Politique de confidentialité — CLINIK

1. Objet et portée

La présente politique de confidentialité explique de manière claire et simple comment ISOCELE SAS, éditeur de la plateforme CLINIK (web, mobile et applications partenaires), collecte, utilise, protège et conserve vos données personnelles dans le cadre de l'écosystème de santé numérique CLINIK.

Elle s'adresse à tous les utilisateurs de CLINIK : patients et leurs proches, professionnels de santé (médecins, pharmaciens, biologistes, manipulateurs en imagerie, infirmiers, soignants spécialisés), établissements de soins, compagnies d'assurance, organisations partenaires, et apprenants de CLINIK Academy.

Elle est rédigée en application de la Loi ivoirienne n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, du Décret n°2018-361 du 29 mars 2018 portant réglementation de la télémédecine en Côte d'Ivoire, de la Loi n°2024-352 du 6 juin 2024 relative aux Communications Electroniques, et de la Décision n°2025-1345 de l'Autorité de Protection (ARTCI) du 5 novembre 2025 portant autorisation de traitement de données par ISOCELE pour la plateforme CLINIK.

Pour les utilisateurs résidant en Union européenne, elle est cohérente avec les exigences du Règlement Général sur la Protection des Données (RGPD).

2. Responsable du traitement et correspondant à la protection

Responsable du traitement

ISOCELE SAS détermine les finalités et les moyens des traitements opérés via CLINIK :

Société par Actions Simplifiées de droit ivoirien
RCCM : CI-ABJ-03-2022-B16-00129
Capital social : 1 000 000 F CFA
Siège social : Riviera Faya, 27 BP 201 Abidjan 27, Côte d'Ivoire
Email : contact@clinik.africa

Correspondant à la protection des données

Conformément à l'arrêté n°0099/MTND/CAB du 16 août 2024 et à la décision ARTCI n°2025-1345, ISOCELE a désigné un correspondant à la protection des données auprès de qui vous pouvez exercer tous vos droits :

Donatien Menzan, Président d'ISOCELE et médecin (ONMCI n°6620)
Email dédié : dpo@clinik.africa
Réponse sous 48 h ouvrées

3. Données que nous collectons

Nous appliquons un principe simple : collecter le minimum nécessaire à chaque finalité. Les catégories ci-dessous correspondent à celles validées par l'ARTCI dans la décision n°2025-1345 (article 2).

3.1 Pour les patients et leurs proches

Identification : nom, prénom, date et lieu de naissance, sexe, photo de profil (facultative).
Coordonnées : email, numéro de téléphone, adresse postale.
Identifiants nationaux : numéro de téléphone, numéro de pièce d'identité (CNI ou passeport), numéro de sécurité sociale ou de mutuelle quand vous les communiquez.
Localisation : adresse, position GPS (uniquement si vous l'activez explicitement, par exemple pour trouver un soignant à proximité ou pour une intervention SAMU).
Données biométriques : photographies, vidéos (uniquement si vous les déposez vous-même, par exemple pour le suivi d'une plaie).
Données de santé : antécédents médicaux et chirurgicaux, allergies, pathologies en cours, traitements, ordonnances, comptes rendus, résultats d'examens, motifs de consultation, données issues d'objets connectés, historique d'hospitalisations.
Informations économiques et financières : références nécessaires au traitement des paiements via Wave et CinetPay, justificatifs de prise en charge par votre assurance.
Données techniques : adresse IP, type d'appareil, système, navigateur, langue, logs de connexion, horodatages, alertes de sécurité.

3.2 Pour les professionnels de santé

Identification : nom, prénom, date et lieu de naissance, photo professionnelle.
Vie professionnelle : situation, distinctions, cursus, formations continues, spécialités, affiliations hospitalières.
Justificatifs réglementaires : autorisation d'exercer délivrée par l'Ordre concerné (ONMCI, ONP-CI, etc.), diplômes, numéro RPPS ou équivalent.
Identifiants nationaux : numéro de téléphone, CNI ou passeport, numéro de sécurité sociale.
Localisation professionnelle : adresse du cabinet ou de l'établissement, GPS de la structure.
Données biométriques : photographies, vidéos professionnelles (carte de visite numérique).
Données de connexion : identifiants, IP, cookies, logs.

3.3 Pour les structures (cliniques, pharmacies, laboratoires, centres d'imagerie, assurances, organisations)

Données légales (raison sociale, RCCM, NIF, agréments).
Coordonnées et identifiants des représentants légaux et utilisateurs autorisés.
Données de connexion et logs d'audit.

3.4 Pas d'enregistrement par défaut des téléconsultations

Sauf accord exprès et préalable des deux parties (patient et médecin), CLINIK n'enregistre ni l'audio ni la vidéo des téléconsultations. Seules les notes saisies par le médecin et les documents échangés sont conservés dans le dossier médical.

4. À quoi servent ces données

Conformément à l'article 16 de la loi 2013-450, les finalités du traitement sont déterminées, explicites et légitimes. Nous utilisons vos données uniquement pour :

Permettre la prise de rendez-vous (en présentiel, à domicile ou par téléconsultation), y compris pour un proche (parent âgé, enfant) via le flow « rendez-vous pour un tiers ».
Réaliser des téléconsultations sécurisées et de la téléexpertise entre confrères.
Tenir un dossier médical partagé entre les soignants qui vous prennent en charge (médecin traitant, spécialistes, hôpital, pharmacien, laboratoire, centre d'imagerie).
Émettre, signer et transmettre ordonnances, certificats, prescriptions d'examens, et permettre leur vérification par QR code.
Gérer les hospitalisations, évacuations sanitaires, lits, blocs opératoires, gardes médicales et services hospitaliers.
Faciliter la relation avec votre assurance santé (demandes de prise en charge, bons PEC, remboursements, lutte anti-fraude).
Gérer les paiements et le portefeuille santé (Wave, CinetPay, Orange Money, MTN Money, Moov Money).
Envoyer des rappels et notifications (rappels de RDV, rappels de prise médicamenteuse, alertes vaccinales).
Sécuriser votre compte et lutter contre la fraude.
Améliorer la qualité de service et corriger les anomalies techniques.
Respecter nos obligations légales et réglementaires (réquisitions judiciaires, suivi épidémiologique anonymisé).

Nous ne vendons jamais vos données. Nous n'autorisons aucune publicité ciblée à partir de vos informations. Aucune donnée de santé ne sert à entraîner un modèle d'intelligence artificielle (voir section 13).

5. Base légale et consentement

La base légale principale du traitement est votre consentement préalable et explicite, recueilli au moment de la création de votre compte par une case à cocher distincte mentionnant « j'accepte » ou « je refuse », tracée avec horodatage et version du document accepté.

D'autres bases légales peuvent s'appliquer ponctuellement :

L'exécution du contrat de soins (article 14 de la loi 2013-450) pour les opérations indispensables à votre prise en charge.
L'obligation légale pour la conservation des ordonnances et comptes rendus.
L'intérêt vital en cas d'urgence où vous n'êtes pas en mesure de consentir.

Vous pouvez retirer votre consentement à tout moment depuis les paramètres de votre compte ou en écrivant à dpo@clinik.africa. Le retrait n'a pas d'effet rétroactif sur les actes médicaux déjà réalisés.

6. Qui voit vos données

Vos données ne sont communiquées qu'aux destinataires strictement nécessaires :

Soignants impliqués dans votre prise en charge

Chaque soignant n'accède qu'aux dossiers des patients qu'il prend personnellement en charge. Les médecins n'ont aucun accès aux dossiers des patients qui ne leur sont pas affiliés. Un système de journalisation enregistre chaque consultation (table d'audit consultable sur demande).

Structures de soins

Les cliniques, hôpitaux et centres avec lesquels vous prenez rendez-vous accèdent uniquement aux informations nécessaires à votre admission, hospitalisation, examens ou facturation.

Compagnies d'assurance

Si vous êtes affilié à une assurance santé via CLINIK, votre compagnie n'accède qu'aux données nécessaires à l'instruction de vos demandes de prise en charge et aux remboursements (cycle PEC). Aucun détail clinique n'est partagé sans nécessité.

Sous-traitants techniques

Nous travaillons avec des prestataires reconnus, contractuellement tenus à la confidentialité et à la sécurité :

Supabase (base de données PostgreSQL chiffrée, stockage chiffré) — UE, Allemagne.
Vercel (hébergement applicatif et CDN) — DPA RGPD signé.
Infobip (emails transactionnels et SMS) — UE, Croatie.
LiveKit (briques de visioconférence pour la téléconsultation, non enregistrées par défaut) — UE.
Wave, CinetPay, Orange Money, MTN Money, Moov Money (encaissement des paiements) — Côte d'Ivoire et UEMOA.
Google Cloud (authentification SSO patient si vous choisissez « Continuer avec Google »).

Maintenance technique

Conformément à la décision ARTCI n°2025-1345, l'équipe technique d'ISOCELE n'accède au dossier médical des patients qu'à des fins de maintenance technique strictement nécessaires, et chaque accès est journalisé.

Autorités compétentes

Vos données peuvent être communiquées aux autorités judiciaires, sanitaires ou de régulation lorsque la loi l'exige, dans le cadre de l'exercice de leur mission.

7. Hébergement et localisation des données

Vos données sont hébergées sur des infrastructures certifiées ISO 27001, SOC 2 et conformes RGPD :

Base de données et documents médicaux : hébergés en Union européenne (Allemagne, région Frankfurt) sur Supabase.
Briques de téléconsultation : hébergées en Union européenne.
Emails et notifications : routés via Infobip (UE).
Paiements : traités en Côte d'Ivoire et UEMOA par les prestataires locaux.

Conformément à la décision ARTCI n°2025-1345, aucun transfert de données sensibles vers un pays tiers hors Union européenne ne sera effectué sans autorisation préalable de l'Autorité de Protection. Les transferts techniques résiduels (routage CDN, SMS de sécurité) sont limités à des données minimisées, chiffrées et dépourvues de contenu médical.

Une migration vers une infrastructure souveraine en Côte d'Ivoire ou en Afrique de l'Ouest est planifiée à mesure que la plateforme grandit, en concertation avec l'ARTCI et les acteurs locaux.

8. Sécurité et chiffrement

ISOCELE applique une approche Privacy by Design à chaque étape du cycle de vie des logiciels et services. Les mesures techniques et organisationnelles en place incluent :

Chiffrement au repos : AES-256 avec gestion de clés (KMS) pour la base de données et le stockage.
Chiffrement en transit : TLS 1.2 / 1.3 systématique. Renouvellement automatique des certificats SSL avant expiration.
Chiffrement spécifique des dossiers médicaux : la clé de déchiffrement est exclusivement détenue par le patient, les hôpitaux, les cliniques et les professionnels de santé autorisés appartenant à un établissement sanitaire reconnu, conformément à l'article 3 du décret 2018-361.
Authentification : mots de passe alphanumériques d'au moins 10 caractères, renouvelables tous les 3 mois pour les comptes professionnels ; OTP par email ou SMS pour les opérations sensibles ; SSO Google pour les patients qui le souhaitent.
Gestion des sessions : tokens JWT à durée contrôlée, déconnexion automatique après inactivité, révocation immédiate possible.
Hachage : SHA-512 salé pour les secrets, bcrypt pour les mots de passe.
Journalisation : logs d'accès et d'événements critiques horodatés.
Détection d'intrusion et supervision continue avec alertes automatiques.
Revue régulière des droits d'accès notamment lors des changements de poste, départs ou ajouts de personnel.
Mises à jour systématiques des dépendances logicielles, antivirus et serveurs.
Mesures physiques : datacenters partenaires sous contrôle d'accès strict et vidéosurveillance autorisée.
Gestion d'incident : plan d'isolement, analyse forensique, notification du correspondant à la protection sous 24 h, information des autorités et des personnes concernées selon les exigences légales.

Nous appliquons en permanence le principe du moindre privilège : chaque membre de l'équipe et chaque service externe reçoit le strict minimum de droits nécessaires à sa mission.

9. Combien de temps nous gardons vos données

Conformément à la décision ARTCI n°2025-1345, nous conservons chaque catégorie de données pendant la durée nécessaire à l'objectif pour lequel elles ont été collectées, puis nous les anonymisons, archivons ou supprimons de manière sécurisée.

Catégorie	Durée
Données de santé (ordonnances, comptes rendus, examens, historique)	5 ans
Identité et coordonnées (nom, email, téléphone)	3 ans
Identifiants nationaux (CNI, sécurité sociale)	3 ans
Données de connexion (IP, logs, empreintes)	3 ans
Localisation (uniquement si activée)	3 ans
Vie professionnelle des soignants	3 ans
Justificatifs de paiement	10 ans (obligation comptable OHADA)
Données des comptes professionnels après rupture	Anonymisation, archivage ou suppression sécurisée

Cas particulier — contentieux : en cas de litige, les données concernées sont conservées jusqu'au règlement définitif, puis purgées selon les durées habituelles.

Cas particulier — obligations légales : si une loi ou un règlement ivoirien impose une conservation plus longue (directives du Ministère de la Santé), c'est cette durée qui s'applique.

10. Vos droits

En application des articles 9 et 29 à 34 de la loi 2013-450, vous disposez à tout moment des droits suivants :

Droit d'accès : obtenir une copie des données vous concernant.
Droit de rectification : corriger des données inexactes.
Droit à l'effacement : demander la suppression de vos données lorsque la conservation n'est plus justifiée.
Droit d'opposition : refuser certains traitements pour des motifs légitimes.
Droit à la limitation : suspendre temporairement un traitement.
Droit à la portabilité : récupérer vos données dans un format structuré (export JSON ou PDF).
Droit de retirer votre consentement à tout moment.
Droit de définir des directives post-mortem sur le sort de vos données.

Comment exercer ces droits ?

Depuis votre espace personnel CLINIK : Paramètres → Mes données.
Par email à dpo@clinik.africa.
Par courrier postal à l'adresse d'ISOCELE indiquée à la section 2.

Nous répondons sous 48 heures ouvrées dans la majorité des cas, et dans tous les cas dans les délais légaux applicables.

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de l'Autorité de Protection (ARTCI) : www.artci.ci · Marcory Anoumabo, 18 BP 2203 Abidjan 18 · Tél. +225 27 20 34 43 73.

11. Mineurs et personnes vulnérables

L'utilisation de CLINIK par un mineur exige l'autorisation préalable d'un titulaire de l'autorité parentale, qui assume la responsabilité du compte et reçoit les communications.

Aucun acte médical n'est réalisé sans le consentement éclairé du représentant légal. Pour les mineurs émancipés, les règles applicables sont celles du droit ivoirien.

Le flow « rendez-vous pour un proche » permet à un membre de la famille (par exemple un Ivoirien de la diaspora) de prendre rendez-vous pour un parent âgé ou un enfant. Les données du tiers sont alors collectées avec le consentement de la personne qui ouvre le compte et, dans la mesure du possible, du tiers lui-même.

12. Cookies et traceurs

CLINIK utilise uniquement des cookies strictement nécessaires au fonctionnement, à la sécurité et à la mesure technique : authentification, préférences linguistiques, jetons CSRF, mémorisation de votre consentement.

Aucun cookie publicitaire n'est déposé. Aucun outil tiers (Google Analytics, Facebook Pixel, etc.) n'est intégré sans votre consentement explicite.

Conformément à la décision ARTCI, vous pouvez à tout moment accepter ou refuser librement la collecte et le transfert de vos données depuis la bannière cookies en bas de page ou depuis les paramètres de votre compte. Le détail figure dans la politique cookies dédiée.

13. Intelligence artificielle (CLINIK Academy)

CLINIK Academy propose un assistant IA médical destiné aux médecins, internes et étudiants en médecine francophones. Cet assistant répond à des questions médicales académiques en s'appuyant sur des sources référencées (PubMed, Europe PMC, recommandations HAS, ANSM, OMS, données africaines).

Aucune donnée personnelle de patient ne transite par cet assistant. Seules les questions académiques posées par les utilisateurs Academy y sont traitées, sous forme anonymisée, par l'API Anthropic Claude (États-Unis), avec un DPA RGPD-équivalent signé.

Les conversations Academy sont conservées dans votre compte pour vous permettre de les retrouver, et ne sont jamais réutilisées pour entraîner un modèle. Vous pouvez les supprimer à tout moment.

14. Modifications de cette politique

Nous pouvons mettre à jour cette politique pour des raisons légales, réglementaires, techniques ou organisationnelles. Chaque version est numérotée et datée. Les changements importants vous sont notifiés par email et, si nécessaire, soumis à un nouveau consentement avant la prochaine connexion.

L'historique des versions est conservé et consultable sur demande auprès du correspondant à la protection.

15. Nous contacter

Pour toute question, demande d'accès, plainte ou suggestion concernant la protection de vos données :

Correspondant à la protection : dpo@clinik.africa
Support général : support@clinik.africa
Adresse postale : ISOCELE SAS, Riviera Faya, 27 BP 201 Abidjan 27, Côte d'Ivoire
Téléphone : +225 07 69 22 44 99

Cadre juridique : Loi n°2013-450 du 19 juin 2013 · Décret n°2015-79 du 4 février 2015 · Décret n°2018-361 du 29 mars 2018 · Loi n°2024-352 du 6 juin 2024 · Arrêté n°0099/MTND/CAB du 16 août 2024 · Décision ARTCI n°2025-1345 du 5 novembre 2025.

Documents complémentaires : Conditions Générales d'Utilisation · Politique cookies · Mentions légales