Registre des traitements de données personnelles

Conformément à l'article 30 du RGPD — Dernière mise à jour : mars 2026

1. Identité du responsable de traitement

Raison sociale	MattoSoftware SAS
SIRET	991 511 585
Adresse	24 bis rue du Muguet, 93000 Bobigny
Représentant légal	Matthieu Simon Akakpo (Président)
Référent RGPD	Matthieu Simon Akakpo — contact@mattonesthetik.fr

2. Gestion des comptes praticiennes (utilisatrices)

Finalité	Création et gestion des comptes utilisatrices, authentification, facturation
Base légale	Exécution du contrat (CGU acceptées à l'inscription)
Catégories de données	Nom, prénom, email, téléphone, nom du centre, adresse, SIRET, mot de passe (hashé bcrypt), logo
Personnes concernées	Praticiennes esthétiques (infirmières reconverties)
Durée de conservation	Durée du contrat + 3 ans après résiliation. Compte supprimé : purgé 30 jours après la demande
Destinataires	Stripe (paiements), Resend (emails), OVH (hébergement)

3. Gestion des dossiers patient(e)s

Finalité	Suivi des patient(e)s, gestion des rendez-vous, fiches de consentement, facturation des soins
Base légale	Intérêt légitime de la praticienne (gestion de son activité) + consentement du patient (signature des fiches)
Catégories de données	Nom, prénom, email, téléphone, date de naissance, adresse, antécédents, allergies, photos (avant/après/pendant), fiches de consentement signées, historique des RDV et paiements
Données sensibles	Oui — données de santé (antécédents, allergies, contre-indications, fiches de soins)
Personnes concernées	Patient(e)s des centres esthétiques utilisant Mattonesthetik
Durée de conservation	Durée de la relation commerciale + 5 ans. Fiches de consentement : 10 ans. Factures : 10 ans
Destinataires	Praticienne du centre uniquement. Sous-traitants : OVH (hébergement), Resend (emails de rappel)

4. Paiements et facturation

Finalité	Encaissement des acomptes, gestion des abonnements, émission de factures conformes
Base légale	Exécution du contrat + obligation légale (conservation des factures)
Catégories de données	Montants, méthodes de paiement, numéros de facture, IBAN (via Stripe Connect, non stocké chez nous)
Durée de conservation	10 ans (obligation fiscale française)
Destinataires	Stripe (prestataire de paiement), OVH (hébergement)

5. Intelligence artificielle (assistance praticienne)

Finalité	Briefing du jour, détection de contre-indications, consignes post-soin, OCR de documents
Base légale	Intérêt légitime (aide à la décision pour la praticienne)
Catégories de données	Données anonymisées des fiches et RDV envoyées à l'API Claude (Anthropic)
Durée de conservation	Données IA purgées après 90 jours. Anthropic ne conserve pas les données des API
Destinataires	Anthropic (API Claude, serveurs UE/US)

6. Sécurité et journalisation

Finalité	Sécurité des accès, détection des intrusions, preuve légale des consentements
Base légale	Intérêt légitime (sécurité) + obligation légale (traçabilité des consentements)
Catégories de données	Adresses IP, User-Agent, tentatives de connexion, audit log (actions CRUD), horodatage des signatures
Durée de conservation	Logs de connexion : 12 mois. Audit log : durée de vie du compte + 3 ans. Tentatives de login : 15 minutes
Destinataires	Aucun transfert à des tiers

7. Communications et rappels

Finalité	Envoi de rappels de RDV, notifications de fiches à signer, confirmations de paiement
Base légale	Intérêt légitime (rappels liés au service) + consentement (paramétrable par le centre)
Catégories de données	Email, numéro de téléphone du patient(e), contenu du message (nom, date RDV, prestation)
Durée de conservation	Historique des messages : 12 mois
Destinataires	Resend (emails), Twilio (SMS)

8. Mesures de sécurité techniques et organisationnelles

Authentification JWT avec tokens d'accès (1h) et refresh tokens (7 jours)
Hashage des mots de passe : bcrypt cost 12
Politique de mot de passe : 8 caractères minimum, majuscule, minuscule, chiffre, caractère spécial
Verrouillage de compte : 5 tentatives échouées en 15 minutes (persisté en base de données)
Rate limiting : 5 req/min (authentification), 300 req/min (API)
HTTPS obligatoire en production (HSTS)
CORS restrictif (uniquement le domaine frontend autorisé)
Uploads protégés par JWT (photos patient, fiches)
Validation des types de fichiers (magic bytes)
Audit log sur les opérations CRUD patients
Soft-delete des comptes avec purge automatique à 30 jours
Webhooks Stripe avec vérification de signature obligatoire

9. Liste des sous-traitants

Sous-traitant	Finalité	Localisation	Garanties
OVH	Hébergement serveurs + DNS	France (Roubaix)	Certifié ISO 27001, HDS
Stripe	Paiements + abonnements	Irlande (UE)	Certifié PCI DSS Level 1
Resend	Envoi d'emails transactionnels	Irlande (UE)	RGPD compliant, DPA disponible
Twilio	Envoi de SMS (rappels)	Irlande (UE)	RGPD compliant, BCR approuvées
Anthropic	API IA (Claude)	US / UE	Données non conservées via API, DPA disponible

10. Exercice des droits

Toute personne concernée peut exercer ses droits (accès, rectification, effacement, portabilité, opposition, limitation) en contactant le référent RGPD :

Matthieu Simon Akakpo — contact@mattonesthetik.fr

MattoSoftware SAS — 24 bis rue du Muguet, 93000 Bobigny

En cas de litige, vous pouvez introduire une réclamation auprès de la CNIL : www.cnil.fr

← Retour à l'accueil