Comment Medicapp Pro protège les données de santé de vos patients. Infrastructure certifiée HADS, conformité RGPD, traçabilité complète.
Medicapp Pro s'appuie sur l'infrastructure d'OSPI, hébergeur certifié pour les données de santé. Medicapp ne gère pas ses propres data centers.
OSPI est un hébergeur Agréé des Données de Santé (HADS), certifié par le Ministère de la Santé français. Cette certification garantit que l'infrastructure physique, réseau et logicielle respecte les exigences réglementaires françaises et européennes pour le traitement des données de santé à caractère personnel.
Les données sont hébergées exclusivement en France, dans des data centers conformes aux normes ISO 27001. Il n'y a aucun transfert de données hors de l'Union européenne.
L'authentification est gérée par Medicapp via un mécanisme multi-facteur (MFA) déployé sur l'infrastructure OSPI. La gestion des droits d'accès entre praticiens est entièrement déléguée au client via les Espaces de confiance, avec des droits en lecture ou écriture révocables à tout moment. L'ensemble des actions fait l'objet d'un audit accessible directement depuis les applications.
La relation entre Medicapp Connect SAS et OSPI est encadrée par un contrat de sous-traitance conforme à l'article 28 du RGPD (DPA). Ce contrat est disponible sur demande.
Les certifications d'OSPI sont tenues à votre disposition. Si vous êtes DPO, responsable conformité ou DSI, nous vous transmettons les attestations sur simple demande à dpo@medicappconnect.com.
Les certifications ci-dessous sont celles de notre hébergeur OSPI. Elles sont tenues à votre disposition sur demande.
Hébergeur Agréé des Données de Santé. Certification délivrée par le Ministère de la Santé, validé pour la France et l'UE. Couvre l'hébergement, la sauvegarde et l'archivage des données de santé à caractère personnel.
Système de management de la sécurité de l'information. Couvre la gestion des risques, les contrôles d'accès, la sécurité physique et logique, la gestion des incidents.
Mesure de l'efficacité du management de la sécurité de l'information. Garantit un suivi et une amélioration continue des contrôles de sécurité.
Gestion de la qualité. Assure que les processus d'hébergement et de support respectent des standards de qualité documentés et audités.
L'authentification et la gestion des accès sont gérées par Medicapp Connect SAS, déployées sur l'infrastructure sécurisée d'OSPI.
L'accès à Medicapp Pro est protégé par une authentification multi-facteur. Cette couche de sécurité est gérée par Medicapp et déployée sur l'infrastructure OSPI.
Toutes les actions sur les données de santé font l'objet d'un audit complet. L'historique des accès, consultations et modifications est accessible directement depuis les applications front (web et iOS) par le professionnel de santé.
Le professionnel de santé gère lui-même les droits d'accès des autres praticiens à ses données via les Espaces de confiance. Il attribue des droits en lecture ou en écriture, et peut les révoquer à tout moment. Medicapp n'intervient pas dans cette gestion — le client est autonome.
Les données sont accessibles hors connexion sur les appareils authentifiés. Le chiffrement local est maintenu. La synchronisation se fait automatiquement au retour du réseau.
Medicapp Connect SAS agit en tant que sous-traitant au sens de l'article 28 du RGPD. Le professionnel de santé ou l'organisation reste responsable du traitement.
Le traitement repose sur le consentement du patient (collecte de données via les protocoles) et sur l'obligation légale de conservation du dossier médical.
Droit d'accès, de rectification, de portabilité et de suppression implémentés dans la plateforme. Le praticien peut exporter ou supprimer un dossier patient à tout moment.
Le Délégué à la Protection des Données de Medicapp Connect SAS est joignable à dpo@medicappconnect.com.
En cas de violation de données, Medicapp s'engage à notifier le responsable de traitement dans un délai compatible avec l'obligation de notification à la CNIL sous 72 heures.
Le registre des activités de traitement est tenu à jour conformément à l'article 30 du RGPD. Disponible sur demande.
Les données de santé sont hébergées et traitées exclusivement en France. Aucun sous-traitant n'opère hors de l'Union européenne.
Les données sont conservées tant que le compte professionnel est actif. Après résiliation, les données restent accessibles en lecture pendant 30 jours, puis sont archivées conformément aux obligations légales de conservation du dossier médical (20 ans en France).
Le praticien peut exporter l'intégralité de ses données à tout moment (format structuré). La suppression définitive est exécutée sur demande, dans le respect des obligations légales de conservation.
Les sauvegardes sont effectuées quotidiennement par l'infrastructure OSPI. Elles sont chiffrées, géo-répliquées sur le territoire français, et testées régulièrement.
L'infrastructure OSPI dispose d'un PCA documenté couvrant les scénarios de défaillance matérielle, réseau et logicielle. Redondance des composants critiques.
En cas d'incident majeur, le PRA prévoit la reprise du service. Les objectifs RPO (perte de données maximale) et RTO (temps de reprise) sont documentés et disponibles sur demande.
En cas d'indisponibilité du service cloud, l'app native iOS conserve une copie locale des données. Le praticien continue de travailler. La synchronisation reprend automatiquement.
Medicapp implémente les profils HL7 pour la structuration des données patient, des documents cliniques (CDA — ISO/HL7 10781) et des questionnaires médicaux. Cela garantit l'interopérabilité avec les systèmes d'information de santé hospitaliers et de ville.
Les données patients peuvent être exportées dans des formats structurés et normalisés, compatibles avec les systèmes hospitaliers et les logiciels de gestion de cabinet.
Vous évaluez Medicapp Pro pour votre organisation ? Voici les documents que nous tenons à votre disposition.
HADS, ISO 27001, ISO 27004, ISO 9001. Originaux ou copies certifiées.
Conforme à l'article 28 du RGPD. Couvre les obligations, les finalités, les mesures de sécurité.
Mesures techniques et organisationnelles, chiffrement, contrôle d'accès, gestion des incidents.
Plans de continuité et de reprise d'activité, objectifs RPO/RTO, procédures de test.
Article 30 du RGPD. Finalités, catégories de données, durées de conservation, sous-traitants.
Vous avez votre propre questionnaire de conformité ? Transmettez-le nous, nous le compléterons.
Contactez-nous pour recevoir les certifications, le DPA, ou pour planifier un echange avec notre equipe securite.