Politique de Confidentialité
Dernière mise à jour : 6 mars 2026
La société Grandes Études Européennes de Santé (GEDS), Lda (ci-après « GEDS » ou « nous ») accorde une importance particulière à la protection de vos données personnelles. La présente politique de confidentialité a pour objet de vous informer sur la manière dont nous collectons, utilisons et protégeons vos données, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés).
1. Responsable du traitement
GEDS Lda
Rua Álvaro Castelões Nº821 4º – sala 4.6
4450-043 Matosinhos, PORTUGAL
NIPC : 513581685
Contact : simon@geds.fr
2. Données collectées et finalités
| Donnée collectée | Finalité | Base légale (art. 6 RGPD) | Durée de conservation |
|---|---|---|---|
| Adresse e-mail | Contrôle d'accès aux fonctionnalités avancées (carte interactive, comparaison de communes) | Intérêt légitime (art. 6.1.f) | 3 ans à compter de la dernière activité |
| Adresse e-mail | Communication commerciale (mises à jour du service, nouvelles fonctionnalités) | Consentement (art. 6.1.a) | Jusqu'au retrait du consentement, ou 3 ans d'inactivité |
| Compteur de visites et date de dernière visite | Suivi de l'engagement utilisateur | Intérêt légitime (art. 6.1.f) | 3 ans à compter de la dernière activité |
| Adresse IP (logs serveur) | Sécurité et bon fonctionnement du service | Intérêt légitime (art. 6.1.f) | Selon la politique de rétention de Vercel (30 jours) |
| Données de navigation agrégées | Mesure d'audience et amélioration du service | Intérêt légitime (art. 6.1.f) — exempt de consentement (CNIL 2020-091) | Non identifiantes, agrégées par Vercel |
Important : CartoSanté ne collecte aucune donnée de santé au sens de l'article 9 du RGPD. Les informations affichées sur le site sont des statistiques publiques agrégées provenant de sources institutionnelles (RPPS, DREES, INSEE, SIRENE, AtlaSante). Aucune donnée relative à des patients, diagnostics ou dossiers médicaux n'est collectée ni traitée.
3. Cookies et traceurs
| Cookie / Stockage | Finalité | Durée | Type |
|---|---|---|---|
| cartosante_lead | Authentification de session (lead-gate) | 6 mois | Cookie httpOnly |
| theme / localStorage | Préférence de thème (clair/sombre) | Indéfinie | Cookie / localStorage |
| cartosante_lead_verified | Indicateur client de session active | Indéfinie | localStorage |
Mesure d'audience : Nous utilisons Vercel Web Analytics et Vercel Speed Insights. Ces outils ne déposent aucun cookie, ne procèdent à aucun suivi individuel, ne recourent à aucun fingerprinting et ne permettent aucun suivi inter-sites. Les données collectées sont exclusivement agrégées et anonymes. Conformément aux recommandations de la CNIL (délibération n° 2020-091), ces outils sont exemptés de consentement.
4. Destinataires et sous-traitants
| Sous-traitant | Rôle | Localisation | Mécanisme de transfert |
|---|---|---|---|
| Vercel Inc. | Hébergement du site, mesure d'audience, logs serveur | États-Unis (fonctions serveur en région Paris) | EU-US Data Privacy Framework (DPF) |
| Supabase Inc. | Hébergement de la base de données | Serveurs : eu-west-3 (Paris, France). Siège : Singapour | DPA + Clauses Contractuelles Types (CCT) — données au repos en UE |
| Resend Inc. | Envoi d'e-mails transactionnels (magic links) | États-Unis | EU-US Data Privacy Framework (DPF) + DPA |
Chacun de ces sous-traitants a signé un accord de traitement des données (DPA) conforme à l'article 28 du RGPD.
5. Transferts de données hors Union européenne
Certaines de vos données peuvent être transférées vers les États-Unis dans le cadre de l'utilisation des services de Vercel et Resend. Ces transferts sont encadrés par le EU-US Data Privacy Framework (DPF), reconnu par la Commission européenne comme offrant un niveau de protection adéquat (décision d'adéquation du 10 juillet 2023).
Les données hébergées par Supabase sont stockées dans la région eu-west-3 (Paris, France) et ne quittent pas le territoire de l'Union européenne pour le stockage. Les opérations de maintenance éventuelles sont couvertes par les Clauses Contractuelles Types (CCT) intégrées au DPA de Supabase.
Les fonctions serveur de CartoSanté sont configurées pour s'exécuter en région Paris (cdg1), minimisant les transferts de données hors de l'Union européenne.
6. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès (art. 15) : obtenir la confirmation que vos données sont traitées et en recevoir une copie.
- Droit de rectification (art. 16) : faire corriger des données inexactes ou incomplètes.
- Droit à l'effacement (art. 17) : demander la suppression de vos données, sous réserve des obligations légales de conservation.
- Droit à la limitation du traitement (art. 18) : demander la suspension du traitement de vos données dans certains cas.
- Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine.
- Droit d'opposition (art. 21) : vous opposer au traitement de vos données fondé sur l'intérêt légitime, pour des raisons tenant à votre situation particulière.
- Droit de retrait du consentement : retirer à tout moment votre consentement pour les communications commerciales, sans que cela n'affecte la licéité du traitement effectué avant le retrait.
Pour exercer ces droits, adressez votre demande à : simon@geds.fr
Nous nous engageons à répondre à votre demande dans un délai d'un mois à compter de sa réception, conformément à l'article 12.3 du RGPD.
7. Réclamation auprès de l'autorité de contrôle
Si vous estimez que le traitement de vos données constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
8. Sécurité des données
Nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité de vos données :
- Chiffrement des données en transit (TLS 1.3)
- Cookies d'authentification httpOnly et secure
- Contrôle d'accès par Row Level Security (RLS) sur la base de données
- Aucune donnée sensible stockée côté client
- Hébergement sur des infrastructures certifiées SOC 2 (Vercel, Supabase)
9. Modification de la politique
Nous nous réservons le droit de modifier la présente politique de confidentialité à tout moment. En cas de modification substantielle, nous vous en informerons par le biais d'un avis visible sur le site. La date de dernière mise à jour est indiquée en haut de ce document.