Avenant relatif au traitement des données (DPA) – iGlowly Assistant

Dernière mise à jour : 30 mars 2026

Le présent Avenant relatif au traitement des données (« DPA ») fait partie intégrante des Conditions d’utilisation ou du Contrat de service (le « Contrat ») conclu entre la clinique cliente (« Responsable du traitement » ou « Client ») et iGlowly (« Sous-traitant ») pour la fourniture des services iGlowly Assistant (les « Services »).

Le présent DPA s’applique lorsque et dans la mesure où iGlowly traite des Données à caractère personnel pour le compte du Client dans le cadre des Services.

1. Définitions

Aux fins du présent DPA :

• « Données à caractère personnel », « Personne concernée », « Traitement », « Responsable du traitement », « Sous-traitant » et « Violation de données à caractère personnel » ont la signification qui leur est donnée par les lois applicables en matière de protection des données, y compris le RGPD.
• « Lois sur la protection des données » désigne l’ensemble des lois applicables relatives à la protection des données et à la vie privée, y compris le Règlement général sur la protection des données de l’UE (RGPD), le RGPD du Royaume-Uni, la LPD suisse, et, le cas échéant, le California Consumer Privacy Act (CCPA/CPRA).
• « Sous-traitant ultérieur » désigne un tiers engagé par iGlowly pour traiter des Données à caractère personnel pour le compte du Client.
• « Services » désigne l’iGlowly Assistant et les services connexes fournis en vertu du Contrat.
• « Affilié » désigne toute entité qui contrôle directement ou indirectement une partie, est contrôlée par celle-ci ou est sous contrôle commun avec celle-ci.

2. Rôles des parties

Les parties reconnaissent et conviennent que :

• Le Client (clinique) est le Responsable du traitement.
• iGlowly agit en qualité de Sous-traitant lorsqu’il traite des Données à caractère personnel pour le compte du Client dans le cadre des Services.
• iGlowly peut engager des Sous-traitants ultérieurs conformément à la Section 9 du présent DPA.

Le Client détermine les finalités et les moyens du traitement des Données à caractère personnel.
iGlowly traite les Données à caractère personnel uniquement sur instructions documentées du Client, sauf obligation contraire en vertu du droit applicable.

3. Nature du traitement et architecture Zero-PHI

L’iGlowly Assistant est conçu selon les principes de minimisation des données, de privacy-by-design, et d’une architecture Zero-PHI.

Les Services sont spécifiquement conçus de manière à ce que :

• Les messages de chat soient traités de manière éphémère en mémoire ;
• Les messages de chat soient assainis avant traitement par l’IA ;
• Les messages de chat ne soient pas stockés dans des bases de données ;
• Les messages de chat ne soient pas écrits dans les journaux ;
• Les messages de chat ne soient pas inclus dans les sauvegardes ;
• Les transcriptions de chat et l’historique des conversations ne soient pas conservés ;
• Seules des analyses structurées non identifiantes soient stockées.

iGlowly ne collecte ni ne stocke intentionnellement de données personnelles ou d’informations médicales via l’interface de chat de l’Assistant.

Toutefois, si des utilisateurs saisissent volontairement des Données à caractère personnel dans le chat, ces données peuvent être traitées temporairement en mémoire dans le but de générer une réponse, après quoi elles sont supprimées et ne sont pas stockées.

4. Catégories de personnes concernées

Selon la manière dont le Client utilise les Services, les personnes concernées peuvent inclure :

• Les visiteurs du site web de la clinique ;
• Les patients potentiels ;
• Le personnel de la clinique utilisant le tableau de bord ou l’interface administrative ;
• Les représentants du Client (facturation, compte, contacts support).

5. Catégories de données à caractère personnel

Les Services sont conçus pour éviter le stockage de Données à caractère personnel. Toutefois, des catégories limitées de Données à caractère personnel peuvent être traitées :

5.1 Interaction des utilisateurs finaux de l’Assistant (traitement éphémère uniquement)

Peuvent inclure (si saisies volontairement par un utilisateur) :

• Nom
• Adresse e-mail
• Numéro de téléphone
• Informations de localisation
• Toute donnée personnelle saisie volontairement dans un message

Ces données sont :

• Automatiquement assainies lorsque cela est possible ;
• Traitées de manière éphémère ;
• Non stockées par iGlowly.

5.2 Données de compte client et de contact professionnel

iGlowly peut traiter des Données à caractère personnel limitées liées au compte Client, telles que :

• Nom de la personne de contact de la clinique ;
• Adresse e-mail professionnelle ;
• Informations de facturation ;
• Informations de connexion au compte ;
• Communications avec le support.

Ces données sont traitées à des fins de gestion de compte, de facturation, de support et d’administration du service.

5.3 Données analytiques anonymes

L’Assistant stocke uniquement des analyses structurées non identifiantes, telles que :

• Sujet demandé (par exemple, type de traitement) ;
• Catégorie de question (par exemple, prix, récupération) ;
• Langue ;
• Date et heure ;
• Identifiant de la clinique ;
• Identifiant de session anonyme.

Ces données n’identifient pas les individus.

6. Finalité du traitement

iGlowly traite les données uniquement aux fins suivantes :

• Fournir le service Assistant ;
• Générer des réponses aux questions des utilisateurs ;
• Détecter et supprimer les identifiants personnels des messages ;
• Fournir des analyses anonymes de la demande au Client ;
• Maintenir, sécuriser et améliorer les Services ;
• Gérer les comptes Clients, la facturation et le support.

iGlowly ne vend pas de données personnelles, ne les utilise pas à des fins publicitaires et ne crée pas de profils d’utilisateurs basés sur le contenu des conversations.

7. Obligations du sous-traitant

iGlowly doit :

• Traiter les Données à caractère personnel uniquement sur instructions documentées du Client ;
• Veiller à ce que les personnes autorisées à traiter les Données à caractère personnel soient soumises à des obligations de confidentialité ;
• Mettre en œuvre des mesures techniques et organisationnelles appropriées pour protéger les Données à caractère personnel ;
• Aider le Client à remplir ses obligations en vertu des Lois sur la protection des données lorsque cela est applicable ;
• Notifier le Client de toute Violation de données à caractère personnel sans retard injustifié ;
• Supprimer ou anonymiser les Données à caractère personnel à la fin des Services, sauf si leur conservation est requise par la loi ;
• Mettre à disposition les informations raisonnablement nécessaires pour démontrer la conformité au présent DPA.

8. Confidentialité

iGlowly doit veiller à ce que toute personne autorisée à traiter des Données à caractère personnel :

• Soit soumise à des obligations de confidentialité appropriées ; et
• Traite les Données à caractère personnel uniquement dans la mesure nécessaire à la fourniture des Services.

9. Sous-traitants ultérieurs

Le Client autorise iGlowly à engager des Sous-traitants ultérieurs pour fournir les Services.

iGlowly doit :

• Maintenir une liste à jour des Sous-traitants ultérieurs ;
• Imposer aux Sous-traitants ultérieurs des obligations de protection des données équivalentes à celles prévues dans le présent DPA ;
• Rester responsable de la performance de ses Sous-traitants ultérieurs.

Si le Client s’oppose raisonnablement à un nouveau Sous-traitant ultérieur pour des motifs liés à la protection des données, les parties travailleront de bonne foi afin de trouver une solution raisonnable. Si aucune solution raisonnable ne peut être trouvée, le Client peut résilier les Services concernés.

10. Transferts internationaux de données

Certains Sous-traitants ultérieurs peuvent être situés en dehors de l’Espace économique européen, notamment aux États-Unis.

Lorsque des Données à caractère personnel sont transférées en dehors de l’EEE, du Royaume-Uni ou de la Suisse, iGlowly doit s’assurer que des garanties appropriées sont en place, telles que :

• Les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne ;
• L’Addendum britannique relatif au transfert international de données ;
• D’autres mécanismes de transfert licites lorsque cela est applicable.

11. Droits des personnes concernées

Compte tenu de la nature du traitement, iGlowly doit fournir une assistance raisonnable au Client pour répondre aux demandes des personnes concernées, y compris les demandes relatives à :

• L’accès
• La rectification
• L’effacement
• La limitation du traitement
• La portabilité des données
• L’opposition

Si iGlowly reçoit directement d’une personne concernée une demande relative à des Données à caractère personnel traitées pour le compte du Client, iGlowly peut rediriger la demande vers le Client.

Étant donné que les Services sont conçus pour ne pas stocker les messages de chat ni de données utilisateur identifiables, iGlowly peut ne pas être en mesure d’identifier une personne spécifique à partir des données stockées.

12. Notification de violation de données à caractère personnel

En cas de Violation de données à caractère personnel affectant des Données à caractère personnel traitées pour le compte du Client, iGlowly doit :

• Notifier le Client sans retard injustifié ;
• Fournir les informations disponibles concernant la violation ;
• Prendre des mesures raisonnables pour atténuer et corriger la violation.

La notification d’une violation ne constitue pas une reconnaissance de faute ou de responsabilité.

13. Conservation et suppression des données

Les Services sont conçus de manière à ce que :

• Les messages de chat ne soient pas stockés ;
• Les données personnelles soumises via le chat ne soient pas conservées ;
• Des données analytiques anonymes puissent être stockées à des fins d’analyse statistique et d’amélioration du service ;
• Les données de compte Client et de facturation puissent être conservées pendant la durée de la relation de service et conformément aux obligations légales.

À la fin des Services, iGlowly doit supprimer ou anonymiser les Données à caractère personnel liées au Client, sauf si leur conservation est requise par la loi applicable.

14. Audits et informations de conformité

iGlowly doit mettre à disposition les informations raisonnables nécessaires pour démontrer la conformité au présent DPA, telles que :

• Documentation de sécurité ;
• Liste des Sous-traitants ultérieurs ;
• Documentation relative à la confidentialité ;
• Documentation relative à l’architecture Zero-PHI ;
• Description des mesures techniques et organisationnelles.

Audits :

• Doivent être effectués avec un préavis raisonnable ;
• Ne doivent pas avoir lieu plus d’une fois par an, sauf si la loi l’exige ou à la suite d’un incident de sécurité ;
• Doivent être limités dans leur portée et ne doivent pas compromettre la sécurité des autres clients ;
• Peuvent être effectués via un examen documentaire et un audit à distance lorsque cela est possible ;
• Les coûts des audits sont à la charge du Client sauf disposition légale contraire.

15. Obligations du Client

Le Client accepte que :

• Il est responsable de s’assurer que son utilisation des Services est conforme aux Lois sur la protection des données ;
• Il ne soumettra pas intentionnellement et ne demandera pas à iGlowly de traiter des Données à caractère personnel ou des Informations de Santé Protégées via l’Assistant d’une manière incompatible avec l’utilisation prévue des Services ;
• Il est responsable de fournir toute notification de confidentialité requise aux utilisateurs finaux ;
• Il est responsable de déterminer si les Services sont appropriés pour l’utilisation prévue.

16. Ordre de priorité

En cas de conflit entre :

1. Les Clauses Contractuelles Types ;
2. Le présent DPA ;
3. Les Conditions d’utilisation ou le Contrat ;

L’ordre de priorité est celui indiqué ci-dessus en ce qui concerne les questions de protection des données.

17. Droit applicable

Le présent DPA est régi par le droit spécifié dans le Contrat principal de service, sauf disposition contraire requise par les Lois applicables en matière de protection des données.

Annexe A – Détails du traitement

Objet : Fourniture du service iGlowly Assistant.
Nature du traitement : Traitement temporaire des messages utilisateurs, assainissement automatisé, génération de réponses, stockage d’analyses anonymes, gestion de compte et de facturation.
Finalité du traitement : Fournir et maintenir les Services.
Durée du traitement : Pendant la durée du Contrat et selon les besoins pour la fourniture du service et les obligations légales.
Catégories de personnes concernées : Visiteurs du site web, patients potentiels, personnel de la clinique, contacts Client.
Catégories de données à caractère personnel : Tel que décrit à la Section 5 du présent DPA.

Annexe B – Sous-traitants ultérieurs et transferts

Les Sous-traitants ultérieurs sont listés sur la page des Sous-traitants et peuvent inclure des prestataires pour :

• Hébergement d’infrastructure ;
• Hébergement de base de données ;
• Traitement IA ;
• Détection et suppression des données personnelles ;
• Traitement des paiements ;
• Livraison frontend.

Les transferts internationaux sont protégés par les Clauses Contractuelles Types et d’autres garanties légales appropriées.

Annexe C – Mesures techniques et organisationnelles

Les mesures techniques et organisationnelles comprennent :

• Chiffrement en transit (HTTPS/TLS) ;
• Chiffrement au repos pour les données stockées ;
• Contrôle d’accès et authentification ;
• Isolation logique des données entre cliniques ;
• Traitement éphémère des messages ;
• Absence de stockage des messages de chat ;
• Assainissement automatisé des données personnelles ;
• Limitation du débit et protection contre les abus ;
• Fournisseurs d’infrastructure sécurisés ;
• Mises à jour de sécurité et surveillance régulières.

‍