Politique de confidentialité

Cette politique de confidentialité décrit la manière dont Hypno-App collecte, utilise et protège les données à caractère personnel des utilisateurs du site et de l'application.

1. Responsable de traitement

Le responsable du traitement des données personnelles relatives au site vitrine et au compte praticien est Pierre-Yves Boulbin, micro-entrepreneur, 80 rue Jules Verne, 29850 Gouesnou (France), SIRET 804 892 321 00022, code APE 62.01Z. Pour les données patient saisies par un praticien dans son espace, le praticien agit en qualité de responsable de traitement et Hypno-App agit en qualité de sous-traitant au sens de l'article 28 du RGPD (voir CGU, annexe DPA).

Point de contact RGPD : contact@hypno-app.fr. Aucun délégué à la protection des données (DPO) n'a été désigné, l'activité ne relevant pas des cas d'obligation de désignation prévus à l'article 37 du RGPD.

2. Données collectées

Nous collectons :

• Données de compte praticien (nom, e-mail, téléphone, cabinet, spécialités, biographie)
• Données de compte patient (nom, e-mail, coordonnées, dossier de séances)
• Notes de séance saisies par le praticien (motif, observations, suivi) — qualifiées de données de santé au sens du RGPD art. 4(15) et considérant 35
• Données de facturation (factures émises, paiements, écritures comptables)
• Données techniques (logs d'accès, adresse IP, agent utilisateur)
• Données de fiches praticien issues du registre SIRENE (voir section 4)

3. Finalités et bases légales

• Exécution du service (RGPD art. 6.1.b) : gestion des comptes, prise de rendez-vous, séances, facturation, messagerie.
• Obligations légales (RGPD art. 6.1.c) : conservation des factures et écritures comptables, traçabilité des consentements.
• Intérêt légitime (RGPD art. 6.1.f) : amélioration du service, sécurité, lutte contre la fraude, et publication d'un annuaire professionnel à partir de données publiques (voir section 4).
• Consentement (RGPD art. 6.1.a) : envois marketing facultatifs, dépôt de cookies non essentiels.
• Consentement explicite aux données de santé (RGPD art. 9.2.a) : le patient consent expressément, lors de la création de son compte, à ce que ses données de santé soient traitées par son hypnothérapeute via la plateforme. Ce consentement peut être retiré à tout moment via le compte ou en écrivant à contact@hypno-app.fr.

4. Annuaire public et provenance des fiches

Notre annuaire public référence les hypnothérapeutes en activité en France. Les fiches sont alimentées par deux voies :

• Inscription directe : un praticien crée un compte sur Hypno-App et publie sa fiche.
• Import depuis le registre SIRENE : nous importons les données publiques des établissements déclarés en France ayant pour activité l'hypnothérapie (codes APE 86.90F notamment), via l'API publique recherche-entreprises.api.gouv.fr opérée par data.gouv.fr.

Les fiches issues du registre SIRENE qui n'ont pas été revendiquées par leur titulaire sont affichées en mode minimal : nom de l'établissement, ville et département uniquement. Aucune donnée de contact (téléphone, e-mail, adresse précise) n'est rendue publique tant que le praticien n'a pas revendiqué et complété sa fiche.

La base légale invoquée est l'intérêt légitime (RGPD art. 6.1.f) : informer le public sur l'offre de soins en hypnothérapie, à partir de données issues d'un registre public officiel, dans le respect du droit d'opposition.

5. Statut au regard de l'hébergement de données de santé (HDS)

Le service Hypno-App est exclusivement destiné aux hypnothérapeutes praticiens libéraux non titulaires d'un titre de profession de santé au sens du Livre III du Code de la santé publique (médecin, sage-femme, infirmier, etc.). L'hypnothérapie pratiquée par des praticiens non-soignants n'est pas une profession de santé réglementée en France. En conséquence, l'obligation d'hébergement par un Hébergeur de Données de Santé certifié (article L1111-8 du Code de la santé publique) ne s'applique pas au présent service.

Les données traitées restent toutefois des données de santé au sens du RGPD ; les obligations de sécurité renforcée et de consentement explicite (art. 9.2.a) s'appliquent et sont décrites en sections 3 et 9 ci-dessous.

6. Vos droits

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données :

• Droit d'accès, de rectification et d'effacement
• Droit à la limitation et à la portabilité
• Droit d'opposition au traitement
• Droit de retirer votre consentement à tout moment, sans porter atteinte à la licéité des traitements antérieurs
• Droit de définir des directives post-mortem
• Droit d'introduire une réclamation auprès de la CNIL (cnil.fr)

7. Droit d'opposition pour les fiches SIRENE

Si une fiche issue du registre SIRENE vous concerne et que vous souhaitez son retrait de l'annuaire public, vous pouvez utiliser le lien « Demander le retrait de cette fiche » présent en bas de chaque fiche non revendiquée.

Le retrait s'effectue après vérification par code à 6 chiffres envoyé à l'adresse e-mail que vous indiquez. Une fois validée, la fiche est immédiatement retirée de l'annuaire public et n'apparaîtra plus dans aucune liste, page de département ou page de ville.

Vous pouvez également nous contacter directement via la page Contact pour toute demande relative à vos données.

8. Durée de conservation

• Données de compte praticien et patient : pendant la durée du contrat, puis 3 ans après la dernière activité
• Notes de séance et dossiers patient : conservés tant que la relation de soin perdure, puis 5 ans après la dernière séance, sauf demande d'effacement anticipée
• Factures et données comptables : 10 ans (obligation légale)
• Logs techniques : 1 an
• Fiches SIRENE non revendiquées : conservation tant que les données sont publiées au registre SIRENE et qu'aucune opposition n'est exercée
• Demandes de retrait validées : conservées de manière définitive pour empêcher la réimportation automatique de la fiche

9. Sécurité

Les données sont hébergées en France (Union européenne) chez OVHcloud. Les communications sont chiffrées en TLS. Les mots de passe sont stockés sous forme de hachage bcrypt. Les sauvegardes sont chiffrées. L'accès aux notes de séance est strictement limité au praticien titulaire du compte et au patient concerné.

10. Sous-traitants

Pour fournir le service, nous faisons appel aux sous-traitants suivants, tous établis dans l'Union européenne :

• OVHcloud (France) — hébergement applicatif et base de données
• Octopush (France) — envoi de SMS de rappel (uniquement si le praticien active la connexion)
• Calendly (États-Unis, encadré par les Clauses Contractuelles Types) — synchronisation d'agenda (uniquement si le praticien connecte son compte)
• OwnCloud / Nextcloud — synchronisation calendrier CalDAV (sur infrastructure choisie par le praticien)
• Henrri.net (France) — émission de factures (uniquement si le praticien connecte son compte ; un compte direct chez le fournisseur reste nécessaire)
• Cloudflare (États-Unis, encadré par les Clauses Contractuelles Types) — protection anti-bot du formulaire de contact (Turnstile)
• Google LLC (États-Unis, encadré par les Clauses Contractuelles Types) — mesure d'audience via Google Analytics 4 (uniquement après consentement explicite via le bandeau cookies, sur le site vitrine et l'application praticien)

Les services tiers (Octopush, Calendly, Henrri.net) sont fournis directement par leurs éditeurs : Hypno-App ne perçoit aucune commission et ne fait que transmettre les données nécessaires à l'usage choisi par le praticien.

11. Transferts hors Union européenne

Les données sont stockées en France. Certains sous-traitants techniques (Calendly, Cloudflare) peuvent traiter des données aux États-Unis ; ces transferts sont encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne. Aucun transfert systématique de données patient hors UE n'est effectué par Hypno-App.

12. Cookies

Hypno-App utilise deux catégories de cookies :

12.1. Cookies strictement nécessaires

Toujours actifs, ils sont indispensables au fonctionnement du service : authentification, jeton CSRF, préférences linguistiques. Aucun consentement n'est requis (CNIL, délibération 2020-091).

12.2. Cookies de mesure d'audience (optionnels, soumis à consentement)

Google Analytics 4 dépose les cookies _ga et _ga_<container_id> pour mesurer l'audience anonyme du site vitrine et de l'application praticien.

• Finalité : statistiques d'usage agrégées (pages vues, parcours, taux de rebond). Aucune donnée personnelle ni de santé n'est collectée.
• Durée de conservation : 13 mois.
• Sous-traitant : Google LLC (voir section 10).
• Désactivation : à tout moment via le lien « Gérer mes cookies » en pied de page, ou via les paramètres de votre navigateur.

Aucun cookie publicitaire ni de profilage marketing n'est déposé par Hypno-App.

13. Modifications

La présente politique peut être mise à jour. La date de dernière mise à jour est indiquée ci-dessous. Les modifications substantielles vous seront notifiées par e-mail si vous disposez d'un compte.

Dernière mise à jour : 20 mai 2026