Politique de confidentialité

Le responsable de traitement des données personnelles collectées via Kinexion est la société éditrice du site (voir mentions légales).

Pour exercer vos droits ou nous poser toute question relative à la protection de vos données, écrivez à contact@kinexion.fr en précisant « RGPD » dans l'objet.

Nous collectons uniquement les données nécessaires au fonctionnement du service :

• Compte : adresse email, mot de passe (haché), rôle (kiné / cabinet), date d'inscription, date d'onboarding.
• Profil : nom complet, numéro RPPS (facultatif), statut de vérification RPPS, photo de profil (facultatif), numéro de téléphone (facultatif), spécialités, biographie, CV (kiné) ou informations cabinet (raison, adresse, photos).
• Annonces et interactions : annonces publiées, favoris, alertes sauvegardées, messages échangés via la messagerie.
• Paiements : historique des achats de boost, identifiants de session Stripe. Les données bancaires ne transitent pas par nos serveurs et sont traitées exclusivement par Stripe.
• Données techniques : adresse IP (uniquement pour la sécurité et la détection de fraude), agent utilisateur, préférences (thème clair/sombre).

Nous ne collectons aucune donnée de santé au sens de l'article 9 du RGPD. Les informations RPPS sont des données d'identification professionnelle, pas des données de santé.

Création de compte, authentification

Exécution du contrat (art. 6.1.b RGPD)

Publication, recherche et modération des annonces

Exécution du contrat (art. 6.1.b RGPD)

Vérification du numéro RPPS via l'Annuaire Santé

Intérêt légitime — confiance entre professionnels (art. 6.1.f RGPD)

Envoi d'alertes et de notifications

Consentement exprès (art. 6.1.a RGPD), retirable à tout moment

Facturation et obligations comptables

Obligation légale (art. 6.1.c RGPD)

Sécurité, prévention de la fraude

Intérêt légitime (art. 6.1.f RGPD)

Statistiques d'usage agrégées (anonymisées)

Intérêt légitime (art. 6.1.f RGPD)

Vos données ne sont jamais vendues, louées ou échangées avec des tiers à des fins commerciales. Elles ne sont communiquées qu'aux sous-traitants techniques strictement nécessaires au fonctionnement du service :

Vercel Inc. (États-Unis)

Hébergement applicatif, déploiement région Paris (cdg1)

Supabase Pte. Ltd. (Singapour)

Hébergement de la base de données et de l'authentification, déploiement Francfort (EU)

Stripe Payments Europe, Ltd. (Irlande)

Traitement des paiements par carte bancaire

Agence du Numérique en Santé (France)

Croisement du numéro RPPS via l'API de l'Annuaire Santé

Resend / fournisseur email transactionnel

Envoi d'emails (confirmation, alertes, notifications)

Bien que les données soient physiquement stockées en Europe (Paris pour le frontal web, Francfort pour la base de données), certains de nos sous-traitants ont leur siège social hors UE :

• Vercel Inc. (États-Unis) : le frontal applicatif est servi depuis la région Paris, mais le contrôle de la société par une entité américaine la soumet potentiellement au Cloud Act. Vercel a signé les clauses contractuelles types (CCT) de la Commission européenne.
• Supabase Pte. Ltd. (Singapour) : les bases de données sont déployées en Allemagne, mais la société mère est singapourienne. Supabase a également signé les CCT.

Si vous souhaitez en savoir plus sur les garanties contractuelles et techniques mises en place (chiffrement au repos et en transit, isolation des tenants, sauvegardes chiffrées), nous pouvons vous communiquer le détail sur demande.

Compte actif

Aussi longtemps que le compte existe

Compte inactif (sans connexion)

3 ans, après quoi anonymisation

Annonces publiées

Conservation pendant la durée d'activité + 1 an pour historique

Messages

5 ans après le dernier message

Factures et données comptables

10 ans (obligation légale, art. L123-22 Code de commerce)

Logs techniques de sécurité

12 mois

Cookies

13 mois maximum

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez à tout moment des droits suivants :

• Accès : obtenir une copie des données vous concernant.
• Rectification : corriger des données inexactes ou les compléter.
• Effacement (« droit à l'oubli ») : obtenir la suppression de vos données, sous réserve des obligations légales de conservation.
• Limitation : suspendre temporairement le traitement de vos données.
• Portabilité : recevoir vos données dans un format structuré et lisible par machine.
• Opposition : vous opposer à un traitement fondé sur l'intérêt légitime.
• Retrait du consentement : pour les notifications et alertes, à tout moment et sans justification.
• Directives post-mortem : vous pouvez définir des directives relatives au sort de vos données après votre décès.

Pour exercer ces droits, écrivez à contact@kinexion.fr en précisant « RGPD » dans l'objet. Nous répondons sous 30 jours conformément à l'article 12 du RGPD.

Kinexion utilise un nombre minimal de cookies, tous strictement nécessaires au fonctionnement du site (authentification, préférence de thème). Aucun cookie de mesure d'audience tiers, de publicité ou de réseaux sociaux n'est déposé sans votre consentement.

Si nous introduisons à l'avenir des outils de mesure d'audience, un bandeau de consentement conforme aux recommandations CNIL sera affiché, et vous pourrez accepter ou refuser sans dégradation de l'accès au service.

Nous mettons en œuvre des mesures techniques et organisationnelles raisonnables pour protéger vos données : chiffrement en transit (HTTPS strict, TLS 1.3), chiffrement au repos sur les bases de données, hachage des mots de passe (algorithme bcrypt), isolation logique des comptes via Row Level Security PostgreSQL, sauvegardes quotidiennes chiffrées avec rotation 30 jours, accès aux outils d'administration restreint et journalisé.

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la Commission nationale de l'informatique et des libertés (CNIL) :

Adresse

3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07

Site

cnil.fr