1.  Responsable du traitement

Le responsable du traitement des données personnelles collectées sur ce site est :

Cassandra Vidou – Sophrenys (Entrepreneur individuel)

SIRET : 102 945 987 00018

Adresse : 16 Impasse Saint Arnaud 47000 Agen

Email : contact.sophrenys@gmail.com

Téléphone : 06.63.65.47.68

Pays : France

Aucun délégué à la protection des données (DPO) n'a été désigné, cette désignation n'étant pas obligatoire au regard de la nature et du volume de l'activité exercée.

2.  Données collectées

Dans le cadre de l'activité de sophrologie en ligne, les données suivantes peuvent être collectées :

a) Données de prise de contact (site Web)

Nom, prénom, adresse email, numéro de téléphone, objet du message et contenu de votre demande.

b) Données d'identification et de réservation

Collectées via l'outil Zeeg, par email ou par téléphone : nom, prénom, adresse postale, email et téléphone. Ces données permettent également de gérer l'historique des séances et le choix des prestations ou packs.

c) Données de paiement

Les paiements sont traités via Stripe. Sophrenys n'a accès qu'à la confirmation du paiement et aux informations de facturation (nom, adresse). Aucune donnée bancaire (numéro de carte, cryptogramme) n'est conservée par Sophrenys.

En cas de règlement par virement, le Responsable du traitement a accès aux coordonnées bancaires (IBAN/BIC) figurant sur l'avis de virement transmis par sa banque. Ces données sont utilisées exclusivement pour le rapprochement comptable et la preuve du paiement. Elles ne sont en aucun cas réutilisées pour d'autres finalités.

d) Données d'accompagnement et de suivi

Afin de personnaliser votre accompagnement, des informations sensibles peuvent être recueillies :

• Questionnaire d'anamnèse : lors de notre premier échange, nous abordons ensemble votre état général, vos loisirs, vos relations, afin de définir un objectif adapté à vos besoins et de construire un accompagnement sur mesure.

• Notes de suivi : informations partagées oralement au cours des séances concernant votre situation personnelle, professionnelle ou émotionnelle.

 Ces données sont strictement limitées à ce qui est nécessaire à l'accompagnement sophrologique. Elles sont traitées avec la plus grande confidentialité, sur la base de votre consentement explicite (Art. 9.2.a RGPD).

e) Données de connexion et de navigation

• Données techniques liées à l'outil de visioconférence (adresse IP, logs de connexion).

• Cookies : Aucune donnée de navigation n'est utilisée à des fins de profilage publicitaire. Les statistiques de fréquentation consultées sont anonymisées et ne permettent pas d'identifier individuellement un visiteur (voir Article 10)

3.  Finalités et bases légales

Les données personnelles que vous nous confiez sont utilisées uniquement pour les finalités décrites ci-dessous, sur la base légale correspondante :

4.  Données sensibles et consentement

Le traitement des données relatives à votre santé et votre bien-être (anamnèse, notes de suivi) repose sur votre consentement explicite, recueilli de manière spécifique lors de votre réservation.

4.1 – Collecte et preuve du consentement

Votre consentement est recueilli via une case à cocher obligatoire et non pré-cochée sur le formulaire de réservation (outil Zeeg). La preuve de ce consentement est conservée de manière intègre et horodatée dans la base de données sécurisée de l'outil de réservation, et est associée à votre fiche client.

4.2 – Sécurité et hébergement des données de santé

Conformément à l'article L.1111-8 du Code de la santé publique, les mesures de sécurité suivantes sont appliquées selon le support utilisé :

–     Stockage local (prioritaire) : les notes de séances et comptes rendus sont stockés exclusivement sur un ordinateur professionnel dont le disque dur est intégralement chiffré (VeraCrypt). Les fichiers contenant des données de santé bénéficient d'un chiffrement renforcé (norme AES-256) via un coffre-fort numérique local.

–     Engagement « zéro cloud non certifié » : aucune donnée de santé ne sera stockée sur des solutions de stockage en ligne classiques (Google Drive, iCloud, Notion…) ne bénéficiant pas de la certification HDS (Hébergeur de Données de Santé).

–     Accès strictement limité : l'accès à ces données est protégé par une double authentification (2FA) et est réservé exclusivement à Cassandra Vidou.

4.3 – Confidentialité

Aucun tiers n'a accès à vos données de santé. En cas de besoin de partage avec un autre professionnel de santé — uniquement sur votre demande explicite — un consentement écrit supplémentaire vous sera systématiquement demandé.

5.  Destinataires des données

Conformément à l'article 28 du RGPD, chaque prestataire tiers a été sélectionné pour les garanties suffisantes qu'il présente en matière de protection des données. L'utilisation de ces services est encadrée par des contrats de sous-traitance (Data Processing Addendums) intégrés à leurs conditions générales.

5.1 – Prestataires situés dans l'Espace Économique Européen (EEE)

Sophrenys privilégie des solutions européennes offrant un niveau de protection optimal :

–     Zeeg (Allemagne) : outil de prise de rendez-vous. Les données sont hébergées sur des serveurs situés au sein de l'Union Européenne. Zeeg assure également l'envoi des emails et SMS automatisés de confirmation et de rappel de séance.

–     Whereby (Norvège) : solution de visioconférence. La Norvège fait partie de l'EEE et est directement soumise au RGPD, garantissant un niveau de protection identique à celui applicable en France.

5.2 – Prestataires situés hors Union Européenne

Certains outils tiers sont basés aux États-Unis. Ces transferts sont strictement encadrés :

• Stripe (États-Unis) : prestataire de paiement. Le transfert est sécurisé par l'adhésion de Stripe au Data Privacy Framework (cadre de protection des données UE-USA).

• Google Meet (États-Unis) : outil de visioconférence alternatif. Le transfert de données techniques est encadré par les Clauses Contractuelles Types (CCT) de la Commission Européenne et l'adhésion de Google au Data Privacy Framework.

5.3 – Messagerie sécurisée

Les échanges confidentiels sont traités via ProtonMail (Suisse). La Suisse bénéficie d'une décision d'adéquation de la Commission Européenne, reconnaissant son niveau de protection comme équivalent au RGPD.

6.  Durées de conservation

Vos données ne sont conservées que le temps strictement nécessaire. Les durées appliquées sont les suivantes :

• Données clients et séances : 5 ans à compter de la date de votre dernière séance. Cette durée correspond au délai de prescription de droit commun applicable en matière de responsabilité civile professionnelle.

• Données de facturation et de comptabilité : 10 ans à compter de la clôture de l'exercice comptable concerné (obligation légale — Code de commerce).

• Demandes de contact via le site et rendez-vous non honorés : 1 an à compter du dernier contact ou de la date du rendez-vous manqué. À défaut de suite donnée, vos coordonnées sont supprimées.

À l'issue de ces délais, les données sont soit définitivement supprimées, soit anonymisées à des fins purement statistiques (par exemple, pour estimer le nombre moyen de séances par an, sans pouvoir identifier qui que ce soit).

6.1 – Sort des données en cas de cessation d'activité

En cas de cessation définitive de l'activité (retraite, changement de carrière, etc.) :

• Données de santé : les dossiers et notes de séances seront conservés de manière sécurisée et archivée (hors ligne, chiffrés) jusqu'à l'expiration du délai de prescription de 5 ans, puis définitivement détruits.

• Données comptables : conservées sous format archivé pendant 10 ans, conformément aux obligations fiscales, avant destruction.

• Aucune transmission de votre dossier à un éventuel successeur ne sera effectuée sans votre consentement écrit préalable. À défaut de repreneur, les données restent sous la responsabilité de Cassandra Vidou jusqu'à leur suppression.

7.  Sécurité des données

Conformément à l'article 32 du RGPD, des mesures techniques et organisationnelles adaptées au niveau de risque sont mises en œuvre :

• Sécurisation des flux : connexion HTTPS sur l'ensemble du site et double authentification (2FA) sur tous les outils de gestion.

• Sauvegardes régulières : des sauvegardes chiffrées sont effectuées chaque semaine. Elles sont stockées sur un support physique externe sécurisé, conservé hors ligne, garantissant qu'aucune donnée de santé n'est exposée sur Internet.

• Gestion des incidents : une procédure interne de gestion des incidents a été établie. Elle permet d'évaluer rapidement la gravité de toute anomalie (perte d'accès, suspicion de compromission), d'en limiter l'impact et d'appliquer les mesures correctives nécessaires.

8.  Violation de données

En cas de violation de données, le Responsable du traitement s'engage à notifier la CNIL dans un délai de 72 heures conformément à l'article 33 du RGPD, et à informer les personnes concernées, dans les meilleurs délais, en cas de risque élevé pour leurs droits et libertés (Art. 34 RGPD).

9.  Vos droits

Conformément au RGPD et à la Loi Informatique et Libertés, vous disposez des droits suivants sur vos données : accès, rectification, effacement (« droit à l'oubli »), limitation du traitement, portabilité et opposition. Vous pouvez également définir des directives relatives au sort de vos données après votre décès (Loi n° 2016-1321).

9.1 – Focus sur le droit d'opposition (Art. 21 RGPD)

Vous pouvez vous opposer au traitement de vos données dans les situations suivantes :

• Communications : vous pouvez vous opposer à tout moment, et sans avoir à vous justifier, à la réception d'emails d'information ou de rappels, via le lien de désinscription présent dans chaque message ou par simple email.

• Motifs légitimes : pour les autres traitements (hors obligations légales), vous pouvez vous opposer pour des raisons tenant à votre situation particulière. Le Responsable du traitement cessera alors le traitement, sauf s'il existe des motifs légitimes et impérieux prévalant sur vos intérêts (par exemple, la défense d'un droit en justice).

9.2 – Modalités d'exercice et vérification d'identité

Pour exercer vos droits, adressez votre demande par email à : contact.sophrenys@gmail.com

• Vérification de l'identité : afin de protéger la confidentialité de vos données de santé et d'éviter toute divulgation à un tiers non autorisé, une copie d'un titre d'identité en cours de validité pourra vous être demandée en cas de doute raisonnable sur votre identité.

• Sécurité de la pièce d'identité : si elle est demandée, elle sera supprimée immédiatement après vérification et ne sera en aucun cas conservée.

• Délai de réponse : une réponse vous sera adressée dans un délai maximum d'un mois à compter de la réception de la demande complète.

9.3 – Réclamation

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez déposer une réclamation en ligne auprès de la CNIL : www.cnil.fr

10.  Gestion des cookies

Le site Sophrenys est hébergé sur la plateforme Squarespace. Dans une démarche de respect de votre vie privée, le Responsable du traitement a configuré l'outil pour limiter au maximum l'usage des traceurs.

• Absence de cookies tiers : aucun cookie publicitaire ou d'analyse comportementale (type Google Analytics, Facebook Pixel) n'est utilisé sur ce site.

• Cookies techniques et fonctionnels uniquement : seuls les cookies strictement nécessaires au fonctionnement technique du site (fournis par Squarespace) sont déposés. Ils servent exclusivement à assurer la sécurité, la performance et l'affichage correct du site.

• Statistiques anonymes : les données de fréquentation consultées par le Responsable du traitement sont fournies par Squarespace de manière totalement anonymisée — aucun suivi individuel, aucun dépôt de cookie de traçage.

Conformément aux recommandations de la CNIL, ces traceurs techniques sont exemptés du recueil de consentement, car ils sont indispensables à la fourniture du service.

11.  Nature de l'accompagnement en sophrologie

La sophrologie est une pratique de bien-être. Elle ne constitue pas un acte médical et ne remplace en aucun cas un suivi psychiatrique ou psychologique.

🚨  URGENCE En cas de détresse psychologique aiguë, contactez immédiatement le 15 (SAMU) ou le 3114 (Numéro National Prévention Suicide).

Registre des activités de traitement : Un registre des activités de traitement est tenu conformément à l'article 30 du RGPD.