Conformité RGPD

• Hébergement des données dans l'Union Européenne (Supabase Frankfurt).
• Aucun transfert de données hors UE sans clauses contractuelles types (SCC).
• Audit interne annuel + tests d'intrusion réguliers.
• DPO interne joignable à dpo@medirel.fr.
• Notification de violation de données dans les 72 h conformément à l'article 33.

L'architecture Medirel garantit une isolation logique stricte entre organisations clientes. Toutes les requêtes SQL sont scopées par organization_id et auditées. Aucun accès cross-organisation n'est possible, y compris pour les administrateurs système (les opérations de support sont tracées dans le journal d'audit).

Les modalités d'exercice des droits d'accès, rectification, portabilité et effacement sont détaillées dans notre Politique de confidentialité. Délai de réponse : 30 jours maximum à compter de la demande.

Les documents suivants sont disponibles sur demande à dpo@medirel.fr :

• Registre des activités de traitement (RoPA).
• Analyse d'impact (AIPD) pour les traitements à risque.
• Politique de sécurité du système d'information (PSSI).
• Liste des sous-traitants et clauses contractuelles types.
• Procédure de notification de violation.

Les organisations utilisant le pack vertical medical doivent évaluer l'opportunité d'un hébergeur certifié HDS (Hébergeur de Données de Santé). Medirel travaille à l'obtention de cette certification — calendrier indicatif Q3 2026. D'ici là, ne pas stocker de données de santé caractérisées (cf. art. 9 RGPD) sur la plateforme sans validation préalable.