← Opticlic

Politique de confidentialité

Dernière mise à jour : 25 mai 2026

1. Responsable de traitement

Pour les données des utilisateurs (opticiens) du service Opticlic, le responsable de traitement est [Nom de l'éditeur — à compléter], situé à [adresse — à compléter], joignable à rgpd@opticlic.be.

Pour les données patients traitées via Opticlic, le responsable de traitement est l'opticien agréé qui utilise le service. Opticlic agit en qualité de sous-traitantau sens de l'article 28 du RGPD. Voir notre DPA.

2. Données collectées

2.1 Données des utilisateurs (opticiens)

  • Identité : nom, prénom, e-mail professionnel
  • Identifiants professionnels : numéro INAMI, numéro BCE, raison sociale
  • Adresse du cabinet
  • Coordonnées bancaires (IBAN/BIC pour le tiers payant) — chiffrées
  • Données de facturation gérées par Stripe (notre prestataire de paiement)
  • Logs de connexion et d'utilisation (durée, IP, navigateur)

2.2 Données patients (sous-traitance pour l'opticien)

  • Identité : nom, prénom, date de naissance, NISS (n° registre national)
  • Adresse postale
  • Organisme assureur (mutuelle)
  • Données de santé : prescription ophtalmologique complète (sphère, cylindre, axe, addition, prisme), équipement prescrit, pathologies dérogatoires éventuelles (aphakie, astigmatisme irrégulier)
  • Données économiques : prix appliqués, réductions, intervention OA, quote-part patient

3. Finalités et bases légales

  • Fourniture du Service(exécution contractuelle, art. 6.1.b RGPD) : permettre à l'opticien de calculer son Annexe 15 et de la générer.
  • Facturation (obligation légale + contrat).
  • Sécurité du Service (intérêt légitime) : logs, anti-fraude.
  • Données patients: traitées au nom et pour le compte de l'opticien (sous-traitance). Base légale au niveau de l'opticien : exécution d'une mission d'intérêt public dans le domaine de la santé (art. 9.2.h RGPD) et obligation légale (transmission à la mutuelle).

4. Hébergement et localisation

Toutes les données sont hébergées au sein de l'Union européenne :

  • Base de données patient : Supabase, région Frankfurt (Allemagne)
  • Application web : Vercel, région Paris (fra1) ou équivalent EU
  • E-mails transactionnels : Resend (région EU)
  • Paiements : Stripe Payments Europe, Ltd. (Dublin, Irlande) — les données de paiement ne transitent jamais par les serveurs d'Opticlic

5. Mesures de sécurité

  • Chiffrement TLS de bout en bout (HTTPS partout)
  • Chiffrement applicatif au repos des champs sensibles (NISS, nom patient)
  • Row Level Security PostgreSQL : un opticien ne voit que ses propres dossiers
  • Audit log des accès et modifications
  • Sauvegardes automatiques chiffrées
  • Authentification par mot de passe haché (bcrypt) ou magic link e-mail

6. Durée de conservation

  • Compte utilisateur: pendant la durée de l'abonnement + 3 ans après résiliation (obligations comptables).
  • Dossiers patients: 5 ans à compter de la délivrance de l'Annexe 15 (durée légale Annexe 15 pour les contrôles INAMI/mutuelles). L'opticien peut demander leur suppression à tout moment.
  • Logs de sécurité : 12 mois.

7. Vos droits

Conformément au RGPD et à la loi belge du 30 juillet 2018, vous disposez des droits suivants :

  • Accès à vos données
  • Rectification
  • Effacement (« droit à l'oubli »)
  • Limitation du traitement
  • Portabilité (export au format JSON ou PDF)
  • Opposition
  • Retrait du consentement à tout moment

Pour exercer ces droits : rgpd@opticlic.be. Vous pouvez également introduire une réclamation auprès de l' Autorité de protection des données (APD) à Bruxelles.

Pour les données patients, vous devez adresser votre demande à l'opticien qui les a saisies (il est responsable de traitement).

8. Sous-traitants techniques

Sous-traitantFinalitéLocalisation
SupabaseHébergement BDD + authFrankfurt (DE)
VercelHébergement applicationEU (fra1)
StripePaiement abonnementsDublin (IE)
ResendE-mails transactionnelsEU

9. Cookies

Opticlic n'utilise aucun cookie de tracking, de publicité ou d'analyse comportementale. Seuls des cookies strictement nécessaires au fonctionnement (session d'authentification, préférence d'affichage) sont posés. Aucune donnée n'est partagée avec des tiers à des fins commerciales.

10. Modifications

Toute modification substantielle sera notifiée par e-mail au moins 30 jours avant son entrée en vigueur.

⚠ Document modèle à faire valider par un juriste / DPO avant mise en production.