Tribulys← Retour à l'accueil

Document légal

Politique de confidentialité

Protection des données personnelles — Règlement UE 2016/679 (RGPD) et loi Informatique et Libertés

Dernière mise à jour : 21 mai 2026

Tribulys traite des données à caractère personnel, dont certaines sont susceptibles de relever des catégories particulières de données (données relatives à la santé). Nous prenons ce sujet au sérieux et cette politique vous explique, de façon transparente et précise, comment vos données sont collectées, utilisées et protégées.

1. Responsable de traitement

Responsable de traitementSynoptIT, éditrice de la marque Tribulys
SIREN104 623 095
Siège socialLille (59000), Nord, France
Contact donnéesprivacy@tribulys.fr

Pour toute question relative au traitement de vos données ou à l'exercice de vos droits, contactez-nous à privacy@tribulys.fr.

2. Données collectées

2.1 Données d'identification et de compte

Lors de la création de votre compte : adresse e-mail, nom d'affichage choisi, mot de passe (stocké sous forme hachée, non lisible), date et heure d'inscription, identifiant unique interne.

2.2 Données saisies dans le Service

Les informations que vous enregistrez dans Tribulys pour coordonner les soins de votre proche :

  • Carnet de liaison : notes horodatées, observations, alertes, auteur de la saisie, type de note.
  • Agenda : événements, rendez-vous, passages des intervenants, horaires.
  • Médicaments :dénomination du médicament, posologie, horaires de prise, confirmations d'administration.
  • Documents : fichiers téléversés par les membres du cercle.
  • Cercle de soins : informations sur les membres invités (email, rôle : famille, infirmière, médecin, kinésithérapeute, auxiliaire de vie).
Données de santé (catégorie particulière — Art. 9 RGPD) :Le suivi des médicaments et les notes du carnet de liaison peuvent contenir des informations relatives à l'état de santé de la personne aidée. Ces données bénéficient d'une protection renforcée. Leur traitement repose sur votre consentement explicite, recueilli lors de l'inscription (Art. 9(2)(a) RGPD), et sur la sauvegarde des intérêts vitaux de la personne concernée (Art. 9(2)(c) RGPD).

2.3 Données de paiement

Pour l'abonnement Premium : les données de carte bancaire sont collectées et gérées directement par Stripe. Tribulys ne stocke jamais les coordonnées bancaires. Nous conservons uniquement les références de transaction, l'historique de facturation et les informations nécessaires à la gestion comptable (montant, date, identifiant de transaction Stripe).

2.4 Données techniques et de navigation

À des fins de sécurité et de bon fonctionnement du Service : adresse IP (anonymisée dans les logs), navigateur et système d'exploitation, pages visitées, horodatage des connexions, journaux d'erreurs techniques.

Tribulys utilise des cookies de session essentiels au fonctionnement de l'authentification (cookies Supabase). Aucun cookie publicitaire ou de pistage tiers n'est déposé.

3. Finalités et bases légales du traitement

Fourniture du ServiceExécution du contrat (Art. 6(1)(b) RGPD) — création de compte, gestion du carnet, agenda, médicaments, cercle.
Données de santéConsentement explicite (Art. 9(2)(a) RGPD) — suivi médicaments et notes à caractère médical. Vous pouvez retirer ce consentement à tout moment.
Facturation & comptabilitéObligation légale (Art. 6(1)(c) RGPD) — conservation des factures 10 ans (Code de commerce L. 123-22).
Sécurité & lutte contre la fraudeIntérêt légitime (Art. 6(1)(f) RGPD) — journaux de connexion, détection d'accès anormaux.
Amélioration du ServiceIntérêt légitime (Art. 6(1)(f) RGPD) — analyse agrégée et anonymisée des usages. Aucune donnée individuelle identifiable n'est utilisée.
Communications de serviceExécution du contrat (Art. 6(1)(b) RGPD) — e-mails transactionnels (confirmation d'inscription, invitation, alerte de prise en charge).

4. Durées de conservation

Données de comptePendant la durée de l'abonnement actif + 3 ans après résiliation (prescription contractuelle civile — Art. 2224 C. civ.).
Carnet, agenda, médicamentsPendant la durée du cercle actif + 30 jours après suppression du compte (délai de grâce permettant une restauration accidentelle).
Données de facturation10 ans à compter de la clôture de l'exercice comptable (obligation légale — Art. L. 123-22 Code de commerce).
Logs techniques12 mois maximum, conformément aux recommandations de la CNIL (délibération n° 2021-122).
Cookies de sessionDurée de la session de navigation (supprimés à la fermeture du navigateur).

5. Destinataires des données — sous-traitants

Tribulys recourt aux sous-traitants suivants, liés par des accords de traitement des données (DPA) conformes au RGPD :

Supabase Inc. — base de données et authentification

Rôle : stockage de l'ensemble des données du Service (comptes, cercles, carnet, agenda, médicaments). Hébergement dans la région EU-West (Irlande). Garanties : DPA signé, certification SOC 2 Type II, chiffrement AES-256 au repos, TLS en transit.

Stripe Payments Europe — paiements

Rôle : traitement sécurisé des paiements par carte bancaire. Certifié PCI DSS Niveau 1. Données transférées vers les États-Unis sur la base des Clauses Contractuelles Types (SCC) de la Commission européenne.

Vercel Inc. — hébergement applicatif

Rôle : déploiement de l'application web. Données transitant via des serveurs Vercel en Europe (région eu-central-1). Garanties : DPA signé, SCC pour les transferts vers les États-Unis.

Tribulys ne vend, ne loue et ne cède jamais vos données personnelles à des tiers à des fins commerciales ou publicitaires.

6. Transferts hors Union européenne

Les données sont prioritairement hébergées dans l'Union européenne. Dans le cadre de l'utilisation des services Stripe et Vercel (dont le siège est aux États-Unis), certains transferts peuvent intervenir vers des pays tiers. Ces transferts sont encadrés par les Clauses Contractuelles Types (SCC — Décision d'exécution UE 2021/914) de la Commission européenne, garantissant un niveau de protection adéquat.

7. Sécurité des données

Tribulys met en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données contre tout accès non autorisé, altération, divulgation ou destruction :

  • Chiffrement TLS (HTTPS) de toutes les communications ;
  • Chiffrement AES-256 des données au repos (côté Supabase) ;
  • Mots de passe hachés (bcrypt) — Tribulys ne peut jamais accéder à votre mot de passe en clair ;
  • Authentification par token JWT à durée limitée ;
  • Row Level Security (RLS) : chaque utilisateur n'a accès qu'aux données de ses propres cercles ;
  • Journalisation et surveillance des accès anormaux ;
  • Accès aux données de production limité aux seuls développeurs autorisés par nécessité.

En cas de violation de données présentant un risque pour vos droits et libertés, Tribulys s'engage à notifier la CNIL dans les 72 heures (Art. 33 RGPD) et à vous en informer sans délai indu si la violation est susceptible d'engendrer un risque élevé (Art. 34 RGPD).

8. Vos droits

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données :

Droit d'accèsObtenir la confirmation que des données vous concernant sont traitées et en obtenir une copie (Art. 15 RGPD).
Droit de rectificationFaire corriger des données inexactes ou incomplètes (Art. 16 RGPD). Accessible directement depuis vos Paramètres.
Droit à l'effacement« Droit à l'oubli » — demander la suppression de vos données dans les conditions prévues à l'Art. 17 RGPD (sauf obligations légales de conservation).
Droit à la portabilitéRecevoir vos données dans un format structuré, couramment utilisé et lisible par machine (Art. 20 RGPD). Export disponible depuis le Service.
Droit d'oppositionVous opposer au traitement fondé sur l'intérêt légitime de Tribulys (Art. 21 RGPD), sauf motifs légitimes impérieux.
Droit de limitationObtenir la restriction du traitement dans certaines situations (Art. 18 RGPD).
Retrait du consentementRetirer à tout moment votre consentement au traitement des données de santé, sans que cela affecte la licéité des traitements antérieurs.
Décision automatiséeTribulys n'effectue aucune prise de décision automatisée ou profilage produisant des effets juridiques vous concernant.

Pour exercer l'un de ces droits, adressez votre demande par e-mail à privacy@tribulys.fr en joignant une copie d'un justificatif d'identité. Nous nous engageons à répondre dans un délai d'un mois (Art. 12 RGPD), prorogeable de deux mois en cas de demande complexe.

9. Cookies

Le Service utilise exclusivement des cookies strictement nécessaires à son fonctionnement :

Cookies SupabaseCookies de session et d'authentification (sb-access-token, sb-refresh-token) nécessaires pour maintenir votre connexion. Ces cookies expirent à la fin de session ou après un délai défini.
Cookie de thèmeMémorisation de votre préférence clair/sombre (next-themes). Durée : 1 an.

Aucun cookie publicitaire, de pistage ou analytique tiers n'est utilisé. Conformément aux lignes directrices de la CNIL du 17 septembre 2020, les cookies strictement nécessaires sont exemptés de consentement préalable.

10. Hébergement de données de santé (HDS)

Le service Tribulys est susceptible d'héberger des données de santé à caractère personnel au sens de l'article L. 1111-8 du Code de la santé publique. Tribulys s'engage à se conformer aux exigences applicables et à n'avoir recours qu'à des sous-traitants présentant des garanties suffisantes en matière de protection des données de santé. La certification HDS (Hébergeur de Données de Santé) est en cours d'évaluation selon la croissance du service. Les utilisateurs professionnels de santé sont invités à vérifier la conformité de leur usage avec leur propre cadre réglementaire (CNOM, HAS, etc.).

11. Réclamations — autorité de contrôle

Si vous estimez que le traitement de vos données n'est pas conforme au RGPD, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente, en France la Commission Nationale de l'Informatique et des Libertés (CNIL) :

Site webwww.cnil.fr
CourrierCNIL — 3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
Téléphone+33 (0)1 53 73 22 22

Nous vous encourageons à nous contacter en premier lieu à privacy@tribulys.fr afin de résoudre tout problème à l'amiable.

12. Modifications de la politique

Tribulys se réserve le droit de modifier la présente politique à tout moment afin de refléter les évolutions du Service, de la réglementation ou de nos pratiques. En cas de modification substantielle, les utilisateurs seront informés par e-mail avec un préavis de 30 jours. La date de mise à jour figurant en haut de cette page fait foi.