Politique de Confidentialité
Dernière mise à jour : 27 novembre 2025
Cette politique explique comment nous collectons, utilisons et protégeons vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD).
Lorsque vous utilisez notre service, vous êtes parfaitement informé que les données personnelles soumises et collectées feront l'objet d'un traitement par nos soins.
1. Identité du responsable du traitement
Nous agissons comme responsable de traitement. Nos informations légales sont les suivantes :
Pharma-toolkit
EURL au capital de 1 000 euros
Siège social : 344 chemin de Lamayrade, 47140 Saint-Sylvestre-sur-Lot, France
SIRET : 992 698 530 00019
RCS : Agen B 992 698 530
Email : contact@pharma-toolkit.fr
2. Données collectées
2.1 Données collectées via le formulaire de contact
Nous collectons et traitons les données suivantes, lorsque vous nous contactez par le formulaire de contact :
| Donnée | Obligatoire | Finalité |
|---|---|---|
| Nom et prénom | ✅ Oui | Identification et personnalisation de la réponse |
| ✅ Oui | Communication et envoi de la réponse | |
| Téléphone | ❌ Non | Contact téléphonique si nécessaire |
| Nom de la pharmacie | ✅ Oui | Contextualisation de la demande |
| Message | ✅ Oui | Compréhension de la demande |
A défaut de fourniture des informations obligatoires, il ne sera pas possible de nous contacter.
2.2 Données collectées automatiquement
Lorsque vous visitez notre site, nous collectons automatiquement (sous réserve d'avoir donné votre consentement, via Google Analytics) :
- 🌐 Type de navigateur et version
- 💻 Système d'exploitation
- 📱 Type d'appareil (mobile, tablette, desktop)
- 🌍 Localisation approximative (pays, région)
- 🕐 Pages visitées et durée de visite
- 🔗 Page d'origine (référent)
- 📅 Date et heure de connexion
Si vous ne nous donnez pas votre consentement via Google Analytics, ces données ne seront pas collectées.
2.3 Données collectées lors de l'utilisation du service
Pour les clients utilisant Pharma Toolkit, nous collectons et traitons les données suivantes :
| Catégorie | Données |
|---|---|
| Compte utilisateur | Nom, prénom, email, mot de passe chiffré |
| Pharmacie | Nom, adresse, SIRET, contact |
| Utilisation | Logs de connexion, actions effectuées, historique |
| Facturation | Informations de paiement (via prestataire sécurisé Stripe) |
3. Finalités et bases légales du traitement
Nous traitons vos données personnelles uniquement dans les cas suivants :
| Finalité | Base légale |
|---|---|
| Répondre aux demandes de contact | Consentement |
| Exécution du contrat (fourniture du service) | Exécution du contrat |
| Facturation et comptabilité | Obligation légale |
| Amélioration du service | Intérêt légitime |
| Support technique | Exécution du contrat |
| Statistiques via Google Analytics | Consentement |
| Prospection commerciale (clients) | Intérêt légitime |
| Prospection commerciale (prospects) | Consentement |
Définitions :
- Consentement : Vous avez donné votre accord explicite
- Exécution du contrat : Nécessaire pour fournir le service
- Obligation légale : Imposé par la loi (comptabilité, fiscalité)
- Intérêt légitime : Intérêt commercial légitime, équilibré avec vos droits
4. Destinataires des données
4.1 Personnel autorisé
Seul notre personnel dûment habilité a accès à vos données, dans la limite stricte de leurs attributions et selon le principe du moindre privilège.
Nos employés sont soumis à des obligations de confidentialité contractuelles.
4.2 Prestataires de services (sous-traitants RGPD)
Nous faisons appel à des prestataires de confiance qui traitent vos données pour notre compte. Ceux-ci agissent comme nos sous-traitants au sens du RGPD.
Tous nos sous-traitants sont soumis à des obligations contractuelles strictes pour garantir la sécurité et la confidentialité de vos données, conformément au RGPD.
| Prestataire | Service | Localisation | Garanties |
|---|---|---|---|
| OVH SAS 2 rue Kellermann 59100 Roubaix |
Hébergement des données et infrastructure | 🇫🇷 France (Roubaix) Serveurs en France |
✅ RGPD ✅ ISO 27001 ✅ HDS (Hébergeur de Données de Santé) |
| Stripe, Inc. | Traitement sécurisé des paiements | 🇺🇸 USA / 🇪🇺 UE (serveurs européens) | ✅ PCI-DSS Level 1 ✅ Data Privacy Framework |
| Formspree, Inc. | Gestion du formulaire de contact | 🇺🇸 USA | ✅ Clauses contractuelles types UE ✅ Chiffrement SSL/TLS |
| Google Analytics (Google LLC) | Analyse d'audience et statistiques | 🇺🇸 USA | ✅ Data Privacy Framework ✅ IP anonymisée ✅ Données agrégées |
Note importante : Les coordonnées bancaires ne transitent jamais par nos serveurs. Elles sont collectées et traitées directement par Stripe (certifié PCI-DSS Level 1), garantissant le plus haut niveau de sécurité des paiements.
Nous pouvons faire évoluer la liste de sous-traitants à tout moment. Dans ce cas, nous vous notifierons, et vous aurez la possibilité d'exercer votre refus, selon le processus prévu pour les modifications substantielles de la politique de confidentialité (article 15).
4.3 Autorités compétentes
Nous pouvons être amenés à transmettre vos données aux autorités compétentes dans les cas suivants uniquement :
- ⚖️ Obligation légale (réquisition judiciaire, assignation)
- 🛡️ Protection de nos droits légitimes
- 🚨 Lutte contre la fraude ou activités illicites
- 👮 Réponse aux demandes des forces de l'ordre conformes à la loi
4.4 Pas de vente de données
🚫 Engagement formel : Nous ne vendons JAMAIS vos données personnelles à des tiers, et nous ne les louons pas non plus.
Vos données sont utilisées exclusivement pour vous fournir notre service et l'améliorer.
Pour clarification toutefois, en cas de cession de notre société, les données seront transférées à l'acheteur, qui nous sera substitué dans l'application de cette Politique de Confidentialité.
5. Transfert de données hors Union Européenne
Certains de nos sous-traitants peuvent être situés hors de l'Union Européenne, notamment aux États-Unis (Google Analytics, Stripe, Formspree).
Garanties mises en place pour assurer un niveau de protection adéquat :
- ✅ Data Privacy Framework (DPF) : Cadre de protection des données transatlantique UE-USA adopté en juillet 2023, pour les entreprises certifiées (Stripe, Google)
- ✅ Clauses Contractuelles Types (CCT) : Clauses approuvées par la Commission Européenne garantissant un niveau de protection équivalent au RGPD. Celles-ci s'appliquent en l'absence de décision d'adéquation ou si notre partenaire n'est pas enregistré au DPF (pour un prestataire américain).
- ✅ Mesures de sécurité supplémentaires : Chiffrement des données en transit et au repos, pseudonymisation, minimisation des données
- ✅ Anonymisation des adresses IP : Pour Google Analytics, les adresses IP sont anonymisées avant traitement
Hébergement principal : Toutes vos données de service (comptes, produits, inventaires) sont hébergées exclusivement en France par OVH, garantissant une protection maximale sous juridiction européenne.
Pour plus d'informations sur les transferts de données vers les États-Unis :
- Data Privacy Framework : www.dataprivacyframework.gov
- Commission Européenne : Transferts internationaux
6. Sécurité des données
La sécurité de vos données est notre priorité absolue. Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données contre tout accès non autorisé, perte, destruction ou altération.
6.1 Mesures techniques
- 🔒 Chiffrement SSL/TLS (HTTPS) : Toutes les communications entre votre navigateur et nos serveurs sont chiffrées
- 🔐 Mots de passe chiffrés : Hachage irréversible avec bcrypt ou Argon2
- 🛡️ Pare-feu et protections anti-intrusion : Filtrage du trafic réseau malveillant
- 💾 Sauvegardes quotidiennes automatiques : Conservation sur 30 jours
- 🔑 Authentification sécurisée : Protection contre les attaques par force brute
- 📊 Logs d'accès : Traçabilité de tous les accès aux données
6.2 Mesures organisationnelles
- 👥 Accès limité aux données : Principe du moindre privilège, seules les personnes autorisées y accèdent
- 📝 Audits de sécurité réguliers : Revue périodique des accès et des pratiques
- 🎓 Formation du personnel : Sensibilisation continue à la protection des données et à la sécurité
- 📋 Procédures en cas de violation de données : Plan de réponse aux incidents et notification dans les 72h à la CNIL si nécessaire
- 🔏 Clauses de confidentialité : Tous nos employés et prestataires sont liés par des obligations contractuelles de confidentialité
- 🗂️ Politique de gestion des données : Procédures strictes de collecte, traitement et suppression
6.3 Hébergement sécurisé
Nos serveurs sont hébergés par OVH dans des datacenters de niveau Tier III+ situés en France, bénéficiant notamment de :
- 🏢 Sécurité physique 24/7 (contrôle d'accès biométrique, vidéosurveillance)
- ⚡ Alimentation électrique redondante
- 🌡️ Climatisation et protection contre les incendies
- 🔐 Certifications : ISO 27001, ISO 27017, ISO 27018, SOC 1 & 2
7. Durée de conservation des données
Nous conservons vos données uniquement pendant la durée nécessaire aux finalités pour lesquelles elles ont été collectées, conformément aux obligations légales.
| Type de données | Durée | Justification |
|---|---|---|
| Demandes de contact (prospects) | 3 ans | Prescription commerciale |
| Données de compte (clients actifs) | Durée du contrat | Exécution du contrat |
| Données après résiliation du contrat | 3 mois | Possibilité de réactivation, récupération des données |
| Factures et documents comptables | 10 ans | Obligation légale fiscale et comptable |
| Logs de connexion et de sécurité | 1 an | Sécurité informatique, prévention de la fraude |
| Données Google Analytics | 26 mois | Configuration par défaut, analyses statistiques |
| Données de support technique | Contrat + 1 an | Suivi et historique du support |
Suppression automatique : Au-delà de ces durées, vos données sont automatiquement et définitivement supprimées ou anonymisées (rendues impossibles à relier à une personne identifiable).
Conservation pour contentieux : En cas de litige, contentieux ou procédure judiciaire, les données pertinentes peuvent être conservées jusqu'à la fin de la procédure et l'expiration des délais de recours.
8. Vos droits RGPD
Conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :
8.1 Droit d'accès (Art. 15 RGPD)
Vous pouvez obtenir :
- La confirmation que vos données sont traitées ou non
- Une copie gratuite de l'ensemble de vos données personnelles
- Des informations sur les traitements effectués (finalités, catégories, destinataires, durées)
8.2 Droit de rectification (Art. 16 RGPD)
Vous pouvez demander la correction de données inexactes ou incomplètes.
Exemple : Modifier votre adresse email, nom de pharmacie, coordonnées.
8.3 Droit à l'effacement - "Droit à l'oubli" (Art. 17 RGPD)
Vous pouvez demander la suppression de vos données dans les cas suivants :
- Les données ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées
- Vous retirez votre consentement (si le traitement était fondé sur le consentement)
- Vous vous opposez au traitement et il n'existe pas de motif légitime impérieux
- Les données ont été collectées ou traitées illégalement
- Les données doivent être effacées pour respecter une obligation légale
Exception : Nous ne pouvons pas supprimer les données que nous sommes légalement tenus de conserver (factures pendant 10 ans, données comptables, etc.)
8.4 Droit à la limitation du traitement (Art. 18 RGPD)
Vous pouvez demander le gel temporaire du traitement de vos données en cas de :
- Contestation de l'exactitude des données (pendant la vérification)
- Traitement illicite, mais vous souhaitez la limitation plutôt que l'effacement
- Vous avez besoin des données pour constater, exercer ou défendre vos droits en justice
- Opposition au traitement (en attendant la vérification du motif légitime)
8.5 Droit d'opposition (Art. 21 RGPD)
Vous pouvez vous opposer à tout moment :
- Au traitement de vos données à des fins de prospection commerciale (désinscription des newsletters)
- À l'utilisation de vos données pour des statistiques (Google Analytics)
- Au traitement fondé sur l'intérêt légitime, pour des raisons tenant à votre situation particulière
8.6 Droit de retirer son consentement (Art. 7 RGPD)
Lorsque le traitement est fondé sur votre consentement (cookies, newsletter, Google Analytics), vous pouvez le retirer à tout moment, aussi facilement qu'il a été donné.
Note : Le retrait du consentement ne remet pas en cause la licéité du traitement effectué avant ce retrait.
9. Comment exercer vos droits ?
9.1 Par email (recommandé)
Envoyez votre demande à : contact@pharma-toolkit.fr
Objet du mail : "Exercice de mes droits RGPD - [Nature du droit]"
9.2 Par courrier recommandé avec accusé de réception
Pharma-toolkit
Service Protection des Données
344 chemin de Lamayrade
47140 Saint-Sylvestre-sur-Lot
France
9.3 Informations à fournir dans votre demande
Pour traiter votre demande rapidement et en toute sécurité, merci de fournir :
- ✅ Vos nom et prénom
- ✅ Votre adresse email (celle utilisée pour votre compte)
- ✅ La nature précise de votre demande (accès, rectification, effacement, etc.)
- ✅ Une copie de votre pièce d'identité (pour vérification de votre identité et prévention de la fraude)
Protection de votre identité : La copie de la pièce d'identité nous permet de nous assurer que la demande émane bien de vous et non d'un tiers malveillant. Vous pouvez masquer la photo et le numéro de la pièce d'identité si vous le souhaitez.
9.4 Délai de réponse
Nous nous engageons à répondre à votre demande dans un délai maximum d'1 mois à compter de la réception de votre demande complète.
Ce délai peut être prolongé de 2 mois supplémentaires en cas de demande complexe ou d'un grand nombre de demandes. Vous serez alors informé de cette prolongation et des motifs du report dans le délai d'1 mois.
Gratuité : L'exercice de vos droits est gratuit. Toutefois, en cas de demandes manifestement infondées ou excessives (notamment en raison de leur caractère répétitif), nous pourrions exiger le paiement de frais raisonnables ou refuser de donner suite à la demande.
10. Réclamation auprès de la CNIL
Si vous estimez, après nous avoir contactés, que vos droits sur vos données ne sont pas respectés ou que notre traitement de vos données n'est pas conforme au RGPD, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :
Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy
TSA 80715
75334 PARIS CEDEX 07
France
Téléphone : 01 53 73 22 22
Site web : www.cnil.fr
Formulaire de plainte en ligne : cnil.fr/fr/plaintes
Conseil : Avant de saisir la CNIL, nous vous encourageons à nous contacter directement. Nous ferons notre possible pour résoudre tout problème ou préoccupation dans les meilleurs délais.
11. Cookies et technologies similaires
L'utilisation des cookies sur notre site web est détaillée dans notre Politique de Gestion des Cookies.
Vous pouvez gérer vos préférences en matière de cookies à tout moment via le bandeau de consentement ou les paramètres de votre navigateur.
12. Professionnels
Nos services sont destinés aux professionnels de la santé (pharmaciens, préparateurs) et ne sont pas conçus pour être utilisés par des particuliers ou des personnes de moins de 18 ans.
Si vous êtes un particulier ou une personne de moins de dix-huit (18) ans, nous nous réservons le droit de fermer votre compte et de supprimer vos données dès découverte de ces éléments.
13. Notification des violations de données
En cas de violation de données personnelles susceptible d'engendrer un risque élevé pour vos droits et libertés, nous nous engageons à :
- 📢 Notifier la CNIL dans les 72 heures suivant la découverte de la violation (si celle-ci est de nature à créer un risque pour vos données personnelles)
- 📧 Vous informer dans les meilleurs délais si la violation présente un risque élevé pour vous
La notification comprendra :
- La nature de la violation de données personnelles
- Les catégories et le nombre approximatif de personnes et d'enregistrements concernés
- Les conséquences probables de la violation
- Les mesures prises ou proposées pour remédier à la violation et limiter ses effets négatifs
- Les coordonnées du point de contact pour obtenir plus d'informations
- Les mesures recommandées pour limiter les conséquences négatives (ex: changement de mot de passe)
14. Acceptation de la politique de confidentialité pour utiliser Pharma-Toolkit
Vous devez prendre connaissance de l'intégralité de cette Politique de Confidentialité et l'accepter sans réserve, si vous souhaitez utiliser Pharma-Toolkit.
Cette acceptation sera exprimée en cochant la case correspondante lors de votre inscription au service, ayant par exemple la mention « Je reconnais avoir lu et accepté la politique de confidentialité ».
Le fait de cocher cette case a la même valeur qu'une signature manuscrite.
15. Modifications de la politique de confidentialité
Nous nous réservons le droit de modifier cette politique de confidentialité à tout moment pour refléter :
- Les évolutions de nos services et pratiques
- Les changements législatifs ou réglementaires (RGPD, ePrivacy, etc.)
- Les recommandations de la CNIL ou d'autres autorités de contrôle
- Les évolutions technologiques
En cas de modification substantielle (changement des finalités, des destinataires, des durées de conservation, etc.), nous vous informerons par :
- ✉️ Email pour les clients (au moins 30 jours avant l'entrée en vigueur)
- 🔔 Notification visible sur notre site web
- 📱 Notification dans votre compte utilisateur
La date de dernière mise à jour est toujours indiquée en haut de cette page.
Votre droit de refus : Si vous n'acceptez pas les modifications, vous pouvez exercer votre droit d'opposition ou demander la suppression de votre compte dans les 30 jours suivant la notification. A défaut d'exercice de ce droit de refus, vous serez considéré comme ayant accepté les modifications.
16. Contact
Pour toute question concernant cette politique de confidentialité, le traitement de vos données personnelles, ou l'exercice de vos droits :
- 📧 Email : contact@pharma-toolkit.fr
- 📬 Courrier : Pharma-toolkit, 344 chemin de Lamayrade, 47140 Saint-Sylvestre-sur-Lot, France
- 🕐 Horaires : Lundi au Vendredi, 9h00 - 18h00 (hors jours fériés)
Délai de réponse : Nous nous engageons à répondre à toutes vos demandes dans un délai maximum d'1 mois.
Votre vie privée est importante pour nous
Cette politique est conforme au RGPD et à la loi Informatique et Libertés.
Dernière mise à jour : 27 novembre 2025