Accord de traitement des données

Accord de traitement des données pour Stenoly

Dernière mise à jour · Dernière mise à jour : 06.06.2026
01

Parties et finalité

Le présent accord de traitement des données (« l'Accord ») est conclu entre :

  • Responsable du traitement : la personne morale utilisant Stenoly pour le traitement des données personnelles.
  • Sous-traitant : Stenoly AS (« Stenoly »), qui fournit le service Stenoly.

L'Accord a pour objet d'encadrer le traitement des données personnelles conformément au RGPD, où Stenoly agit en tant que sous-traitant et le Responsable du traitement est responsable de la base juridique du traitement.

02

Définitions

  • Données personnelles : informations permettant d'identifier une personne physique, directement ou indirectement.
  • Traitement : toute opération effectuée sur des données personnelles.
  • Sous-traitant : Stenoly, qui traite les données personnelles pour le compte du Responsable du traitement.
03

Étendue et instructions de traitement

Instructions

Stenoly ne traitera les données personnelles que conformément aux instructions du Responsable du traitement. La responsabilité d'établir une base juridique pour le traitement incombe au Responsable du traitement.

Étendue et catégories

  • Finalité : documentation des dossiers médicaux durant les consultations.
  • Catégories de personnes concernées : patients, clients, ou autres personnes consultées par le Responsable du traitement.
  • Types de données personnelles : dépendront de ce que le Responsable du traitement partage avec Stenoly. Stenoly encourage le Responsable du traitement à minimiser la quantité de données reçues. Le service peut être utilisé entièrement sans partager de données personnelles avec Stenoly.
04

Confidentialité

Stenoly s'engage à la confidentialité, et tous les employés et sous-traitants ultérieurs qui traitent des données sont soumis à la confidentialité. Les informations ne seront pas partagées avec des tiers sans autorisation expresse du Responsable du traitement.

05

Mesures de sécurité

Mesures techniques

Stenoly mettra en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données personnelles, notamment :

  • Chiffrement des données pendant le stockage et le transfert.
  • Serveurs sécurisés dans l'UE/EEE (plateformes cloud européennes).
  • Contrôles d'accès pour limiter l'accès aux personnes autorisées.

Traitement et stockage

Stenoly ne traite les données personnelles que conformément aux instructions du Responsable du traitement, et les données sont stockées sur des serveurs sécurisés en conformité avec le RGPD.

06

Recours à des sous-traitants ultérieurs

Stenoly peut faire appel à des sous-traitants ultérieurs pour traiter des données personnelles. Tout sous-traitant ultérieur est lié par les mêmes obligations de protection des données que celles prévues dans le présent accord de traitement des données. La liste à jour des sous-traitants ultérieurs de Stenoly est publiée dans notre Politique de confidentialité et peut également être communiquée sur demande. Stenoly informera le Responsable du traitement préalablement à tout ajout ou remplacement d'un sous-traitant ultérieur et lui accordera un délai raisonnable pour s'y opposer.

Infrastructure et hébergement

NeonUE · Frankfurt

Hébergement de la base de données.

Comptes, consultations, notes, facturation.

VercelUE · Stockholm

Hébergement de l'application et téléversements de fichiers.

Trafic du site ; documents téléversés.

Traitement IA des données cliniques

Google Cloud (Vertex AI)UE (multirégion)

Génération de notes par IA.

Transcriptions et notes de consultation.

Microsoft AzureUE · Suède

Dictée IA et traitement des notes.

Texte clinique.

SpeechmaticsUE/EEE

Transcription parole-texte.

Audio de consultation, transcrit et non stocké.

Mistral AIUE · France

Extraction de texte depuis les documents.

Documents téléversés.

Authentification

SignicatUE/EEE

Authentification (BankID, Buypass, e-mail).

Identité et vérification de connexion.

Intégration avec le DSP

PridokNorvège

Transmission des notes finalisées au DEP.

Notes envoyées au DEP.

Gestion commerciale et facturation

HubSpotUE · Irlande

Gestion de la relation client.

Coordonnées du compte. Aucune donnée clinique.

StripeUE / mondial

Facturation des abonnements.

Données de facturation. Aucune donnée clinique.

Google WorkspaceUE/EEE

Messagerie professionnelle.

Correspondance par e-mail.

Support client

ChatwootUE (auto-hébergé)

Chat de support client.

Messages de support et coordonnées de contact.

Analytique web

Ces outils fonctionnent uniquement sur notre site marketing et ne reçoivent jamais de données patients ni de données cliniques.

Google Analytics & Tag ManagerAnalytique du trafic web et gestion des balises.
Meta PixelMesure des performances des campagnes marketing.

Tous les sous-traitants qui traitent des données personnelles ou cliniques les traitent au sein de l'UE/EEE dans le cadre d'accords de traitement des données signés.

07

Accès, rectification et effacement

Stenoly assistera le Responsable du traitement dans l'exercice des droits des personnes concernées. La responsabilité de répondre à ces demandes incombe au Responsable du traitement.

08

Gestion des violations de sécurité

Notification

Stenoly notifiera le Responsable du traitement sans retard injustifié, et en tout état de cause dans les 72 heures suivant la découverte d'une violation de données personnelles, conformément à l'article 33 du RGPD.

Contenu de la notification

La notification contiendra :

  • La description de la violation
  • Les conséquences potentielles
  • Les mesures prises par Stenoly pour gérer la violation
  • Les recommandations pour notifier les parties concernées et les autorités compétentes en matière de protection des données
09

Transfert de données hors UE/EEE

Stenoly ne transférera pas de données personnelles hors UE/EEE sans le consentement écrit du Responsable du traitement. Tout transfert s'effectuera conformément au RGPD.

10

Disponibilité et temps de fonctionnement

Stenoly s'efforce de garantir une haute disponibilité, mais ne garantit pas un temps de fonctionnement ininterrompu. Stenoly n'est pas responsable des pertes résultant d'une indisponibilité, et la maintenance peut être effectuée sans préavis.

11

Restitution et suppression des données

À la résiliation de l'Accord, Stenoly supprimera ou restituera les données personnelles selon les souhaits du Responsable du traitement. Une confirmation de suppression peut être fournie sur demande.

12

Obligations du Responsable du traitement

Le Responsable du traitement doit :

  • S'assurer qu'il existe une base juridique pour le traitement.
  • Informer les personnes concernées de la manière dont leurs données sont traitées.
  • Fournir à Stenoly des instructions concernant le traitement.
  • Exécuter toute instruction concernant l'accès, la rectification et la suppression.
13

Responsabilité et indemnisation

Stenoly n'est pas responsable des obligations du Responsable du traitement au titre du RGPD. Dans tous les cas, Stenoly n'est responsable que des dommages résultant d'une violation de l'accord ou du RGPD ; et ce dans la limite du montant payé par le Responsable du traitement pour le service au cours des 12 derniers mois. Les parties s'engagent à coopérer en cas de demande d'indemnisation.

14

Résiliation

L'Accord s'applique tant que Stenoly traite des données personnelles pour le Responsable du traitement. À la résiliation, toutes les données seront restituées ou supprimées.

15

Droit applicable et règlement des litiges

Le présent accord est régi par le droit norvégien et les litiges seront tranchés par le Tribunal de district d'Oslo.