Légal — RGPD
Politique de confidentialité
En application du Règlement (UE) 2016/679 du 27 avril 2016 et du Code de la santé publique. Le Dr Damya Bennai accorde une importance fondamentale à la protection des données personnelles, et plus particulièrement à la protection des données concernant la santé, qui constituent des données dites de catégorie particulière au sens de l'article 9 du RGPD.
Préambule
La présente politique décrit la manière dont les données personnelles sont collectées, utilisées, conservées, protégées, transmises et supprimées dans le cadre de la navigation sur le site dr-bennai.fr. Elle est complétée, pour la prise de rendez-vous, par les politiques propres à la plateforme Doctolib, accessibles à l'adresse doctolib.fr/terms/data-protection-physician.
1. Responsable de traitement
- Identité : Dr Damya Bennai
- Qualité : Médecin libéral exerçant à titre individuel
- Adresse postale : 12 rue Lamandé, 75017 Paris
- Courriel : [email protected]
- RPPS : 10100692705
2. Délégué à la protection des données
Conformément à l'article 37 du Règlement (UE) 2016/679, et compte tenu de la taille du cabinet et du périmètre limité du traitement opéré par le site (formulaire de contact administratif, aucune donnée de santé), le Dr Damya Bennai, en sa qualité de responsable de traitement, assure également la fonction de référent à la protection des données pour les besoins du présent site. Toute demande adressée au délégué à la protection des données est traitée selon les conditions ci-après.
- Adresse électronique dédiée : [email protected]
- Adresse postale : Délégué à la protection des données — Cabinet du Dr Damya Bennai, 12 rue Lamandé, 75017 Paris
3. Données collectées par le site
Le site dr-bennai.fr ne collecte aucune donnée à caractère personnel à l'insu de l'internaute. Les données sont collectées uniquement à l'initiative de ce dernier, par l'intermédiaire du formulaire de contact administratif. Aucune donnée de santé ne doit être communiquée par ce canal.
3.1 Données collectées via le formulaire de contact
Sont collectées les données suivantes, lorsque l'internaute renseigne et soumet le formulaire :
- Nom et prénom (obligatoire) ;
- Adresse de courrier électronique (obligatoire) ;
- Numéro de téléphone (facultatif) ;
- Objet de la demande, sélectionné dans une liste prédéfinie (obligatoire) ;
- Contenu du message (obligatoire) ;
- Horodatage de la soumission et adresse IP de connexion (collecte technique automatique aux fins de prévention des abus).
3.2 Données collectées via les outils tiers intégrés
La prise de rendez-vous médicale est exclusivement opérée par la société Doctolib, responsable de traitement autonome pour les opérations qu'elle met en œuvre. Le présent site se limite à proposer un lien hypertexte vers la plateforme Doctolib, sans transmission de donnée de l'internaute préalablement à sa redirection.
La gestion des cookies et traceurs déposés par le site est décrite dans la politique de gestion des cookies.
4. Finalités, bases légales et durées de conservation
| Finalité du traitement | Base légale (article 6 RGPD) | Durée de conservation |
|---|---|---|
| Réponse aux demandes administratives transmises par le formulaire de contact | Mesures précontractuelles prises à la demande de la personne concernée (article 6, §1, b) ; à défaut, intérêt légitime du responsable de traitement à répondre aux sollicitations qui lui sont adressées (article 6, §1, f). | Treize mois à compter de la dernière interaction, sauf demande de suppression anticipée. |
| Gestion des journaux techniques (logs serveur, prévention des abus) | Intérêt légitime du responsable de traitement à assurer la sécurité du site (article 6, §1, f). | Six mois maximum. |
| Mesure d'audience anonymisée (statistiques de fréquentation) | Si l'outil est exempté de consentement au sens de la recommandation CNIL relative à la mesure d'audience : intérêt légitime. Sinon : consentement de l'internaute (article 6, §1, a). | Vingt-cinq mois maximum (cf. lignes directrices CNIL relatives à la mesure d'audience). |
| Réponse à une demande d'exercice de droits RGPD | Obligation légale (article 6, §1, c) en application des articles 12 à 22 du RGPD. | Trois ans à compter de la dernière correspondance. |
5. Catégorie particulière : les données de santé
Conformément à l'article 9, paragraphe 1, du Règlement (UE) 2016/679, le traitement de données concernant la santé est en principe interdit, sauf dans les hypothèses limitativement énumérées au paragraphe 2 du même article.
Le présent site n'a pas pour finalité le traitement de données de santé. Le formulaire de contact administratif est uniquement destiné aux demandes de prise de rendez-vous, d'information sur les conditions d'exercice et d'orientation. L'internaute est expressément invité, à proximité du formulaire et de la case de consentement, à ne transmettre aucune information de santé, aucun symptôme, aucun compte-rendu médical, aucune ordonnance, aucune photographie médicale et aucun élément d'antécédent.
Dans l'hypothèse où des données de santé seraient malgré tout transmises spontanément par l'internaute, ces données seraient :
- considérées comme transmises par erreur ;
- supprimées dans les meilleurs délais après réception ;
- non utilisées pour l'établissement d'un diagnostic ou pour la délivrance d'un avis médical à distance ;
- couvertes en tout état de cause par le secret professionnel défini à l'article L.1110-4 du Code de la santé publique.
Les données de santé strictement nécessaires à la prise en charge médicale sont collectées et traitées exclusivement dans le cadre de la consultation présentielle au cabinet, en dehors du périmètre du présent site Internet, et conformément aux exigences de l'article L.1111-8 du Code de la santé publique relatif à l'hébergement de données de santé.
6. Destinataires des données
Les données collectées par l'intermédiaire du formulaire du site sont destinées exclusivement aux personnes suivantes :
- Le Dr Damya Bennai, responsable de traitement ;
- Le secrétariat administratif du cabinet, dans la limite stricte de la nécessité du traitement et dans le respect du secret professionnel auquel il est tenu ;
- Les sous-traitants assurant l'hébergement et la maintenance technique du site (Xenius Consulting et Cloudflare, Inc.), dans le cadre de leurs missions techniques et conformément à un accord de sous-traitance conforme à l'article 28 du Règlement (UE) 2016/679.
Aucune donnée n'est cédée, louée ou vendue à des tiers. Aucune donnée n'est utilisée à des fins de prospection commerciale, de profilage commercial ou de décision automatisée au sens de l'article 22 du Règlement (UE) 2016/679.
7. Transferts de données hors de l'Union européenne
Le site est hébergé par la société Cloudflare, Inc., société de droit américain. Le réseau Cloudflare repose sur une architecture de diffusion de contenu (CDN) susceptible d'entraîner des transferts de données vers des serveurs situés hors du territoire de l'Union européenne et de l'Espace économique européen.
Conformément aux articles 44 à 49 du Règlement (UE) 2016/679, ces transferts sont encadrés par :
- Les clauses contractuelles types adoptées par la Commission européenne le 4 juin 2021 (décision d'exécution (UE) 2021/914), conclues entre le responsable de traitement et l'hébergeur, qui constituent le mécanisme principal de garantie des transferts ;
- Le cas échéant, la décision d'adéquation de la Commission européenne du 10 juillet 2023 (décision d'exécution (UE) 2023/1795) relative au cadre de protection des données entre l'Union européenne et les États-Unis (EU-US Data Privacy Framework), sous réserve de l'auto-certification effective de Cloudflare à ce cadre, vérifiable sur le registre dataprivacyframework.gov.
Une copie des garanties applicables aux transferts hors Union européenne peut être obtenue sur demande adressée au délégué à la protection des données.
8. Sécurité des traitements
Conformément à l'article 32 du Règlement (UE) 2016/679, le responsable de traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, notamment :
- Chiffrement systématique des échanges entre le navigateur de l'internaute et le serveur d'hébergement, au moyen du protocole HTTPS et du protocole de chiffrement TLS dans une version à jour ;
- Contrôle des accès au panneau d'administration du site par authentification forte ;
- Mise à jour régulière des composants techniques du site et des dépendances logicielles ;
- Journalisation des accès administrateurs ;
- Procédure de notification de violation de données à la Commission nationale de l'informatique et des libertés dans un délai maximal de soixante-douze heures, conformément à l'article 33 du Règlement (UE) 2016/679, et information des personnes concernées dans les conditions de l'article 34 du même règlement.
9. Droits des personnes concernées
Conformément aux articles 12 à 22 du Règlement (UE) 2016/679, toute personne dont les données sont traitées dispose des droits suivants :
- Droit d'accès à ses données personnelles (article 15) ;
- Droit de rectification des données inexactes ou incomplètes (article 16) ;
- Droit à l'effacement des données, dans les conditions définies par l'article 17 ;
- Droit à la limitation du traitement (article 18) ;
- Droit à la portabilité des données fournies, dans les conditions de l'article 20 ;
- Droit d'opposition au traitement, dans les conditions de l'article 21 ;
- Droit de retirer son consentement à tout moment, lorsque le traitement repose sur ce fondement (article 7, §3) — sans que ce retrait porte atteinte à la licéité du traitement antérieur ;
- Droit de définir des directives générales et particulières relatives au sort de ses données après son décès, en application de l'article 85 de la loi n° 78-17 du 6 janvier 1978 modifiée.
Ces droits peuvent être exercés par voie postale à l'adresse du cabinet ou par voie électronique à l'adresse [email protected]. Toute demande devra être accompagnée des éléments permettant d'identifier le demandeur. Une réponse sera apportée dans un délai d'un mois à compter de la réception de la demande, susceptible d'être prolongé de deux mois pour les demandes complexes, conformément à l'article 12, §3, du Règlement (UE) 2016/679.
Toute personne concernée a en outre le droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés, 3 place de Fontenoy — TSA 80715 — 75334 Paris CEDEX 07 (cnil.fr/fr/plaintes), si elle estime que le traitement de ses données n'est pas conforme à la réglementation applicable.
10. Sous-traitants au sens de l'article 28 du RGPD
Le responsable de traitement a recours aux sous-traitants suivants, encadrés par un contrat conforme à l'article 28 du Règlement (UE) 2016/679 :
- Cloudflare, Inc. — hébergement statique du site (Cloudflare Pages) et diffusion de contenu (CDN). 101 Townsend Street, San Francisco, California 94107, États-Unis d'Amérique.
- Xenius Consulting — conception, maintenance technique, supervision et audit du site. Contrat de prestation référence XN-WEB-OPHTALMO-2026-001.
- Doctolib SAS — opérateur de la plateforme de prise de rendez-vous accessible par lien hypertexte depuis le site. Doctolib agit en qualité de responsable de traitement autonome pour les opérations effectuées sur sa propre plateforme et non en qualité de sous-traitant de l'éditeur.
11. Transferts hors UE — précisions Schrems II
L'éditeur a évalué les transferts de données effectués par Cloudflare au regard de l'arrêt de la Cour de justice de l'Union européenne du 16 juillet 2020 (Schrems II, aff. C-311/18). Les clauses contractuelles types signées avec Cloudflare sont complétées, le cas échéant, par des mesures supplémentaires techniques (chiffrement TLS, chiffrement au repos, ségrégation logique des contenus) et organisationnelles (audits, journalisation, procédures de réponse aux demandes d'autorités). L'éditeur réévalue périodiquement le niveau de protection effectif applicable aux transferts.
12. Modifications de la présente politique
La présente politique peut être modifiée à tout moment, notamment afin de tenir compte des évolutions législatives, réglementaires, jurisprudentielles ou techniques. La version applicable est la version en vigueur lors de la consultation du site. La date de dernière mise à jour figure ci-dessous.
Politique de confidentialité mise à jour le 16 mai 2026 — version 2.0.