Politique de confidentialité

Chez Guma, nous accordons une importance primordiale à la protection de vos données personnelles. La présente politique de confidentialité vous informe sur la manière dont nous collectons, utilisons et protégeons vos données conformément au Règlement Général sur la Protection des Données (RGPD).

1. Responsable du traitement des données

Le responsable du traitement des données personnelles collectées sur la plateforme Guma est :

2. Données personnelles collectées

2.1 Pour les praticiens

Nous collectons les données suivantes :

• Données d'identification : nom, prénom, adresse email, numéro de téléphone
• Données professionnelles : spécialité, qualifications, certifications, numéro SIRET, numéro ADELI/RPPS (si applicable), années d'expérience
• Données de localisation : ville, adresse du cabinet
• Données financières : informations de paiement (traitées par notre prestataire de paiement sécurisé), tarifs des prestations
• Données de contenu : photo de profil, biographie, descriptions des parcours proposés
• Données de connexion : adresse IP, logs de connexion, cookies

2.2 Pour les clients

Nous collectons les données suivantes :

• Données d'identification : nom, prénom, adresse email, numéro de téléphone
• Données de santé (avec consentement explicite) : besoins exprimés, questionnaires de santé, notes de consultation (accessibles uniquement au praticien concerné)
• Données financières : informations de paiement (traitées par notre prestataire de paiement sécurisé)
• Données de connexion : adresse IP, logs de connexion, cookies

2.3 Pour les entreprises partenaires

Dans le cadre de notre offre entreprise, nous collectons les données suivantes :

• Données de l'entreprise : nom, identifiant unique, token d'accès au portail entreprise
• Données des salariés bénéficiaires : adresse email professionnelle, inscription aux parcours, montant de prise en charge consommé
• Données financières : plafond de prise en charge par salarié, montants consommés

Les données des salariés sont traitées dans le strict cadre de la gestion des inscriptions aux parcours de bien-être financés par leur entreprise. Les résultats individuels des parcours (questionnaires, journal, progression) ne sont jamais communiqués à l'entreprise. Seules des données anonymisées et agrégées peuvent être partagées avec l'entreprise à des fins de suivi de l'utilisation du service.

3. Finalités du traitement des données

Vos données personnelles sont collectées pour les finalités suivantes :

• Gestion des comptes utilisateurs : création, authentification, gestion de votre profil
• Fourniture du service : mise en relation praticiens-clients, gestion des réservations, suivi des parcours
• Communication : envoi d'emails de confirmation, rappels de rendez-vous, notifications importantes
• Paiements : traitement des transactions, gestion de la facturation
• Amélioration du service : analyse de l'utilisation de la plateforme, développement de nouvelles fonctionnalités
• Conformité légale : respect de nos obligations légales et réglementaires
• Sécurité : prévention de la fraude, lutte contre les abus

4. Base légale du traitement

Le traitement de vos données repose sur :

• L'exécution d'un contrat : pour la fourniture des services de la plateforme
• Votre consentement : notamment pour les données de santé et l'envoi de communications marketing
• Notre intérêt légitime : pour améliorer nos services et assurer la sécurité de la plateforme
• Le respect d'obligations légales : pour la facturation, la comptabilité, etc.

5. Destinataires des données

Vos données peuvent être partagées avec :

• Les praticiens ou clients : dans le cadre de la mise en relation (nom, prénom, coordonnées nécessaires à la prestation)
• Nos prestataires de services : hébergement (Supabase), paiement (Stripe), envoi d'emails (Resend), intelligence artificielle (OpenAI), uniquement pour les finalités précisées
• Autorités compétentes : en cas de réquisition judiciaire ou pour respecter une obligation légale

Nous ne vendons ni ne louons jamais vos données personnelles à des tiers.

6. Traitement des données de santé

Les données de santé (besoins exprimés, questionnaires, notes de consultation) sont des données sensibles bénéficiant d'une protection renforcée :

• Elles ne sont collectées qu'avec votre consentement explicite
• Elles sont chiffrées et stockées de manière sécurisée
• Elles sont accessibles uniquement au praticien concerné et à vous-même
• Elles ne sont jamais utilisées à des fins commerciales ou marketing
• Vous pouvez retirer votre consentement à tout moment

7. Utilisation de l'intelligence artificielle

Guma utilise des services d'intelligence artificielle pour améliorer votre expérience. Conformément au RGPD (articles 13 et 22), nous vous informons de ces traitements :

7.1 Services utilisés

• Transcription vocale (OpenAI Whisper) : lorsque vous utilisez la saisie vocale pour exprimer votre besoin, votre enregistrement audio est envoyé à OpenAI pour transcription en texte. L'enregistrement audio n'est pas conservé après transcription.
• Analyse des besoins (OpenAI GPT-4) : votre description textuelle (saisie ou transcrite) est analysée par l'IA pour identifier le type de bien-être recherché, les symptômes et le contexte, afin de vous proposer des praticiens et programmes adaptés.
• Pré-diagnostic personnalisé : les réponses aux questionnaires de pré-diagnostic sont traitées par l'IA pour générer un profil initial et adapter votre programme.

7.2 Données transmises

Seules les données strictement nécessaires sont transmises aux services d'IA :

• Enregistrements vocaux (pour transcription uniquement, non conservés)
• Descriptions textuelles de vos besoins
• Réponses aux questionnaires de bien-être

Aucune donnée d'identification directe (nom, email, téléphone) n'est transmise aux services d'IA lorsque cela n'est pas nécessaire au traitement.

7.3 Transfert de données vers les États-Unis

Les services d'OpenAI sont hébergés aux États-Unis. Ce transfert est encadré par les clauses contractuelles types (CCT) et le EU-US Data Privacy Framework. Les données transmises via l'API OpenAI ne sont pas utilisées pour entraîner les modèles d'IA, conformément à la politique de données d'OpenAI pour les utilisateurs API.

7.4 Décisions automatisées et profilage

L'IA est utilisée pour vous suggérer des praticiens et des programmes adaptés à vos besoins. Ces suggestions constituent une aide à la décision et non une décision automatisée au sens de l'article 22 du RGPD : vous restez libre de choisir le praticien et le programme de votre choix.

Vous pouvez à tout moment demander une explication sur les recommandations générées par l'IA en nous contactant à rgpd@gu.ma.

8. Durée de conservation des données

Nous conservons vos données personnelles :

• Données de compte : pendant la durée d'activité de votre compte + 3 ans après la dernière activité
• Données de bien-être : 5 ans après la fin du programme, puis supprimées ou anonymisées. Note : les praticiens présents sur Guma sont des professionnels du bien-être, non des professionnels de santé au sens du Code de la santé publique
• Données de facturation : 10 ans conformément aux obligations comptables
• Données de connexion : 12 mois maximum

À l'issue de ces délais, vos données sont supprimées ou anonymisées.

9. Vos droits sur vos données

Conformément au RGPD, vous disposez des droits suivants :

• Droit d'accès : obtenir une copie de vos données personnelles
• Droit de rectification : corriger ou compléter vos données inexactes ou incomplètes
• Droit à l'effacement : demander la suppression de vos données dans certaines conditions
• Droit à la limitation : limiter le traitement de vos données dans certains cas
• Droit à la portabilité : recevoir vos données dans un format structuré et les transférer à un autre responsable
• Droit d'opposition : vous opposer au traitement de vos données pour des raisons légitimes
• Droit de retirer votre consentement : à tout moment pour les traitements basés sur le consentement

Pour exercer vos droits, contactez-nous à : rgpd@gu.ma

Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr).

10. Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles :

• Chiffrement des données sensibles (notamment les données de santé)
• Connexions sécurisées HTTPS
• Authentification sécurisée (hachage des mots de passe)
• Contrôles d'accès stricts aux données
• Sauvegardes régulières
• Audits de sécurité

11. Cookies et technologies similaires

Nous utilisons des cookies et technologies similaires pour :

• Cookies essentiels : nécessaires au fonctionnement de la plateforme (session, authentification)
• Cookies fonctionnels : amélioration de votre expérience utilisateur
• Cookies analytiques : mesure de l'audience et du comportement des utilisateurs (avec votre consentement)

Vous pouvez gérer vos préférences en matière de cookies depuis les paramètres de votre navigateur.

12. Transferts de données hors UE

Vos données sont hébergées au sein de l'Union Européenne. En cas de transfert hors UE (par exemple pour certains prestataires techniques), nous nous assurons que des garanties appropriées sont en place conformément au RGPD : clauses contractuelles types (CCT) approuvées par la Commission européenne, ou décision d'adéquation de la Commission européenne (EU-US Data Privacy Framework le cas échéant).

13. Mineurs

La plateforme Guma est destinée aux personnes majeures. Si vous avez moins de 18 ans, l'utilisation de la plateforme nécessite le consentement de vos parents ou tuteurs légaux.

14. Modifications de la politique de confidentialité

Nous nous réservons le droit de modifier la présente politique de confidentialité. Toute modification sera communiquée par email ou via la plateforme. Nous vous encourageons à consulter régulièrement cette page.

15. Nous contacter

Pour toute question concernant cette politique de confidentialité ou le traitement de vos données personnelles, contactez-nous :