Dernière mise à jour : 22 février 2026
La présente Politique de Confidentialité décrit la manière dont BCE Solutions (Bruno Silva César, entrepreneur individuel) collecte, utilise, conserve et protège les données à caractère personnel des utilisateurs de l'application Transordo.fr, conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.
Transordo.fr traite des données de santé à caractère personnel, catégorie de données sensibles au sens de l'article 9 du RGPD. À ce titre, des mesures de sécurité renforcées sont mises en œuvre et l'ensemble des données est hébergé exclusivement auprès de prestataires certifiés Hébergeurs de Données de Santé (HDS) situés en France.
| Identité | BCE Solutions — Bruno Silva César |
| Forme juridique | Entrepreneur individuel (EI) |
| Adresse | 31 rue Ingres, 82600 Saint-Sardos, France |
| SIREN | 840 853 303 |
| contact@brunocesar.fr | |
| Téléphone | +33 6 12 22 93 51 |
| Qualité | Responsable de traitement au sens de l'Art. 4 §7 du RGPD |
En tant qu'entrepreneur individuel, Bruno Silva César agit en qualité de responsable de traitement pour l'ensemble des données collectées via Transordo.fr. Aucun Délégué à la Protection des Données (DPO) externe n'est désigné, la désignation d'un DPO n'étant pas obligatoire pour une structure de cette taille. Toute demande relative à la protection des données doit être adressée directement à contact@brunocesar.fr.
Pour exercer vos droits ou pour toute question relative au traitement de vos données, vous pouvez contacter le responsable de traitement par email à contact@brunocesar.fr ou par courrier à l'adresse ci-dessus. Un accusé de réception vous sera adressé dans les meilleurs délais et une réponse sera fournie dans un délai maximum de 30 jours calendaires.
Dans le cadre de la gestion des transmissions d'ordonnances médicales, Transordo.fr collecte et traite les catégories de données suivantes, chacune associée à une finalité déterminée et à une base légale conforme à l'article 6 (données ordinaires) et à l'article 9 (données de santé) du RGPD :
| Catégorie | Données collectées | Finalité | Base légale RGPD |
|---|---|---|---|
| Identification professionnelle | Nom, prénom, email professionnel, téléphone, numéro RPPS/ADELI | Gestion des comptes utilisateurs, authentification, traçabilité | Art. 6.1.b — Exécution contractuelle |
| Identification des patients | Nom, prénom, date de naissance, adresse, téléphone, numéro de sécurité sociale | Identification du patient pour la délivrance pharmaceutique | Art. 9.2.h — Soins de santé, gestion des systèmes et services de soins |
| Données de santé | Ordonnances, prescriptions médicales, informations pharmaceutiques | Transmission sécurisée d'ordonnances entre infirmier et pharmacie | Art. 9.2.h — Médecine préventive, soins de santé |
| Documents médicaux | Cartes mutuelles, cartes vitales, attestations de prise en charge | Prise en charge administrative du patient | Art. 9.2.h — Gestion des systèmes de soins de santé |
| Données de connexion et d'audit | Adresse IP, user-agent, horodatage, actions effectuées | Sécurité du système, traçabilité, journal d'audit réglementaire | Art. 6.1.c — Obligation légale (HDS, Art. L. 1111-8 CSP) |
Conformément à l'article 32 du RGPD et aux exigences de la certification HDS (Hébergeur de Données de Santé), les mesures techniques et organisationnelles suivantes sont mises en œuvre pour garantir la confidentialité, l'intégrité et la disponibilité des données :
| Mesure | Description technique | Niveau |
|---|---|---|
| Chiffrement des données au repos | AES-256-CBC avec vecteur d'initialisation (IV) aléatoire par opération pour toutes les données patients | Très élevé |
| Chiffrement des communications | TLS 1.2+ sur toutes les communications (HTTPS obligatoire), connexion base de données SSL (sslmode=require) | Très élevé |
| Hachage des mots de passe | Algorithme Bcrypt avec cost factor 12 — irréversible | Très élevé |
| Double authentification (MFA) | TOTP (Time-based One-Time Password) conforme RFC 6238, codes de secours à usage unique | Élevé |
| Sessions sécurisées | Cookies HttpOnly, Secure, SameSite=Strict, régénération périodique de l'identifiant de session | Élevé |
| Protection CSRF | Tokens anti-CSRF sur tous les formulaires, validation côté serveur | Élevé |
| Intégrité des fichiers | Checksum SHA-256 calculé et vérifié à chaque téléchargement | Élevé |
| Stockage des fichiers | Scaleway Object Storage (certifié HDS), noms de fichiers aléatoires, chemins chiffrés | Très élevé |
| Base de données | PostgreSQL hébergé par Scalingo (certifié HDS), connexion SSL, requêtes préparées (anti-injection SQL) | Très élevé |
| Journal d'audit | Toutes les actions utilisateur sont tracées avec horodatage, identifiant et adresse IP | Élevé |
| Contrôle d'accès (RBAC) | 3 rôles distincts avec isolation des données par structure et pharmacie, principe du moindre privilège | Élevé |
| Protection brute force | Verrouillage automatique du compte après 5 tentatives d'authentification échouées | Élevé |
| En-têtes de sécurité HTTP | HSTS, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy | Élevé |
L'application et l'ensemble des données de santé sont hébergés exclusivement en France par des prestataires certifiés Hébergeurs de Données de Santé (HDS), conformément à l'article L. 1111-8 du Code de la santé publique et au décret n° 2018-137 du 26 février 2018. Aucune donnée n'est transférée hors de l'Union Européenne.
| Prestataire | Rôle | Localisation | Certifications |
|---|---|---|---|
| Scalingo SAS | Hébergement de l'application et de la base de données PostgreSQL | France (Strasbourg — région osc-fr1) | HDS, ISO 27001, SOC 2 |
| Scaleway SAS (Groupe Iliad) | Stockage des documents médicaux (Object Storage S3) | France (Paris — région fr-par) | HDS (infrastructure physique), ISO 27001 |
Les données sont conservées pour la durée strictement nécessaire aux finalités pour lesquelles elles ont été collectées, conformément au principe de limitation de la conservation prévu à l'article 5.1.e du RGPD et aux obligations réglementaires applicables au secteur de la santé :
| Type de donnée | Durée de conservation | Justification légale |
|---|---|---|
| Transmissions d'ordonnances terminées | Configurable par l'administrateur (30 jours par défaut), puis archivage sécurisé ou suppression définitive | Paramétrable selon la politique interne de la structure |
| Données d'identification des patients | Durée de la relation professionnelle + 5 ans après le dernier acte | Obligation réglementaire pharmaceutique — Art. R. 4235-61 du Code de la santé publique |
| Journaux d'audit et de traçabilité | 3 ans à compter de l'enregistrement | Obligation de traçabilité HDS — Décret n° 2018-137 |
| Comptes utilisateurs actifs | Durée de l'activité professionnelle de l'utilisateur | Nécessité du traitement pour l'exécution du service |
| Comptes utilisateurs désactivés | 1 an après la désactivation, puis suppression définitive | Gestion des accès et obligations de traçabilité |
| Tokens de réinitialisation de mot de passe | 1 heure à compter de la génération | Sécurité — invalidation automatique après expiration |
| Données de connexion (logs) | 12 mois | Art. 6 du décret n° 2011-219 du 25 février 2011 (conservation des données de connexion) |
Conformément au RGPD, tout utilisateur de Transordo.fr dispose des droits suivants sur ses données personnelles. Ces droits peuvent être exercés à tout moment, sous réserve des obligations légales de conservation applicables :
| Article RGPD | Droit | Ce que vous pouvez demander |
|---|---|---|
| Art. 15 | Droit d'accès | Obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie. |
| Art. 16 | Droit de rectification | Corriger vos données inexactes ou incomplètes. |
| Art. 17 | Droit à l'effacement | Demander la suppression de vos données, sous réserve des obligations légales de conservation (données de santé, journaux d'audit). |
| Art. 18 | Droit à la limitation | Restreindre temporairement le traitement de vos données dans les cas prévus par le RGPD. |
| Art. 20 | Droit à la portabilité | Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON ou CSV disponibles via l'application). |
| Art. 21 | Droit d'opposition | Vous opposer au traitement de vos données pour des motifs légitimes, notamment pour le traitement fondé sur l'intérêt légitime. |
| Art. 22 | Droit contre la décision automatisée | Ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques significatifs. |
| Par email | contact@brunocesar.fr — objet : « Exercice de droits RGPD » |
| Par courrier | BCE Solutions — Bruno Silva César, 31 rue Ingres, 82600 Saint-Sardos, France |
| Délai de réponse | 30 jours calendaires à compter de la réception de la demande (prorogeable de 2 mois en cas de complexité) |
| Pièce justificative | Une copie d'un document d'identité peut être demandée pour vérifier votre identité |
Si vous estimez que vos droits ne sont pas respectés, vous disposez du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr/fr/plaintes
L'application Transordo est fournie dans un contexte B2B (Business to Business). Les rôles au sens du RGPD sont répartis comme suit :
| Partie | Rôle RGPD | Description |
|---|---|---|
| Organisation cliente (structure de soins, SSIAD, EHPAD…) | Responsable de traitement | Détermine les finalités et les moyens du traitement des données de santé de ses patients |
| BCE Solutions / Transordo | Sous-traitant (Art. 28 du RGPD) | Traite les données pour le compte de l'organisation cliente, selon ses instructions documentées |
Aucune donnée n'est transmise à des tiers à des fins commerciales ou publicitaires. Les données sont accessibles uniquement aux catégories suivantes :
| Catégorie | Accès | Justification |
|---|---|---|
| Professionnels de santé (infirmiers) | Données de leurs patients uniquement | Nécessaire à l'exécution des soins et à la transmission des ordonnances |
| Pharmacies partenaires | Transmissions qui leur sont adressées | Nécessaire à la délivrance des médicaments prescrits |
| Administrateurs de la structure | Données de leur structure uniquement | Nécessaire à la gestion et à la supervision de l'activité |
| Support technique Transordo | Accès limité en cas de maintenance ou incident | Nécessaire à l'exécution du contrat de sous-traitance (Art. 28 RGPD) |
| Autorités compétentes | Sur réquisition judiciaire uniquement | Obligation légale (Art. 6.1.c du RGPD) |
Les données sont traitées par les sous-traitants suivants, tous établis dans l'Union Européenne, liés par un contrat de sous-traitance conforme à l'article 28 du RGPD :
| Sous-traitant | Rôle | Localisation | Garanties RGPD |
|---|---|---|---|
| Scalingo SAS | Hébergement de l'application web et de la base de données | France (Strasbourg) | Contrat DPA conforme Art. 28 RGPD — HDS — ISO 27001 |
| Scaleway SAS (Groupe Iliad) | Stockage des documents médicaux (Object Storage S3) | France (Paris) | Contrat DPA conforme Art. 28 RGPD — HDS — ISO 27001 |
Les données des patients sont collectées de manière indirecte, par l'intermédiaire des professionnels de santé qui utilisent l'application Transordo dans le cadre de leur activité de soins.
Conformément à l'article 14 du RGPD, les patients doivent être informés par leur professionnel de santé (responsable de traitement ou son représentant) :
BCE Solutions, en tant que sous-traitant, met à disposition des organisations clientes les informations nécessaires pour remplir cette obligation de transparence.
En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, BCE Solutions s'engage à respecter les obligations suivantes, conformément aux articles 33 et 34 du RGPD :
| Obligation | Délai | Destinataire | Contenu |
|---|---|---|---|
| Notification à l'autorité de contrôle | Dans les 72 heures suivant la prise de connaissance de la violation | CNIL | Nature de la violation, catégories et nombre de personnes concernées, mesures prises |
| Information des personnes concernées | Dans les meilleurs délais | Utilisateurs et/ou patients concernés | Description claire de la violation et de ses conséquences probables (uniquement si risque élevé) |
| Documentation interne | Immédiatement et en continu | Registre interne des violations | Toutes les violations sont documentées, qu'elles fassent ou non l'objet d'une notification |
Transordo.fr utilise uniquement des cookies techniques strictement nécessaires au fonctionnement de l'application. Aucun cookie de tracking, publicitaire, analytique ou de profilage n'est déposé. Conformément à la directive ePrivacy et aux recommandations de la CNIL, les cookies strictement nécessaires ne requièrent pas de consentement préalable.
| Nom | TRANSORDO_SESSION |
| Finalité | Maintien de la session d'authentification de l'utilisateur connecté |
| Durée | Durée de la session (supprimé à la fermeture du navigateur ou après 1 heure d'inactivité) |
| Consentement requis | Non — cookie strictement nécessaire |
La présente Politique de Confidentialité peut être mise à jour à tout moment pour refléter les évolutions légales, réglementaires ou techniques. La date de dernière mise à jour est indiquée en haut de ce document.
En cas de modification substantielle affectant les droits des utilisateurs ou les finalités du traitement, les utilisateurs seront informés par email à l'adresse renseignée lors de leur inscription, au moins 15 jours avant l'entrée en vigueur des modifications. La poursuite de l'utilisation du service après notification vaut acceptation de la nouvelle politique.