Cette politique explique, en langage clair, quelles données mnemoptic collecte lorsque vous utilisez notre site web ou notre application ; pourquoi nous les collectons ; comment nous les stockons ; et quels droits vous détenez sur celles-ci. Elle est rédigée pour s'aligner sur les principes du Règlement général sur la protection des données de l'UE (RGPD), de la Loi saoudienne sur la protection des données personnelles (PDPL) et du California Consumer Privacy Act (CCPA), même là où mnemoptic n'est pas strictement soumis aux trois.
Table des matières
1. Qui nous sommes
mnemoptic est un logiciel SaaS pour magasins d'optique, vendu aux opticiens indépendants, aux cabinets multi-magasins et aux chaînes. Le produit, le site web et cette politique sont détenus et exploités par l'équipe mnemoptic. Le responsable du traitement au sens du RGPD est mnemoptic, joignable à support@mnemoptic.com. Si vous êtes un résident de l'UE et souhaitez joindre un point de contact désigné pour les questions de protection des données, cette même adresse est surveillée par le membre de l'équipe chargé de la conformité, qui répondra sous 30 jours.
« Vous », dans cette politique, désigne l'opticien, le propriétaire du magasin d'optique ou le membre du personnel qui interagit avec mnemoptic. « Patient » ou « client » désigne la personne dont vous, en tant que notre client, conservez les informations dans l'application.
2. Quelles données nous collectons
(a) Données de compte
Lorsque vous créez un compte mnemoptic ou achetez un forfait, nous collectons : votre adresse e-mail, un mot de passe haché (nous ne voyons ni ne stockons jamais le texte en clair), le nom de votre magasin, votre pays et le nom de contact que vous nous communiquez. C'est le minimum nécessaire pour vous donner accès à votre forfait, vous connecter et vous facturer. Si vous nous contactez via un formulaire ou par e-mail, nous conservons le message et toute réponse aux côtés de votre fiche de compte.
(b) Données opérationnelles — les enregistrements que vous créez dans l'application
Ce sont les données que vous saisissez dans mnemoptic pour gérer votre magasin : noms et coordonnées des patients, ordonnances, ventes, stock de montures et de verres, fournisseurs, etc. Ces données vous appartiennent. mnemoptic les stocke pour votre compte — nous sommes sous-traitant, vous êtes le responsable du traitement. Nous ne les consultons pas, ne les exploitons pas et ne les utilisons à aucune autre fin que de vous les restituer, sauf lorsque la loi nous y oblige ou lorsque vous nous en donnez l'autorisation écrite explicite (par exemple, pour déboguer un problème précis que vous avez signalé).
(c) Analytique
Nous collectons des données d'utilisation anonymes et agrégées via une configuration analytique respectueuse de la vie privée, de type Plausible (pas de cookies inter-sites, pas d'identifiants d'utilisateur, pas de profils comportementaux), afin de savoir quelles pages de notre site marketing fonctionnent et lesquelles ne fonctionnent pas. Nous n'exécutons aucune analytique à l'intérieur de l'application elle-même.
(d) Données de paiement
Lorsque vous achetez ou renouvelez un forfait, le paiement est traité par Stripe. Vous saisissez vos coordonnées de carte directement dans la page de paiement sécurisée et conforme à la norme PCI-DSS de Stripe — mnemoptic ne reçoit, ne voit ni ne stocke jamais votre numéro de carte complet, votre code de sécurité ou votre date d'expiration. Stripe ne nous renvoie que des métadonnées de facturation non sensibles (les quatre derniers chiffres et la marque de la carte, votre e-mail et pays de facturation, le montant et le statut de l'abonnement) afin que nous puissions émettre des reçus et gérer votre abonnement. Stripe traite vos données de paiement en tant que responsable du traitement indépendant, en vertu de sa propre Politique de confidentialité.
3. Pourquoi nous les collectons
Les données de compte sont traitées sur la base de l'exécution du contrat : sans elles, nous ne pouvons pas fournir le service que vous avez payé. Les données opérationnelles sont traitées sur la base de l'exécution du contrat avec le responsable du traitement (vous), dans le cadre d'un accord de traitement des données qui fait partie de nos Conditions. Les données analytiques sont traitées sur la base de l'intérêt légitime à améliorer notre marketing et notre produit, et ne sont collectées que sous forme agrégée et anonyme. Nous ne traitons pas vos données à des fins de publicité, de profilage, de prise de décision automatisée, ni à aucune fin sans rapport avec l'exploitation de mnemoptic.
4. Comment nous les stockons
Toutes les données sont stockées sur Google Firebase (Firestore pour les données structurées, Firebase Storage pour les fichiers téléversés tels que les logos et les photos de montures). Elles sont chiffrées au repos avec AES-256 et en transit avec TLS 1.2 ou supérieur. Une isolation logique par magasin est appliquée au niveau des règles de la base de données : des règles côté serveur empêchent tout compte de lire ou d'écrire les données d'un autre compte, même via un accès API direct. La région Firebase par défaut est us-central1. Les clients de l'offre Entreprise / Chaîne peuvent demander une région de l'UE (europe-west3 Francfort ou europe-west1 Belgique) au moment de la création du compte — écrivez au support pour l'organiser avant de configurer votre magasin, car la région ne peut pas être modifiée une fois que des données existent.
5. Avec qui nous les partageons
Nous partageons vos données avec deux catégories de tiers, et uniquement ces deux-là :
- Google Firebase — notre fournisseur d'hébergement et de base de données, agissant comme sous-traitant ultérieur dans le cadre de l'Avenant de traitement des données de Google Cloud. Les données transitent par Firebase pour être stockées et vous être restituées. Google ne voit pas vos données en clair au-delà de ce qui est techniquement nécessaire pour servir la base de données.
- Stripe (Stripe, Inc. et ses sociétés affiliées) — notre prestataire de paiement, utilisé uniquement lorsque vous achetez ou renouvelez un forfait. Vous saisissez vos coordonnées de carte directement dans la page de paiement de Stripe, de sorte que Stripe reçoit votre nom, votre e-mail de facturation, votre pays de facturation et les données de votre carte, tandis que mnemoptic ne reçoit jamais votre numéro de carte complet. Stripe est certifié PCI-DSS Niveau 1 (le niveau le plus élevé) et agit en tant que responsable du traitement indépendant pour ces données de paiement, en vertu de sa propre Politique de confidentialité et de l'Accord de traitement des données de Stripe.
Nous ne vendons, ne louons ni ne partageons vos données avec aucune autre partie. Nous n'avons ni partenaires publicitaires, ni courtiers en données, ni affiliés marketing. Si une demande judiciaire valable (citation à comparaître, décision de justice) portant sur vos données nous était un jour signifiée, nous vous en informerions avant de nous y conformer, sauf interdiction légale de le faire.
6. Vos droits
Que le RGPD s'applique strictement ou non à votre juridiction, nous étendons ses droits à tous nos clients à titre de politique :
- Droit d'accès. Vous pouvez demander une copie de toutes les données que nous détenons sur vous et sur votre magasin, au format JSON.
- Droit de rectification. Vous pouvez corriger toute donnée erronée que nous détenons à votre sujet.
- Droit à l'effacement. Vous pouvez nous demander de supprimer votre compte et toutes les données associées. Nous le ferons sous 30 jours, sauf si la loi nous oblige à conserver certains enregistrements plus longtemps.
- Droit à la portabilité des données. Vos données opérationnelles peuvent être exportées au format JSON ou Excel à tout moment, depuis l'application, sans perte de fidélité.
- Droit d'opposition au traitement fondé sur l'intérêt légitime (c'est-à-dire l'analytique).
- Droit d'introduire une réclamation auprès de votre autorité locale de protection des données.
Pour exercer l'un de ces droits, écrivez à support@mnemoptic.com. Nous nous efforçons de répondre sous 5 jours ouvrés et de donner suite aux demandes sous 30 jours.
7. Conservation
Les données de compte sont conservées tant que votre abonnement est actif, plus 30 jours après (afin que vous puissiez récupérer un compte annulé par erreur). Les données de compte des clients en formule à vie sont conservées indéfiniment tant que la formule est utilisée. Les données opérationnelles — les dossiers patients et cliniques que vous stockez dans l'application — sont conservées conformément aux obligations de conservation applicables aux opticiens dans votre juridiction (généralement de 5 à 30 ans pour les dossiers cliniques). Vous demeurez responsable, en tant que responsable du traitement, de cette conservation. À la clôture du compte, nous offrons une fenêtre d'exportation des données de 30 jours avant la suppression. Après la suppression, des sauvegardes anonymes peuvent subsister dans notre système de sauvegarde jusqu'à 90 jours avant d'être définitivement détruites.
8. Cookies et stockage local
mnemoptic n'utilise que des cookies essentiels. Plus précisément, un cookie de session d'authentification vous maintient connecté d'un chargement de page à l'autre. Nous utilisons le localStorage du navigateur pour mémoriser vos préférences (pays choisi, mode sombre/clair, dernière langue utilisée) — celles-ci sont stockées uniquement sur votre appareil et ne sont jamais envoyées à nos serveurs. Nous n'utilisons aucun pixel de suivi, cookie publicitaire, balise de réseaux sociaux ni balise tierce. Comme nous n'utilisons que des cookies essentiels et une préférence en stockage local, nous affichons une bannière de cookies à titre informatif — et non un mur de consentement — lors de la première visite. Vous pouvez consulter et effacer ce stockage à tout moment depuis les paramètres de votre navigateur.
9. Mineurs
mnemoptic est un produit B2B vendu aux exploitants de magasins d'optique. Nous ne collectons pas sciemment de données auprès de toute personne de moins de 16 ans, et le service ne s'adresse pas aux enfants. Si les dossiers patients de votre magasin incluent des mineurs (ce qui est courant en optométrie), ils sont régis par vos propres pratiques de confidentialité envers vos patients, et non par les nôtres envers vous. Nous ne les traitons que pour votre compte.
10. Transferts internationaux
Notre région Firebase par défaut se trouve aux États-Unis (us-central1). Pour les clients de l'UE, cela signifie que les données traversent l'Atlantique. De tels transferts sont couverts par le cadre de protection des données UE–États-Unis (EU–US Data Privacy Framework) et par les Clauses contractuelles types incluses dans l'Avenant de traitement des données de Google Cloud que nous avons mis en place. Les clients qui exigent un hébergement uniquement dans l'UE peuvent le demander dans le cadre de l'offre Entreprise / Chaîne, au moment de la création du compte. Clients du CCG, du Levant et d'Afrique du Nord : les données se trouvent actuellement aux États-Unis. Si un hébergement à résidence locale devient une exigence réglementaire pour votre magasin (NDMO en Arabie saoudite, PDPL aux Émirats arabes unis), contactez-nous — nous suivons ces réglementations et pouvons organiser un accord d'hébergement régional dans le cadre de l'offre Chaîne.
11. Modifications de cette politique
Nous mettrons à jour cette politique lorsque nous ajouterons des fonctionnalités, changerons de prestataires ou constaterons que nous avons mal expliqué quelque chose. Les modifications substantielles (un nouveau prestataire, une nouvelle catégorie de données, un changement de durée de conservation) seront communiquées par e-mail à tous les titulaires de compte au moins 30 jours avant leur entrée en vigueur. La date de « dernière mise à jour » en haut de cette page fait foi ; les versions antérieures sont conservées sur demande.
12. Contact
Pour toute question, demande ou réclamation relative à la confidentialité, écrivez à support@mnemoptic.com. Si vous préférez le courrier postal, demandez-le-nous par e-mail et nous vous fournirons une adresse postale. Si vous n'êtes pas satisfait de notre réponse, vous avez le droit d'introduire une réclamation auprès de votre autorité nationale de protection des données (la CNIL en France, l'ICO au Royaume-Uni, la SDAIA en Arabie saoudite, le procureur général de votre État aux États-Unis, etc.).