Politique de confidentialité

1. Responsable de traitement

Le responsable du traitement des données à caractère personnel collectées via la plateforme PharmaPex est :

ELMARQ

SIRET : 848 054 110 00038

RCS : Coutances 848 054 110

171A Rue des Acres, 50000 Saint-Lô, France

Téléphone : +33 2 61 74 02 18

Délégué à la Protection des Données (DPO) : dpo@elmarq.fr

Le DPO est votre interlocuteur privilégié pour toute question relative à la protection de vos données personnelles. Il veille au respect de la réglementation applicable et coordonne les réponses aux demandes d'exercice de droits des personnes concernées.

2. Données collectées

Dans le cadre de la fourniture et de l'amélioration de la plateforme PharmaPex, nous collectons et traitons les catégories de données suivantes :

2.1 Données d'identification

Nom, prénom, adresse email professionnelle, numéro de téléphone
Identifiants de connexion (adresse email, mot de passe chiffré)
Photographie de profil (facultatif)

2.2 Données professionnelles

Numéro RPPS (Répertoire Partagé des Professionnels de Santé)
Dénomination et adresse de l'officine, numéro FINESS
Logiciel de Gestion d'Officine (LGO) utilisé (Smart Rx, LGPI, Winpharma, Pharmagest, Leo, etc.)
Rôle au sein de l'officine (titulaire, adjoint, préparateur, gestionnaire)

2.3 Données d'usage

Horodatage des connexions, adresse IP, type de navigateur et système d'exploitation
Pages consultées, fonctionnalités utilisées, durée des sessions
Préférences d'affichage et paramètres de notification
Interactions avec le Copilote IA (requêtes et réponses)

2.4 Données financières de l'officine

Chiffre d'affaires (global, par segment, par période), marges brutes et nettes
Données de stock (niveaux, rotation, valorisation par catégorie de produit)
Indicateurs de performance (taux de substitution génériques, ROSP, panier moyen)
Données importées depuis le LGO de l'utilisateur

Ces données sont des données financières d'entreprise et ne constituent pas des données de santé au sens de l'article 9 du RGPD. Elles sont agrégées par produit ou par catégorie et ne contiennent aucune information relative à un patient identifié ou identifiable.

2.5 Données de paiement

Les données de paiement (numéro de carte, date d'expiration, cryptogramme) sont collectées et traitées exclusivement par notre prestataire de paiement Stripe, Inc., certifié PCI-DSS niveau 1
ELMARQ ne stocke, n'accède ni ne traite à aucun moment les données de carte bancaire
Seuls l'identifiant client Stripe, le type de carte (4 derniers chiffres) et l'historique des transactions sont conservés à des fins de facturation

3. Finalités du traitement

Vos données sont traitées pour les finalités suivantes :

Fourniture du service : création et gestion de votre compte, accès aux fonctionnalités de la plateforme, génération de tableaux de bord et de rapports personnalisés
Personnalisation par intelligence artificielle : alimentation du Copilote IA pour générer des alertes proactives, des recommandations d'optimisation et des analyses prédictives adaptées à votre officine
Benchmark anonymisé : comparaison de vos indicateurs de performance avec ceux d'officines similaires, sur la base de données strictement anonymisées et agrégées, ne permettant en aucun cas l'identification d'une officine tierce
Facturation et gestion commerciale : émission de factures, gestion des abonnements, suivi des paiements, relances éventuelles
Support client : traitement de vos demandes d'assistance, gestion des incidents techniques, suivi de la satisfaction
Amélioration du produit : analyse statistique anonymisée des usages pour améliorer l'ergonomie, la fiabilité et les performances de la plateforme
Communication : envoi de notifications relatives au service (alertes IA, mises à jour, maintenance) et, sous réserve de votre consentement, envoi de communications commerciales

4. Bases juridiques

Chaque traitement repose sur une base juridique conforme à l'article 6 du RGPD :

Traitement	Base juridique	Fondement
Fourniture du service, facturation	Exécution du contrat	Art. 6.1.b RGPD
Personnalisation IA, benchmark	Exécution du contrat	Art. 6.1.b RGPD
Amélioration du produit, statistiques	Intérêt légitime	Art. 6.1.f RGPD
Support client	Intérêt légitime	Art. 6.1.f RGPD
Cookies analytiques (Google Analytics)	Consentement	Art. 6.1.a RGPD
Communications commerciales	Consentement	Art. 6.1.a RGPD
Conservation des factures	Obligation légale	Art. 6.1.c RGPD

Lorsque le traitement repose sur votre consentement, vous pouvez le retirer à tout moment sans que cela ne porte atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait.

5. Durée de conservation

Vos données sont conservées pendant les durées strictement nécessaires aux finalités pour lesquelles elles sont traitées :

Catégorie de données	Durée de conservation
Données de compte (identification, profil)	Durée du contrat + 3 ans (prescription civile)
Données financières de l'officine	Durée du contrat + 1 an
Journaux de connexion et logs techniques	12 mois (glissants)
Factures et données comptables	10 ans (obligation légale, art. L.123-22 C. com.)
Données de prospection commerciale	3 ans à compter du dernier contact
Cookies analytiques	13 mois maximum

À l'expiration de ces durées, les données sont supprimées de manière irréversible ou anonymisées de façon à rendre impossible toute ré-identification.

6. Destinataires des données

Vos données à caractère personnel sont accessibles aux catégories de destinataires suivantes, dans la stricte limite de ce qui est nécessaire à l'accomplissement de leurs missions :

6.1 Personnel habilité d'ELMARQ

Seuls les collaborateurs d'ELMARQ disposant d'une habilitation spécifique et justifiée par leurs fonctions (équipes technique, support client, direction) ont accès aux données personnelles. L'accès est contrôlé par un système de gestion des rôles (RBAC) et fait l'objet d'une journalisation.

6.2 Sous-traitants

Nous faisons appel aux sous-traitants suivants, chacun lié par un accord de traitement des données (DPA) conforme à l'article 28 du RGPD :

Google Cloud Platform / Firebase (Google Ireland Ltd) : hébergement de l'infrastructure, base de données, authentification. Hébergement en région europe-west9 (Paris, France), certifié HDS
Stripe, Inc. : traitement des paiements, gestion des abonnements. Certifié PCI-DSS niveau 1
OpenAI, L.L.C. : traitement par intelligence artificielle pour le Copilote IA (génération de recommandations). Les données transmises sont anonymisées et ne contiennent aucun identifiant direct de l'utilisateur ou de l'officine

6.3 Benchmark anonymisé

Les données utilisées pour le benchmark inter-officines sont préalablement anonymisées par agrégation statistique. Aucune donnée identifiante (nom, RPPS, adresse, FINESS) n'est incluse dans les jeux de données de benchmark. Il est techniquement impossible de ré-identifier une officine à partir des données de benchmark.

7. Transferts de données hors Union européenne

Certains de nos sous-traitants sont établis en dehors de l'Espace économique européen. Ces transferts sont encadrés par des garanties appropriées conformément au chapitre V du RGPD :

Sous-traitant	Pays	Garanties
Google Cloud Platform	France / UE	Aucun transfert hors UE (region europe-west9, Paris)
OpenAI, L.L.C.	États-Unis	Clauses contractuelles types (SCC) adoptées par la Commission européenne (décision 2021/914)
Stripe, Inc.	États-Unis	Clauses contractuelles types (SCC) + certification EU-U.S. Data Privacy Framework (DPF)

Vous pouvez obtenir une copie des clauses contractuelles types applicables sur simple demande adressée à dpo@elmarq.fr.

8. Mesures de sécurité

ELMARQ met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD :

8.1 Chiffrement

En transit : toutes les communications entre votre navigateur et nos serveurs sont chiffrées via TLS 1.3 (HTTPS)
Au repos : les données stockées sont chiffrées en AES-256 via Google Cloud KMS (Key Management Service)

8.2 Authentification et contrôle d'accès

Authentification gérée par Firebase Authentication (email/mot de passe, avec possibilité d'activer l'authentification à deux facteurs)
Contrôle d'accès basé sur les rôles (RBAC) : chaque utilisateur n'accède qu'aux données de sa propre officine
Principe du moindre privilège appliqué à l'ensemble des accès internes

8.3 Journalisation et surveillance

Journalisation exhaustive des accès aux données (qui, quand, quelle action)
Système d'alertes automatisées en cas de comportement anormal
Revue périodique des accès et des habilitations

8.4 Hébergement certifié HDS

L'infrastructure est hébergée sur Google Cloud Platform, région europe-west9 (Paris, France)
Google Cloud est certifié Hébergeur de Données de Santé (HDS) conformément au décret n° 2018-137 du 26 février 2018
Les centres de données Google sont certifiés ISO 27001, ISO 27017, ISO 27018 et SOC 2 Type II

8.5 Gestion des incidents

En cas de violation de données à caractère personnel, ELMARQ s'engage à notifier la CNIL dans un délai de 72 heures conformément à l'article 33 du RGPD, et à informer les personnes concernées lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés (article 34 du RGPD).

9. Données de santé, précision importante

PharmaPex ne collecte, ne traite et ne stocke aucune donnée de santé à caractère personnel au sens de l'article 9 du RGPD et de l'article 4.15 du RGPD.

La plateforme traite exclusivement des données financières, opérationnelles et réglementaires d'officine. Plus précisément :

Aucune donnée patient nominative n'est collectée, à aucun stade du processus. PharmaPex ne reçoit ni nom, ni prénom, ni numéro de sécurité sociale, ni ordonnance, ni historique de délivrance de patients
Les données de stock et de vente sont agrégées par produit ou par catégorie pharmaceutique (ex. : « génériques », « paramédical », « médication familiale »), jamais par patient
Les indicateurs de performance (taux de substitution, ROSP, panier moyen) sont des métriques financières et opérationnelles de l'entreprise officinale
Le choix d'un hébergement certifié HDS relève d'une démarche proactive de sécurité renforcée, et non d'une obligation liée à la nature des données traitées

10. Droits des personnes concernées

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données à caractère personnel :

Droit d'accès (art. 15 RGPD) : obtenir la confirmation que vos données sont traitées et en recevoir une copie
Droit de rectification (art. 16 RGPD) : demander la correction de données inexactes ou incomplètes
Droit à l'effacement (art. 17 RGPD) : demander la suppression de vos données, sous réserve des obligations légales de conservation
Droit à la portabilité (art. 20 RGPD) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV)
Droit d'opposition (art. 21 RGPD) : vous opposer au traitement de vos données fondé sur l'intérêt légitime, pour des raisons tenant à votre situation particulière
Droit à la limitation du traitement (art. 18 RGPD) : demander la suspension du traitement dans les cas prévus par le règlement
Droit de retrait du consentement : retirer à tout moment votre consentement pour les traitements fondés sur cette base juridique
Droit de définir des directives post-mortem (art. 85 loi Informatique et Libertés) : définir des directives relatives au sort de vos données après votre décès

Modalités d'exercice

Pour exercer l'un de ces droits, adressez votre demande par email à :

Délégué à la Protection des Données

Email : dpo@elmarq.fr

Courrier : ELMARQ, DPO, 171A Rue des Acres, 50000 Saint-Lô

Nous nous engageons à répondre à votre demande dans un délai d'un mois à compter de sa réception. Ce délai peut être prolongé de deux mois supplémentaires compte tenu de la complexité ou du nombre de demandes, auquel cas vous en serez informé dans le mois suivant la réception de votre demande.

Une pièce d'identité pourra vous être demandée en cas de doute raisonnable sur l'identité du demandeur, conformément à l'article 12.6 du RGPD.

Réclamation

Si vous estimez que le traitement de vos données constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

CNIL

3 Place de Fontenoy, TSA 80715

75334 Paris Cedex 07

Site : www.cnil.fr

11. Cookies et traceurs

La plateforme PharmaPex utilise des cookies et traceurs dont la gestion est conforme aux recommandations de la CNIL du 17 septembre 2020 (délibération n° 2020-091).

11.1 Cookies strictement nécessaires

Ces cookies sont indispensables au fonctionnement de la plateforme et ne requièrent pas votre consentement :

Cookie de session : maintien de votre authentification pendant la navigation
Cookie CSRF : protection contre les attaques de falsification de requêtes intersites
Cookie de préférences de consentement : mémorisation de vos choix relatifs aux cookies

11.2 Cookies analytiques

Soumis à votre consentement préalable, ces cookies nous permettent de mesurer l'audience et d'analyser l'utilisation de la plateforme :

Google Analytics 4 : mesure d'audience anonymisée, sans transfert de données personnelles. L'adresse IP est anonymisée avant tout traitement. Durée maximale : 13 mois

11.3 Cookies fonctionnels

Ces cookies améliorent l'expérience utilisateur en mémorisant vos préférences :

Préférences d'affichage (thème, langue, configuration du tableau de bord)
Dernières pages ou modules consultés

Vous pouvez à tout moment modifier vos préférences en matière de cookies via le panneau de gestion des cookies accessible depuis le pied de page de la plateforme, ou en configurant les paramètres de votre navigateur.

12. Modifications de la politique

ELMARQ se réserve le droit de modifier la présente Politique de confidentialité afin de l'adapter aux évolutions réglementaires, jurisprudentielles ou techniques.

En cas de modification substantielle :

Vous serez informé par email à l'adresse associée à votre compte au moins 30 jours avant l'entrée en vigueur des modifications
Une notification sera également affichée dans votre espace personnel sur la plateforme
Si les modifications affectent un traitement fondé sur votre consentement, un nouveau consentement vous sera demandé

Votre poursuite de l'utilisation de la plateforme après l'entrée en vigueur des modifications vaudra acceptation de la Politique modifiée, pour les traitements fondés sur l'exécution du contrat ou l'intérêt légitime.

Date de dernière mise à jour : Avril 2026

Version : 1.0