Siffi - Politique de confidentialité

Révisé le 31.12.2025

Minudoc OÜ (la  “Société”, “Siffi”, “nous” ) accorde de la valeur à votre vie privée. Cet avis explique quelles données personnelles nous traitons lorsque vous utilisez la plateforme Siffi, pourquoi nous les traitons, combien de temps nous les conservons, avec qui nous les partageons et quels sont vos droits en vertu du RGPD.

Qui sommes-nous (Responsable de traitement) et comment nous contacter ?

Responsable de traitement : MinuDoc OÜ (opérant la plateforme Siffi).
Email : contact@siffi.com

Délégué à la protection des données (DPD) : Tarmo Pihl
Email DPD : privacy@siffi.com

Important : Siffi fournit une plateforme de bien-être au travail et ne fournit pas de services de santé. Les spécialistes du bien-être disponibles via Siffi fournissent un soutien en matière de bien-être (par exemple, conseil, coaching, soutien de type thérapeutique là où la loi et les normes professionnelles l’autorisent). Si vous avez besoin d’une aide médicale urgente, contactez les services d’urgence.

Notre rôle par rapport aux autres parties (Responsable de traitement/Sous-traitant)

Siffi peut agir dans différents rôles selon l’activité de traitement :

1. Siffi en tant que Responsable de traitement (opérations de la plateforme)
   Siffi agit en tant que responsable de traitement indépendant pour les opérations de la plateforme telles que :
   • création de compte et connexion,
   • sûreté de la plateforme et prévention de la fraude,
   • support client,
   • analyses de la plateforme (non-contenu),
   • facturation et comptabilité des frais de la plateforme (le cas échéant),
   • conformité et audit.
2. Siffi en tant que Sous-traitant (transmission de données pour les spécialistes)
   Lorsque vous utilisez la plateforme pour communiquer avec un spécialiste du bien-être, Siffi peut traiter certains contenus au nom du spécialiste pour permettre une messagerie sécurisée, la prise de rendez-vous et la prestation de services via la plateforme. Dans ces cas, le spécialiste est le responsable de traitement pour le contenu qu’il traite pour la prestation de services, et Siffi agit en tant que sous-traitant (en vertu d’un accord de traitement des données).
3. Client employeur (où votre accès est fourni par votre lieu de travail)
   Si votre employeur propose Siffi comme avantage au travail, votre employeur est généralement un responsable de traitement pour l’éligibilité des employés (par exemple, qui peut accéder à l’avantage et à quel niveau). Siffi traite des données limitées pour administrer l’accès au service.

Quelles données nous collectons et d’où nous les obtenons

Nous collectons des données personnelles directement auprès de vous, de votre appareil/application et des interactions sur la plateforme. Nous recevons également certaines données de votre spécialiste du bien-être (par exemple, confirmations de réservation et métadonnées de service) et, le cas échéant, de votre employeur (par exemple, statut d’éligibilité).

Catégories de données

A) Données de compte et d’identité

• prénom et nom de famille,
• adresse e-mail, numéro de téléphone,
• langue et préférences de communication,
• statut d’éligibilité de l’employeur (si votre employeur fournit l’accès).

B) Données de service et de transaction

• réservations (date/heure), durée, fournisseur choisi,
• enregistrements des transactions (enregistrements de facturation liés à la plateforme, le cas échéant),
• événements d’utilisation du service (par exemple, utilisation des fonctionnalités, nombre de sessions).

C) Contenu de bien-être et sensible (peut inclure des données de catégorie spéciale)

Étant donné que Siffi se rapporte au bien-être et à la santé mentale, le contenu que vous partagez peut inclure des informations liées à la santé (données de catégorie spéciale en vertu du RGPD), telles que :

• messages que vous envoyez à un spécialiste du bien-être via la plateforme,
• problèmes et objectifs que vous décrivez dans les discussions,
• informations de profil de bien-être issues des questionnaires sur plusieurs dimensions du bien-être,
• pièces jointes que vous partagez volontairement (photos, vidéos, fichiers) pour de meilleures décisions de soutien,
• contenu et résumés de conversation avec le conseiller IA (voir la Section 8).

D) Données de support, de qualité et techniques

• demandes de support et correspondance connexe,
• retours de qualité (par exemple, évaluations et commentaires, le cas échéant),
• journaux de l’appareil et de l’application : modèle de l’appareil, OS, version de l’application, autorisations, journaux liés à la sécurité, adresse IP (le cas échéant),
• journaux de diagnostic pour la prévention des erreurs et la résolution des problèmes.

Données facultatives : photo de profil ; pièces jointes ; certains éléments de questionnaire (lorsqu’ils sont marqués comme facultatifs).

Pourquoi nous traitons vos données et que se passe-t-il si vous ne les fournissez pas

Nous traitons les données personnelles pour :

• créer et gérer votre compte,
• permettre les réservations et la communication avec les spécialistes du bien-être,
• opérer les fonctionnalités de chat supervisé et de conseiller IA (si vous choisissez de les utiliser),
• fournir un support client et maintenir la qualité du service,
• assurer la sécurité de la plateforme et prévenir les abus,
• satisfaire aux obligations légales et comptables.

Si vous ne fournissez pas les données nécessaires pour créer un compte et utiliser les fonctionnalités principales (par exemple, les coordonnées), nous ne pouvons pas fournir l’accès à la plateforme. Si vous ne fournissez pas (ou retirez) votre consentement pour le traitement de contenu lié au bien-être/à la santé, vous ne pourrez peut-être pas utiliser des fonctionnalités nécessitant un tel contenu (par exemple, chat, conseiller IA, certains questionnaires).

Bases légales pour le traitement (RGPD)

1. Article 6 RGPD (données personnelles générales)
   • Nécessité contractuelle (Art. 6(1)(b)) – pour fournir la plateforme et les services demandés (compte, réservation, livraison de messages, fonctions de la plateforme).
   • Intérêts légitimes (Art. 6(1)(f)) – pour sécuriser la plateforme, prévenir la fraude, assurer la disponibilité et améliorer la fiabilité (par exemple, journaux de sécurité, prévention des abus).
   • Obligation légale (Art. 6(1)(c)) – pour respecter les exigences légales (par exemple, comptabilité et audit).
2. Article 9 RGPD (données de catégorie spéciale, y compris le contenu de bien-être lié à la santé)
   Lorsque le traitement implique du contenu de santé/bien-être, nous nous appuyons sur :
   • Consentement explicite (Art. 9(2)(a)) – pour le traitement du contenu lié au bien-être/à la santé dans les discussions, questionnaires et fonctionnalités IA, et pour la transmission de ce contenu via la plateforme.

Avec qui nous partageons les données (destinataires)

Nous partageons les données uniquement si nécessaire aux fins décrites ci-dessus :

1. Spécialistes du bien-être
   Pour permettre les réservations et la communication, nous partageons les données pertinentes avec le spécialiste que vous choisissez (par exemple, vos nom/coordonnées, détails de la réservation, et messages/pièces jointes que vous envoyez).
2. Sous-traitants (fournisseurs de services)
   Nous utilisons des fournisseurs de confiance pour exploiter la plateforme. Nos sous-traitants incluent :
   • OpenAI (traitement IA),
   • Microsoft (services cloud et/ou de plateforme),
   • Amazon S3 (stockage de données),
   • Messente (messagerie SMS).
   Tous les éléments ci-dessus utilisent des serveurs de l’UE pour le traitement Siffi.
3. Autorités publiques
   Nous pouvons divulguer des données si la loi, une ordonnance judiciaire ou une demande valide par une autorité compétente l’exige. Nous pouvons également divulguer des données limitées pour établir, exercer ou défendre des recours judiciaires.
4. Client employeur (accès sponsorisé par le lieu de travail)
   Nous ne partageons pas le contenu de vos messages, les résumés des conseillers IA, les pièces jointes ou les notes des spécialistes avec votre employeur. Voir la Section 7 pour plus de détails sur ce qu’un employeur peut et ne peut pas voir.

Ce que votre employeur peut voir (avantage au travail)

Si votre employeur fournit un accès à Siffi :

1. Votre employeur peut voir :
   • si vous êtes éligible/activé (oui/non),
   • statistiques d’utilisation agrégées et anonymisées à un niveau élevé de l’entreprise (par exemple, taux d’utilisation totale, catégories de services les plus utilisées, tendances de satisfaction globale).
2. Votre employeur ne peut pas voir :
   • vos messages de discussion (avec des spécialistes ou l’IA),
   • vos résumés de conversation avec le conseiller IA,
   • vos réponses aux questionnaires et votre profil de bien-être,
   • les pièces jointes que vous partagez (photos/vidéos/fichiers),
   • contenu des sessions avec des spécialistes, notes ou toute donnée sensible au niveau individuel.

IA, chat supervisé et conseiller IA

Siffi utilise l’IA dans deux fonctionnalités : chat supervisé et conseiller IA. Ces fonctionnalités sont conçues pour soutenir l’orientation et la navigation en matière de bien-être et ne remplacent pas le soutien professionnel humain.

Chat supervisé (anonymisé, sans mémoire)

• Dans le chat supervisé, nous anonymisons/pseudonymisons votre saisie pour le traitement IA en supprimant les identifiants directs lorsque c’est possible.
• Nous ne conservons pas une “mémoire” IA persistante pour le chat supervisé. Chaque conversation est traitée sans reporter votre contexte de chat supervisé antérieur.

• Le conseiller IA peut créer un court résumé de votre conversation (par exemple, sujets principaux, objectifs et prochaines étapes convenues).
• Ce résumé est utilisé pour assurer la continuité dans les futures conversations avec le conseiller IA.

Transferts internationaux

Nous ne stockons ni ne transférons vos données personnelles en dehors de l’EEE pour le traitement Siffi. Nos sous-traitants répertoriés sont configurés pour utiliser des serveurs de l’UE pour le traitement Siffi.

Combien de temps nous conservons vos données (rétention)

Nous conservons les données uniquement aussi longtemps que nécessaire aux fins décrites, à moins qu’une période plus longue ne soit requise par la loi.

Données de compte

Conservées tant que votre compte est actif. Si vous supprimez votre compte, nous supprimons ou anonymisons irréversiblement les identifiants personnels, sauf si nous devons conserver certaines données pour des obligations légales.

Contenu de bien-être (messages, questionnaires, pièces jointes)

Le contenu de bien-être de catégorie spéciale est stocké pendant 7 jours à partir du moment où il est entré dans la plateforme, après quoi il est supprimé ou anonymisé irréversiblement (sauf si vous choisissez de conserver quelque chose plus longtemps, par exemple un résumé du conseiller IA tel que décrit ci-dessous).

Résumé du conseiller IA

Le résumé du conseiller IA est stocké pour la continuité jusqu’à ce que vous le supprimiez ou jusqu’à ce que votre compte soit supprimé (sauf si la rétention est requise par la loi).

Enregistrements des transactions et de comptabilité

Les enregistrements comptables et d’audit sont conservés pendant 7 ans (lorsque requis par la loi applicable).

Journaux de sécurité et techniques

Les journaux de sécurité et de diagnostic sont conservés pendant une période limitée nécessaire pour sécuriser le service et enquêter sur les incidents, généralement 24 mois selon le type de journal et le niveau de risque.

Suppression de votre compte

Vous pouvez supprimer votre compte dans l’application ou la plateforme web (Profil → Supprimer mon compte). Lorsque vous supprimez votre compte :

• vos identifiants personnels (par exemple, nom, e-mail, téléphone) sont effacés,
• toute statistique de la plateforme restante peut être conservée uniquement sous forme anonymisée (non plus liée à vous),
• les enregistrements légalement requis (par exemple, comptabilité) sont conservés pour la période requise.

Sécurité

Nous utilisons des mesures techniques et organisationnelles appropriées pour protéger vos données, y compris (le cas échéant) :

• authentification à 2 facteurs,
• chiffrement en transit et au repos,
• contrôles d’accès et accès au moindre privilège,
• journalisation et surveillance,
• sauvegardes sécurisées et récupération,
• diligence raisonnable des fournisseurs et accords de traitement des données,
• procédures de réponse aux incidents.

Vos droits en vertu du RGPD

Vous avez le droit de :

• accéder à vos données,
• rectifier les données inexactes,
• effacer les données (le cas échéant),
• restreindre le traitement (le cas échéant),
• s’opposer au traitement fondé sur des intérêts légitimes,
• portabilité des données (pour les données traitées sur contrat ou consentement, lorsque techniquement faisable),
• retirer votre consentement à tout moment (dans les paramètres de votre compte ; le retrait n’affecte pas le traitement légal antérieur),
• déposer une plainte auprès de l’autorité de contrôle.

Modifications de cet avis

Révisé le 31.12.2025

Cet avis de confidentialité explique comment nous (le “Fournisseur”) traitons vos données personnelles lorsque vous réservez et recevez des services de notre part via la plateforme Siffi.

Important : Siffi (Minudoc OÜ) exploite la plateforme et a son propre avis de confidentialité. Cet avis s’applique au traitement du Fournisseur pour vous fournir des services.

Qui nous sommes (Responsable du traitement) et comment nous contacter

Nos coordonnées vous seront communiquées lorsque vous effectuerez une réservation. Vous pouvez également vous renseigner sur les détails concernant le Fournisseur auprès de la plateforme Siffi (Minudoc OÜ).

Notre relation avec Siffi et rôles (Responsable/Sous-traitant)

Le Fournisseur est le responsable du traitement des données pour le traitement de vos données personnelles dans le but de vous fournir le service (y compris les notes/enregistrements que nous créons en relation avec le service, le cas échéant).

Siffi (Minudoc OÜ) est une entité distincte qui exploite la plateforme. Siffi peut traiter vos données en tant que responsable indépendant pour les opérations de la plateforme (comptes, sécurité de la plateforme, support) et peut également agir en tant que sous-traitant lorsqu’il permet techniquement des communications et des flux de réservation sécurisés entre vous et le Fournisseur.

Quelles données nous traitons et d’où nous les obtenons

Nous pouvons traiter les catégories de données suivantes :

A) Données d’identité et de contact

• nom, coordonnées (email/téléphone), informations de l’employeur

B) Données de réservation et de service

• heure/date de réservation, durée, préférence linguistique,
• enregistrements nécessaires à la fourniture du service (par exemple, objectifs de la session),
• métadonnées de livraison du service (par exemple, présence, annulations).

C) Bien-être et contenu sensible (peut inclure des données de catégorie spéciale)

Parce que les services peuvent être liés au bien-être mental, les informations que vous partagez peuvent inclure des informations de santé ou d’autres informations sensibles (données de catégorie spéciale sous le RGPD), telles que :

• problèmes, symptômes ou circonstances personnelles que vous décrivez,
• messages et pièces jointes que vous envoyez via la plateforme,
• questionnaires ou évaluations que vous complétez (si utilisés).

D) Données de facturation et de comptabilité

• prix du service, factures/reçus (le cas échéant), statut de paiement (le cas échéant).

E) Données techniques (limitées)

• données minimales nécessaires pour fournir le service via la plateforme (par exemple, confirmation de la livraison de messages/réservation).

Sources : Nous recevons des données (i) de votre part, (ii) de Siffi en lien avec votre réservation et les communications de la plateforme, et (iii) uniquement si applicable, des systèmes tiers que vous connectez explicitement ou qui sont requis par la loi pour les fournisseurs réglementés.

Pourquoi nous traitons vos données

Nous traitons vos données pour :

1. Fournir le service que vous réservez (y compris la préparation et le suivi).
2. Communiquer avec vous au sujet de votre réservation et de la livraison du service.
3. Gérer la facturation/comptabilité et se conformer aux obligations légales.
4. Assurer la sécurité et protéger les droits (par exemple, traiter les plaintes, prévenir les abus ou répondre aux urgences si nécessaire).

Si vous ne fournissez pas les données requises, nous pourrions être incapables de fournir le service (par exemple, vous contacter, confirmer les réservations ou fournir un support approprié).

Bases légales du traitement (RGPD)

Nous nous appuyons sur les bases légales suivantes selon la situation :

1. Données personnelles générales (Article 6 RGPD)
   • Contrat (Art. 6(1)(b)) – pour fournir le service que vous demandez (réservation, communication, livraison).
   • Obligation légale (Art. 6(1)(c)) – comptabilité, tenue de registres statutaires (le cas échéant).
   • Intérêts légitimes (Art. 6(1)(f)) – intégrité du service, sécurité, prévention de la fraude/abus, gestion des litiges (équilibré par rapport à vos droits).
   • Intérêts vitaux (Art. 6(1)(d)) – uniquement dans des situations urgentes pour protéger la vie.
2. Données de catégorie spéciale (Article 9 RGPD)
   
   Parce que les services de bien-être peuvent impliquer des informations liées à la santé, nous nous appuyons sur l’une des bases suivantes :
   • Consentement explicite (Art. 9(2)(a)) – lorsque nous traitons des contenus liés au bien-être/santé (par exemple, discussions détaillées, questionnaires, pièces jointes) et lorsque le consentement est la base appropriée pour le modèle du Fournisseur ; et/ou
   • Fourniture de soins / traitement par un professionnel réglementé (Art. 9(2)(h)) – uniquement si le Fournisseur est un professionnel/organisation de santé réglementé et que cette base s’applique en vertu de la loi locale et des exigences de secret professionnel.

Retrait du consentement : Si nous nous appuyons sur le consentement, vous pouvez le retirer à tout moment. Le retrait n’affecte pas le traitement légal antérieur. Veuillez noter que retirer le consentement peut limiter notre capacité à fournir le service à l’avenir.

Enregistrement (audio/vidéo) et notes

• Sessions vidéo: Si des sessions vidéo sont utilisées, l’audio/vidéo est traité pour mener à bien la session.
• Enregistrements: Nous n’enregistrons pas les sessions.
• Notes/enregistrements: Le Fournisseur peut conserver des notes/enregistrements liés au service pour assurer la continuité et la qualité du support et pour répondre aux obligations légales le cas échéant.

Avec qui nous partageons les données (destinataires)

Nous ne vendons pas vos données. Nous pouvons les partager uniquement si nécessaire :

• Siffi (Minudoc OÜ) – pour permettre la messagerie de la plateforme, la réservation et la livraison du service via la plateforme.
• Fournisseurs de services informatiques et professionnels soutenant le Fournisseur (par exemple, email sécurisé, comptabilité, conseillers juridiques), sous accords de confidentialité et de traitement des données si requis.
• Autorités – si requis par la loi, une ordonnance judiciaire ou pour protéger des droits.
• Transactions d’entreprise – si le Fournisseur subit une fusion/acquisition/restructuration ; nous appliquerons des garanties appropriées.

Transferts internationaux

Nous visons à maintenir le traitement au sein de l’EEE. Si jamais nous transférons des données personnelles en dehors de l’EEE, nous le ferons uniquement avec des garanties appropriées (par exemple, Clauses contractuelles types de l’UE) et fournirons des informations supplémentaires sur demande.

Combien de temps nous conservons vos données (rétention)

Nous conservons les données uniquement aussi longtemps que nécessaire pour les finalités de cet avis et comme requis par la loi :

• Données d’administration des réservations et des services : conservées pendant 7 ans après la dernière interaction de service (pour gérer les suivis, les plaintes et la continuité), sauf si une période légale différente s’applique.
• Documents comptables : conservés pendant 7 ans.
• Notes/enregistrements de service : conservés selon les exigences professionnelles et légales applicables. Si le Fournisseur est un prestataire de soins de santé réglementé, les périodes de rétention légales peuvent être significativement plus longues.

À la fin de la rétention, nous supprimons ou anonymisons irréversiblement les données.

Vos droits (RGPD)

Vous avez le droit de:

• accéder à vos données,
• corriger des données inexactes,
• demander la suppression (si applicable),
• restreindre le traitement (si applicable),
• s’opposer au traitement basé sur des intérêts légitimes,
• portabilité des données (pour les données traitées sur contrat/consentement, si applicable),
• retirer le consentement (si le consentement est la base),
• déposer une plainte auprès de votre autorité de contrôle.

Comment exercer les droits : contactez-nous à privacy@siffi.com.

Si vous n’êtes pas satisfait, vous pouvez contacter l’Autorité de Protection des Données pertinente dans votre pays. En Estonie, il s’agit de l’Inspection de la Protection des Données Estonienne (Andmekaitse Inspektsioon).

Sécurité

Nous appliquons des mesures techniques et organisationnelles appropriées pour protéger les données personnelles, y compris des contrôles d’accès, des obligations de confidentialité, un stockage sécurisé et des processus de gestion des incidents.

Modifications de cet avis

Nous pouvons mettre à jour cet avis de temps en temps. La version mise à jour sera mise à disposition avant que vous ne réserviez de nouveaux services (et/ou sur la plateforme).