1. Chiffrement des données

Données en transit

Toutes les données envoyées via notre site et nos applications (comme les infos médicales, la vérification d’identité, les données de compte et les commandes) sont chiffrées avec TLS 1.2 ou version supérieure.

Données au repos

Les données stockées dans nos bases et sauvegardes sont chiffrées avec AES-256 ou une technologie équivalente reconnue.

Sécurité de pointe

Ces mesures respectent le niveau de sécurité « à l’état de l’art » exigé par l’article 32 du RGPD / RGPD UK.

2. Localisation des serveurs et hébergement

Hébergement des données dans l’UE

Toutes les données personnelles des utilisateurs européens sont hébergées exclusivement sur des serveurs situés dans Espace économique européen (EEE).

Centres de données certifiés

Transtoyou utilise des centres de données certifiés ISO 27001, SOC 2 et conformes aux exigences du RGPD.

Transferts internationaux

Aucune donnée personnelle n’est transférée hors de l’EEE, sauf si cela se fait via :

  • Clauses contractuelles types (SCC)
  • Une décision d’adéquation de la Commission européenne
  • Le consentement explicite de l’utilisateur

3. Accès et portabilité des données (EU Data Act)

Les utilisateurs peuvent accéder, télécharger et exporter leurs données directement depuis leur tableau de bord Transtoyou.

Quand c’est techniquement possible, vous pouvez aussi demander à Transtoyou de transmettre ces données à un tiers de votre choix, conformément aux règles européennes, y compris le Data Act si applicable.

Accéder à vos données

Téléchargez et exportez vos données directement depuis votre tableau de bord.

Aller au tableau de bord

4. Vérification d’identité (contrôle ID)

Transtoyou peut demander une vérification d’identité unique dans les cas suivants :

Parcours de prescription à risque élevé
Parcours de soins transgenres si la loi ou la sécurité l’exige
Suspicion d’abus, fraude ou incohérences dans les données médicales
Obligations réglementaires ou pharmaceutiques

Comment fonctionne la vérification

La vérification repose sur la reconnaissance automatique d’une pièce d’identité valide et une correspondance faciale.

Données biométriques est utilisé uniquement pour la vérification d’identité, la prévention de la fraude et la sécurité des prescriptions. Aucune utilisation marketing ou autre.

Le traitement des données biométriques repose sur l’article 9(2) du RGPD / RGPD UK avec l’article 6(1), soutenu par des analyses d’impact, des règles strictes et une durée de conservation limitée.

Vérification par un tiers

La vérification est effectuée par un prestataire spécialisé agissant pour Transtoyou.

Transtoyou ne conserve pas de copie de votre pièce d’identité. Nous recevons uniquement un statut de vérification et des données minimales nécessaires.

La conservation côté prestataire est limitée et encadrée par un accord de traitement des données.

5. Authentification à deux facteurs (2FA)

Personnel, médecins et pharmacies

Obligatoire

Le 2FA est obligatoire pour tous les accès, selon les meilleures pratiques de sécurité.

Clients

Optionnel mais recommandé

Le 2FA est optionnel mais fortement conseillé. Une étape supplémentaire (comme un SMS) est demandée lors de la connexion ou d’une commande.

6. Opérations sensibles et contrôles d’accès

  • Les évaluations médicales et prescriptions sont réalisées uniquement par médecins autorisés connectés via 2FA, avec accès limité aux données nécessaires.
  • Aucune ré-authentification supplémentaire n’est requise pendant les actions sensibles, mais un Contrôle d’accès basé sur les rôles (RBAC) strict est en place.
  • Chaque accès aux données médicales est enregistré et traçable.

7. Journaux d’activité et suivi des accès

Journalisation complète

Transtoyou enregistre tous les accès aux consultations, prescriptions, vérifications d’identité et comptes utilisateurs.

Contrôle régulier

Les journaux sont analysés régulièrement pour détecter tout accès suspect.

Accès limité

Seules les personnes autorisées peuvent accéder aux données médicales.

8. Sécurité des consultations vidéo et chat

Plateforme sécurisée

Transtoyou utilise une plateforme sécurisée avec connexions chiffrées (TLS/DTLS/SRTP) et contrôles d’accès stricts.

Enregistrement des consultations

Les consultations peuvent être enregistrées uniquement si nécessaire pour :

  • La sécurité médicale
  • Le contrôle qualité
  • La formation liée à la sécurité des patients
  • La gestion de litiges ou réclamations

Durée de conservation : 90 jours

Les enregistrements sont conservés 90 jours puis supprimés automatiquement, sauf obligation légale ou enquête en cours.

Mesures importantes

  • L’accès est strictement limité aux médecins concernés et aux équipes autorisées, avec traçabilité complète.
  • Aucune utilisation marketing ou autre.
  • Les utilisateurs sont informés avant la consultation.

9. Protection en cas de fuite de données

Notre protocole

En cas de fuite, Transtoyou :

1

Informe les autorités

Informe l’autorité compétente dans les 72 heures conformément aux articles 33 et 34 du RGPD.

2

Informe les utilisateurs concernés

En cas de risque élevé, ils sont informés directement.

3

Analyse des causes

Une analyse est réalisée avec mesures correctives immédiates.

10. Sécurité interne

Revue des accès

Les droits d’accès sont régulièrement vérifiés.

Formation

Formation obligatoire sur la sécurité et la confidentialité.

Mises à jour

Les politiques sont régulièrement mises à jour.

11. Accords de traitement des données

  • Transtoyou a signé des Accords de traitement des données (DPA) avec tous les prestataires.
  • Les sous-traitants agissent uniquement sur instruction.
  • Liste disponible sur demande via : privacy@transtoyou.com

12. Registre des traitements (art. 30 RGPD)

Transtoyou tient un Registre des activités de traitement (ROPA) conforme à l’article 30.

Ce registre inclut :

  • Toutes les activités
  • Les finalités
  • Les catégories de données
  • Les sous-traitants
  • Les lieux de stockage
  • Les durées de conservation
  • Les mesures de sécurité

Disponible pour les autorités.

13. Analyses d’impact (DPIA)

Transtoyou réalise régulièrement des Analyses d’impact sur la protection des données (DPIA) conformément à l’article 35.

Également avant toute nouvelle technologie à risque.

14. Responsable confidentialité interne (non DPO)

Transtoyou n’est pas obligé de nommer un DPO selon l’article 37.

Mais nous avons désigné un responsable confidentialité interne chargé de :

  • Conformité
  • Registre des traitements
  • DPIA
  • Contrats avec les prestataires

Point de contact principal pour la confidentialité.

Questions ou signalement

Si vous avez des questions ou souhaitez signaler un problème :

Équipe confidentialité et sécurité

Pour toute question sécurité :
privacy@transtoyou.com

Signaler une vulnérabilité

Vous avez trouvé un problème ? Dites-le-nous :
privacy@transtoyou.com

Votre sécurité est notre priorité

On continue d’investir pour protéger vos données.

Politique de confidentialité Droits RGPD