Retour à l'accueil

Accord de Traitement des Données (DPA)

Version 1.2 — En vigueur depuis le 27 mars 2026

1. Objet

Le présent Accord de Traitement des Données (« DPA ») est conclu en application de l'article 28 du Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679). Il définit les conditions dans lesquelles OptiBot, en qualité de sous-traitant, traite les données personnelles pour le compte du responsable de traitement (l'utilisateur professionnel opticien) dans le cadre de la fourniture du service OptiBot.

2. Nature des données traitées

Dans le cadre de l'utilisation du service OptiBot, les catégories de données personnelles suivantes sont susceptibles d'être traitées :

  • Données de santé (article 9 du RGPD) : prescriptions optiques, corrections visuelles, informations médicales figurant sur les ordonnances.
  • Données administratives: numéros de sécurité sociale, références de mutuelles, numéros d'adhérent, informations de tiers payant.
  • Données d'identification des patients : nom, prénom, date de naissance, adresse figurant sur les documents traités.

Ces données sont traitées exclusivement dans le cadre de la reconnaissance optique de caractères (OCR) et du pré-remplissage de formulaires, pour le compte et sur instruction du responsable de traitement.

3. Nos engagements

3.1 Traitement sur instructions documentées

OptiBot s'engage à traiter les données personnelles uniquement sur instructions documentées du responsable de traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, sauf si le droit de l'Union ou le droit de l'État membre auquel OptiBot est soumis l'exige.

3.2 Architecture de minimisation des données — Zéro stockage de santé

OptiBot met en œuvre une architecture de minimisation maximale des données de santé :

  • Mode navigateur (extension) :le traitement OCR s'effectue intégralement dans le navigateur de l'opticien. Aucune donnée ne transite par les serveurs OptiBot.
  • Mode scan assisté (application web) : le document est transmis par connexion chiffrée TLS 1.3 à un microservice OCR auto-hébergé en France sur infrastructure certifiée HDS (Scaleway SAS). Le document est traité en mémoire vive uniquement, sans écriture sur disque, avec purge mémoire explicite immédiate après traitement. Aucun document de santé n'est stocké, archivé ou transmis à un tiers.

Dans les deux cas, aucune donnée de santé identifiable n'est persistée côté serveur.

3.3 Hébergement en France — Certification HDS

L'ensemble de l'infrastructure serveur est hébergée en France auprès d'un hébergeur certifié HDS (Hébergeur de Données de Santé), conformément aux exigences de l'article L.1111-8 du Code de la santé publique. Les détails de l'hébergeur sont disponibles sur demande auprès de notre DPO.

3.4 Mesures de sécurité

OptiBot met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, incluant notamment :

  • Chiffrement des communications en TLS 1.3
  • Chiffrement des données au repos en AES-256
  • Authentification multi-facteurs (MFA) disponible
  • Journalisation des accès et des traitements conservée pendant 12 mois
  • Tests de sécurité réguliers et mises à jour continues

3.5 Confidentialité du personnel

OptiBot s'assure que les personnes autorisées à traiter les données personnelles se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité.

3.6 Aucune utilisation par intelligence artificielle

Les données personnelles traitées dans le cadre du service ne sont jamais utilisées pour entraîner, améliorer ou alimenter des modèles d'intelligence artificielle. Le traitement OCR repose sur des algorithmes de reconnaissance optique déterministes, sans apprentissage automatique sur les données des utilisateurs.

3.7 Pas de transfert hors EEE

OptiBot s'engage à ne pas transférer les données personnelles en dehors de l'Espace Économique Européen (EEE) sans le consentement préalable écrit du responsable de traitement et sans que des garanties appropriées aient été mises en place conformément au chapitre V du RGPD.

4. Sous-traitants ultérieurs

OptiBot peut faire appel à des sous-traitants ultérieurs pour des fonctions techniques spécifiques (hébergement, envoi d'emails transactionnels, traitement des paiements). La liste des sous-traitants ultérieurs est disponible sur demande. En cas de changement de sous-traitant ultérieur, le responsable de traitement sera informé avec un préavis de 30 jours, lui permettant d'émettre des objections. OptiBot impose à ses sous-traitants ultérieurs les mêmes obligations de protection des données que celles prévues au présent DPA.

5. Droits et obligations

5.1 Assistance aux droits des personnes

OptiBot aide le responsable de traitement, par des mesures techniques et organisationnelles appropriées, à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition, limitation).

5.2 Notification de violation de données

En cas de violation de données à caractère personnel, OptiBot notifie le responsable de traitement dans un délai maximum de 48 heures après en avoir pris connaissance. Cette notification contient la nature de la violation, les catégories de données concernées, les conséquences probables et les mesures prises ou proposées pour y remédier.

5.3 Droit d'audit

OptiBot met à disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD et permet la réalisation d'audits, y compris des inspections, par le responsable de traitement ou un auditeur mandaté, sous réserve d'un préavis de 15 jours ouvrés.

6. Obligations du responsable de traitement

Le responsable de traitement (l'utilisateur professionnel) s'engage à :

  • Disposer d'une base légale appropriée pour le traitement des données personnelles de ses clients et patients, conformément aux articles 6 et 9 du RGPD.
  • Informer les personnes concernées (patients) du traitement de leurs données personnelles via OptiBot, conformément aux articles 13 et 14 du RGPD.
  • Appliquer le principe de minimisation des données en ne transmettant que les données strictement nécessaires à la finalité du traitement.
  • Fournir des instructions licites et documentées concernant le traitement des données.

7. Suppression des données

Au terme de la prestation de service, OptiBot procède à la suppression de l'ensemble des données personnelles du responsable de traitement dans un délai de 30 jours, sauf obligation légale de conservation. Une attestation de suppression est fournie sur demande au responsable de traitement.

8. Durée

Le présent DPA est conclu pour la durée de l'abonnement du responsable de traitement au service OptiBot. Il prend fin automatiquement à l'expiration ou à la résiliation de l'abonnement, sous réserve des obligations de suppression et de restitution des données qui perdurent au-delà.

9. Droit applicable et juridiction

Le présent DPA est régi par le droit français. Tout litige relatif à son interprétation ou à son exécution sera soumis à la compétence exclusive des Tribunaux de Paris, sauf disposition légale impérative contraire.

10. Contact

Pour toute question relative au présent DPA ou à la protection des données personnelles, vous pouvez contacter notre équipe à l'adresse suivante : contact@optibot.fr

Pour toute autre demande : contact@optibot.fr