← Retour à l'accueil

Politique de Confidentialité

Dernière mise à jour : 12 mars 2026

1. Responsable du traitement

Le responsable du traitement des données personnelles est SwapMD, représenté par Bertrand Gendrin.

Contact : contact@swapmd.doctor

2. Données collectées

Nous collectons les données suivantes dans le cadre de l'utilisation de la Plateforme :

Données d'identification professionnelle

  • Nom, prénom
  • Adresse email
  • Numéro de téléphone
  • Numéro RPPS (Répertoire Partagé des Professionnels de Santé)
  • Spécialité médicale
  • Numéro de licence de remplacement (internes)

Documents de vérification

  • Carte Professionnelle de Santé (CPS) recto/verso
  • Carte Nationale d'Identité
  • Attestation de Responsabilité Civile Professionnelle (RCP)
  • Relevé d'Identité Bancaire (RIB)
  • Licence de remplacement (internes)

Données de transaction

  • Historique des réservations et remplacements
  • Montants des rétrocessions et commissions
  • Données de paiement (traitées par Stripe, non stockées par SwapMD)

Données techniques

  • Adresse IP (pour la sécurité et le rate limiting)
  • Cookies de session (authentification uniquement)

3. Finalités du traitement

  • Création et gestion des comptes utilisateurs
  • Vérification de l'identité professionnelle des médecins
  • Mise en relation entre Titulaires et Remplaçants
  • Génération et signature des contrats de remplacement
  • Envoi des contrats au Conseil Départemental de l'Ordre des Médecins
  • Traitement des paiements et commissions
  • Envoi de notifications par email (confirmations, rappels)
  • Conciergerie administrative (demandes de licence de remplacement)
  • Prévention de la fraude et sécurité de la Plateforme

4. Base légale

  • Exécution du contrat : traitement nécessaire à la fourniture du service (mise en relation, contrats, paiements)
  • Obligation légale : conservation des données de facturation, transmission au CDOM
  • Intérêt légitime : sécurité de la Plateforme, prévention de la fraude
  • Consentement : envoi de communications marketing (le cas échéant)

5. Destinataires des données

Les données peuvent être transmises aux tiers suivants, dans le strict cadre des finalités décrites :

  • Stripe (paiements) — certifié PCI DSS, données bancaires non stockées par SwapMD
  • Firma.dev (signature électronique) — conforme eIDAS
  • Brevo (emails transactionnels) — serveurs UE
  • Supabase (hébergement base de données et stockage documents)
  • Vercel (hébergement de l'application)
  • Conseil Départemental de l'Ordre des Médecins (contrats signés, dossiers de licence)
  • Agence du Numérique en Santé (vérification RPPS via API Annuaire Santé)

6. Durée de conservation

  • Données de compte : durée de l'inscription + 3 ans après suppression
  • Documents de vérification : 5 ans après la dernière utilisation
  • Contrats signés : 10 ans (obligation légale)
  • Données de facturation : 10 ans (obligation comptable)
  • Données techniques (IP, logs) : 12 mois

7. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès : obtenir une copie de vos données personnelles
  • Droit de rectification : corriger des données inexactes
  • Droit à l'effacement : demander la suppression de vos données (sous réserve des obligations légales de conservation)
  • Droit à la portabilité : recevoir vos données dans un format structuré
  • Droit d'opposition : vous opposer au traitement de vos données
  • Droit à la limitation : demander la limitation du traitement

Pour exercer ces droits, contactez-nous à : contact@swapmd.doctor

Vous pouvez également introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr

8. Sécurité

SwapMD met en œuvre les mesures de sécurité suivantes :

  • Chiffrement des communications (HTTPS/TLS)
  • Hashage des mots de passe (bcrypt, 12 rounds)
  • Protection contre les attaques par force brute (rate limiting)
  • Headers de sécurité HTTP (HSTS, X-Frame-Options, CSP)
  • Vérification des signatures webhook (HMAC SHA-256)
  • Aucun stockage de données bancaires (délégué à Stripe)

9. Cookies

SwapMD utilise uniquement des cookies strictement nécessaires au fonctionnement du service :

  • Cookie de session (next-auth.session-token) : maintien de la connexion, durée de session
  • Cookie CSRF (next-auth.csrf-token) : protection contre les attaques CSRF

Aucun cookie publicitaire, analytique ou de suivi tiers n'est utilisé. Aucun bandeau cookie n'est nécessaire (cookies strictement nécessaires exemptés par la directive ePrivacy).

10. Transferts hors UE

Certains sous-traitants (Vercel, Stripe, Supabase) peuvent traiter des données aux États-Unis. Ces transferts sont encadrés par le EU-US Data Privacy Framework ou les clauses contractuelles types approuvées par la Commission européenne.

11. Modification

Cette politique peut être modifiée à tout moment. Les utilisateurs seront informés de toute modification substantielle par email. La date de dernière mise à jour est indiquée en haut de cette page.