Utiliser le formulaire de demande disponible sur : www.orcalis.io/mes-droits ;
- Pour les patients : adresser la demande au professionnel de santé Responsable du traitement, ou directement à Orcalis qui la relaiera ;
- Pour les messages WhatsApp : répondre « STOP » au message pour cesser de recevoir des communications, puis demander la suppression via l'un des canaux ci-dessus.
12.3 Délai et confirmation : Orcalis traite toute demande de suppression dans les meilleurs délais et au plus tard dans un délai de trente (30) jours, et confirme la suppression à la personne concernée. La suppression s'effectue sous réserve des obligations légales de conservation applicables (notamment la conservation des dossiers médicaux, des données comptables et des journaux d'audit décrites à l'Article 8), auquel cas les données sont conservées uniquement pour la durée légalement requise puis supprimées ou irréversiblement anonymisées.
12.4 Données de plateforme Meta : les données de plateforme (Platform Data) issues de WhatsApp sont supprimées dès qu'elles ne sont plus nécessaires à la finalité de rappel, sur demande de la personne concernée, ou sur instruction de Meta ou du Responsable du traitement, conformément aux Conditions de la Plateforme Meta.
ARTICLE 13 — GESTION DES VIOLATIONS DE DONNÉES (DATA BREACH)
13.1 Orcalis dispose d'une procédure formalisée de gestion des incidents de sécurité et des violations de données personnelles (data breach policy), permettant de détecter, qualifier, documenter et traiter rapidement tout incident susceptible d'affecter la confidentialité, l'intégrité ou la disponibilité des données traitées via la Plateforme.
13.2 En cas de violation de données avérée ou suspectée, Orcalis s'engage à mettre en œuvre les actions suivantes sans délai :
- a) Activation immédiate de la procédure de gestion des incidents et constitution d'une cellule de crise pluridisciplinaire (technique, juridique, direction) ;
- b) Qualification de l'incident : identification des données affectées, du nombre de personnes concernées, de la nature de la violation (confidentialité, intégrité, disponibilité) et de son niveau de criticité ;
- c) Notification des Responsables du traitement concernés (Établissements et professionnels de santé) dans un délai de soixante-douze (72) heures à compter de la découverte de la violation, avec les informations disponibles sur la nature et l'étendue de l'incident ;
- d) Assistance aux Responsables du traitement dans l'évaluation du risque pour les personnes concernées et, si nécessaire, dans la communication aux Patients concernés ;
- e) Documentation exhaustive de l'incident, des mesures prises et des enseignements tirés, conformément aux exigences légales et aux meilleures pratiques ;
- f) Mise en œuvre immédiate de mesures correctives et préventives pour remédier à la violation et éviter sa réitération.
13.3 Lorsqu'un incident de sécurité affecte des données de plateforme (Platform Data) issues de la Plateforme Meta, Orcalis le notifie également à Meta dans les meilleurs délais, conformément aux exigences de signalement d'incident des Conditions de la Plateforme Meta.
13.4 Les Responsables du traitement (Établissements et professionnels de santé) sont seuls responsables de la communication aux Patients concernés, lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés, ainsi que de toute obligation réglementaire qui leur incombe. Orcalis met à leur disposition toutes les informations nécessaires à l'accomplissement de ces obligations.
13.5 Orcalis tient un registre interne de toutes les violations de données détectées, conformément aux meilleures pratiques en matière de sécurité des données.
ARTICLE 14 — MODIFICATIONS DE LA POLITIQUE DE CONFIDENTIALITÉ
14.1 Orcalis se réserve le droit de modifier la présente Politique de Confidentialité à tout moment, notamment pour l'adapter aux évolutions législatives et réglementaires, aux évolutions technologiques de la Plateforme ou aux nouvelles fonctionnalités introduites.
14.2 Toute modification substantielle de la présente Politique sera portée à la connaissance des Utilisateurs par email et/ou par notification dans la Plateforme, avec un préavis minimum de trente (30) jours avant son entrée en vigueur.
14.3 La date de dernière mise à jour et le numéro de version de la Politique sont indiqués en tête du document. La version historique des politiques précédentes est disponible sur demande à l'adresse dpo@orcalis.io.
14.4 La poursuite de l'utilisation de la Plateforme après l'entrée en vigueur des modifications de la Politique vaut acceptation des nouvelles dispositions. En cas de désaccord, l'Utilisateur peut résilier son abonnement conformément aux CGU.
ARTICLE 15 — CONTACT
15.1 Pour toute question relative à la présente Politique de Confidentialité, au traitement de vos données personnelles, ou à l'exercice de vos droits, vous pouvez contacter Orcalis par les moyens suivants :
| Canal de contact | Coordonnées |
|---|---|
| Email général | contact@orcalis.io |
| Email DPO (protection des données) | dpo@orcalis.io |
| Email sécurité (incidents) | securite@orcalis.io |
| Courrier postal | Rue 8 N° 43, Hay Tarik, Sidi Bernoussi, Casablanca, Maroc |
| Téléphone | 0600983199 |
| Site internet | www.orcalis.io |
| Formulaire de contact | www.orcalis.io/contact |
15.2 Orcalis s'engage à traiter toute demande dans les meilleurs délais et au plus tard dans un délai de trente (30) jours ouvrables à compter de la réception de la demande.
© Orcalis — Tous droits réservés — www.orcalis.io — contact@orcalis.io