Confiance, conformité et sécurité.
MedPlanning vous aide à construire un planning fiable, traçable et défendable. Voici comment nous protégeons vos données et garantissons la rigueur de chaque décision.
MedPlanning ne traite aucune donnée de santé de patients.
La plateforme traite des données d'organisation nécessaires à la gestion du planning : noms, prénoms, affectations, absences, horaires. Aucune donnée concernant un patient n'est collectée ni stockée.
Une seule catégorie de donnée sensible peut apparaître, et elle est traitée avec un soin particulier : le motif libre d'une absence (par exemple « arrêt maladie ») peut constituer une donnée de santé au sens de l'article 9 du RGPD. Sa saisie n'est jamais obligatoire. Lorsqu'il est renseigné, ce motif est chiffré au repos au niveau applicatif (AES-256-GCM), reste accessible aux seuls référents du service après authentification, n'est jamais transmis par email ou notification, et est exclu de l'assistant IA.
Hébergement UE
AWS Irlande
Chiffrement AES-256
TLS 1.3 en transit
Conforme RGPD
Données minimisées
Journal d'audit
Chaque action tracée
Ce que MedPlanning contrôle
Le moteur applique 30 règles légales et organisationnelles et contrôle le repos et les plafonds à chaque affectation.
Temps de travail
Plafond hebdomadaire (48h), moyenne glissante sur 13 semaines, durée maximale par shift. Chaque règle est paramétrable par le référent.
Repos obligatoires
Repos minimum entre deux shifts (11h par défaut), repos post-garde de nuit (journée complète), interdiction des nuits consécutives.
Équité de répartition
Gardes totales, nuits, week-ends, fériés, jours de la semaine, postes de jour : chaque dimension est équilibrée avec un écart maximum de ±2.
Vérification continue
Les règles sont vérifiées à la génération, lors des modifications manuelles, et dans le rapport de conformité. Aucune règle dure ne peut être violée, même par glisser-déposer.
Ce que MedPlanning trace
Chaque action est enregistrée, horodatée et attribuée. En cas de contrôle ou de désaccord, tout est documenté.
Journal d'audit complet
Chaque création, modification, suppression et publication est enregistrée avec l'auteur, la date, l'élément concerné et l'impact sur le planning.
Historique post-publication
Les changements de planning après publication sont tracés individuellement. Le référent peut justifier chaque décision avec le contexte de l'époque.
Compteurs de récupération
Les crédits de récupération (gardes de week-end, nuits, fériés) sont calculés automatiquement à partir des affectations publiées.
Logs de connexion
Les connexions et tentatives de connexion sont journalisées. Les tentatives répétées sont bloquées automatiquement (rate limiting).
Ce que MedPlanning protège
Vos données sont chiffrées, hébergées en Europe et sauvegardées quotidiennement.
Hébergement en Union européenne
La base de données est hébergée par Supabase sur l'infrastructure AWS eu-west-1 (Irlande). L'application est déployée sur Vercel. Aucune donnée ne transite hors de l'Union européenne. L'ensemble de l'infrastructure est soumis au droit européen.
Chiffrement en transit et au repos
Toutes les communications sont chiffrées en TLS 1.3. La base de données PostgreSQL utilise le chiffrement AES-256 au repos, et les sauvegardes sont également chiffrées. Les champs libres susceptibles de contenir une donnée sensible (motif et commentaire d'absence) bénéficient en plus d'un chiffrement applicatif AES-256-GCM : ils restent illisibles au niveau de la base, y compris pour l'infrastructure d'hébergement.
Mots de passe
Les mots de passe sont hachés avec bcrypt (facteur de coût 12). Aucun mot de passe n'est stocké en clair. La connexion par Google OAuth est disponible en option.
Sauvegardes automatiques
La base de données est sauvegardée quotidiennement. Restauration possible à n'importe quel instant des dernières 24h (WAL). Les données sont répliquées sur plusieurs zones de disponibilité.
RGPD
Seules les données strictement nécessaires sont collectées : nom, prénom, email. Aucun cookie tiers, aucun pixel de tracking, aucune revente de données. Chaque utilisateur peut demander l'export ou la suppression de ses données sous 72h. Supabase, Vercel et Resend disposent de clauses contractuelles types (SCCs).
Qui voit quoi
Chaque utilisateur n'accède qu'aux données qui le concernent. Le cloisonnement est structurel.
Isolation par organisation
Chaque établissement dispose de son propre espace. Un utilisateur ne peut jamais voir les données d'une autre organisation, même en manipulant les URLs.
Deux rôles distincts
Administrateur : gestion complète du planning, des internes, des règles et des publications. Interne : consultation de son propre planning, soumission de souhaits et d'indisponibilités. Aucun accès croisé entre les rôles.
Liens d'invitation personnels
Chaque interne accède à son planning via un lien unique et personnel. Ce lien ne donne accès qu'à ses propres données : affectations, souhaits, statistiques.
Sessions sécurisées
Authentification par JWT avec expiration automatique. Support de la double authentification (TOTP) pour les administrateurs.
Ce que le référent valide toujours humainement
MedPlanning aide à décider. Il ne remplace pas la responsabilité du référent.
Le planning est un outil d'aide à la décision
Le moteur génère une proposition. Le référent la corrige, la complète et la valide avant publication. Aucune affectation n'est définitive tant qu'elle n'est pas publiée par une personne habilitée.
Les règles souples restent à l'appréciation du référent
Les règles dures (repos, plafonds) ne peuvent pas être violées. Les règles souples (équité, préférences) sont des indicateurs que le référent peut ajuster selon le contexte du service.
Les modifications forcées sont explicites
Lorsqu'un référent contourne une alerte (par exemple pour couvrir une urgence), la modification est marquée comme forcée dans le journal d'audit. La décision et le contexte sont tracés.
Une question sur la sécurité ou la conformité ?
Nous répondons à toute question technique, juridique ou réglementaire. Écrivez-nous.