Politique de confidentialité

PayMyDoc – Version 1.0 – Février 2026

La présente politique décrit la manière dont la société Orvega, éditrice du service PayMyDoc, collecte, utilise et protège les données personnelles des utilisateurs du service (professionnels de santé, patients et partenaires).

PayMyDoc est une plateforme permettant la gestion et l'encaissement de paiements liés aux actes médicaux, ainsi que la génération de documents associés.

1. Responsable du traitement

Le responsable du traitement est :

Orvega
101 rue de Sèvres, 75006 Paris
France

📩 contact@paymydoc.fr

2. Catégories de données collectées

2.1 Données des professionnels de santé

  • Nom, prénom
  • Informations professionnelles (spécialité, structure, SIRET le cas échéant)
  • Coordonnées (email, téléphone)
  • Identifiants de connexion
  • Paramètres de facturation et commissions
  • Données relatives à l'activité (paiements, documents générés)

2.2 Données des patients

Dans le cadre de l'utilisation du service, les professionnels de santé peuvent saisir et traiter les données suivantes concernant leurs patients :

  • Nom et prénom
  • Adresse email
  • Numéro de téléphone
  • Informations figurant sur les devis ou notes d'honoraires
  • Date et montant des paiements
  • Statut des paiements

⚠️ PayMyDoc ne stocke jamais les numéros complets de carte bancaire.

Les données de carte bancaire sont collectées et traitées exclusivement par le prestataire de paiement (ex : Stripe), certifié PCI-DSS.

Certaines données traitées dans le cadre du service peuvent constituer des données de santé au sens du Règlement Général sur la Protection des Données (RGPD), dès lors qu'elles sont liées à la réalisation d'un acte médical.

2.3 Données techniques

  • Adresse IP
  • Logs de connexion
  • Identifiants d'authentification
  • Métadonnées nécessaires à la sécurité et à la traçabilité

3. Finalités des traitements

Les données sont traitées afin de :

  • assurer le fonctionnement du service ;
  • permettre la génération et le suivi des paiements ;
  • établir les documents comptables et justificatifs ;
  • sécuriser l'accès au service ;
  • assurer la conformité légale et réglementaire ;
  • répondre aux demandes de support ;
  • améliorer le service ;
  • prévenir les fraudes et incidents de sécurité.

Aucune donnée n'est vendue ni utilisée à des fins publicitaires externes.

4. Bases légales des traitements

Les traitements reposent sur :

  • l'exécution du contrat (utilisation normale du service) ;
  • le respect d'obligations légales (comptabilité, fiscalité) ;
  • l'intérêt légitime (sécurité, prévention des fraudes, amélioration du service) ;
  • le consentement lorsque requis (certaines communications).

4.1 Traitements fondés sur l'intérêt légitime

Conformément à l'article 6.1.f du RGPD, certains traitements sont fondés sur l'intérêt légitime de PayMyDoc, notamment :

  • la prospection commerciale auprès de professionnels de santé ;
  • le suivi commercial et l'accompagnement à l'onboarding ;
  • l'amélioration continue du service via des analyses internes non sensibles ;
  • la prévention des fraudes et la sécurisation des accès.

Les personnes concernées peuvent s'y opposer à tout moment via contact@paymydoc.fr.

5. Rôle des professionnels de santé

Dans le cadre des données relatives aux patients, le professionnel de santé agit en qualité de responsable de traitement, et PayMyDoc agit en qualité de sous-traitant au sens du RGPD.

PayMyDoc traite ces données uniquement sur instruction du professionnel et dans le cadre de la fourniture du service.

6. Sous-traitants et prestataires

Les principaux sous-traitants sont :

  • Google Cloud Platform (hébergement et base de données)
  • Firebase Authentication (authentification sécurisée)
  • Stripe (traitement des paiements)
  • Mailjet (emails transactionnels)
  • SMSMode (SMS transactionnels)

Ces prestataires présentent des garanties appropriées en matière de sécurité et de conformité RGPD.

7. Hébergement et sécurité

Les données sont hébergées exclusivement en France, dans la région Google Cloud europe-west9 (Paris), sur une infrastructure conforme aux exigences d'hébergement de données de santé (HDS), opérée par des prestataires certifiés.

PayMyDoc met en œuvre des mesures techniques et organisationnelles appropriées, incluant notamment :

  • chiffrement des données en transit (TLS) ;
  • chiffrement des données au repos ;
  • chiffrement applicatif renforcé pour certaines données sensibles (ex : algorithmes de type AES avec mécanismes d'intégrité tels que HMAC) ;
  • contrôle strict et journalisé des accès ;
  • cloisonnement des environnements (développement, test, production) ;
  • audits et contrôles réguliers de sécurité.

PayMyDoc ne constitue pas lui-même un hébergeur de données de santé au sens de la réglementation applicable, mais s'appuie exclusivement sur une infrastructure opérée par des prestataires certifiés.

8. Transferts hors Union européenne

Les données principales sont hébergées en France.

Certains prestataires techniques (notamment services d'authentification, emails ou SMS) peuvent être amenés à opérer en dehors de l'Union européenne.

Ces transferts sont encadrés par des garanties appropriées, notamment les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne.

9. Durées de conservation

  • Données des professionnels : durée du compte actif puis 5 ans.
  • Données relatives aux paiements et documents comptables : 10 ans conformément aux obligations légales.
  • Données des patients nécessaires à la gestion des actes et paiements : conservées pendant la durée du compte professionnel puis archivées ou supprimées selon les obligations légales applicables.
  • Logs techniques : 6 mois.
  • Données supprimées : anonymisation irréversible lorsque possible.

10. Droits des personnes concernées

Conformément au RGPD, toute personne concernée dispose des droits suivants :

  • droit d'accès
  • droit de rectification
  • droit à l'effacement (dans les limites légales)
  • droit d'opposition
  • droit à la limitation
  • droit à la portabilité

Toute demande peut être adressée à :

📩 contact@paymydoc.fr

Une réponse sera apportée dans un délai maximal de 30 jours.

11. Sécurité des paiements

PayMyDoc ne stocke aucun numéro complet de carte bancaire.

Les paiements sont traités exclusivement par un prestataire certifié PCI-DSS.

12. Modification de la politique

La présente politique peut être modifiée afin de refléter l'évolution du service ou de la réglementation.

En cas de modification substantielle, les utilisateurs seront informés.

Pour toute question : contact@paymydoc.fr