Aller au contenu principal
Retour à l'accueil

Politique de confidentialité

Comment Neuro Care collecte, utilise et protège vos données personnelles, conformément au RGPD et à la loi Informatique et Libertés.

Entrée en vigueur : 27 mai 2026

Politique de confidentialité

Plateforme Neuro Care — accessible à l'adresse https://neuro-care.fr

Date d'entrée en vigueur : 27 mai 2026 Dernière mise à jour : 27 mai 2026

Préambule

La présente Politique de confidentialité a pour objet de vous informer, de manière claire et transparente, des modalités de collecte, d'utilisation, de conservation et de protection des données à caractère personnel qui vous concernent lorsque vous utilisez la plateforme Neuro Care (ci-après la « Plateforme »), conformément au Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée dite « Informatique et Libertés ».

Neuro Care est une plateforme de mise en relation entre familles d'enfants ou d'adultes neuro-atypiques (Troubles du Neuro-Développement — TSA, TDAH, DYS, HPI, TDI) et professionnels du neurodéveloppement (éducateurs spécialisés, psychomotriciens, psychologues, ergothérapeutes, orthophonistes, etc.).

Information importante sur la nature des données : Neuro Care n'est pas un hébergeur certifié HDS (Hébergeur de Données de Santé). La Plateforme ne collecte, ne stocke et ne traite aucun dossier médical, aucune consultation, aucune prescription, aucun diagnostic médical au sens strict. Toutefois, certaines données transmises par les utilisateurs (mention d'un TND dans une annonce, profession exercée, etc.) peuvent revêtir un caractère sensible au sens de l'article 9 du RGPD. Ces données ne sont collectées que sur la base du consentement explicite de l'utilisateur, et font l'objet de mesures de sécurité renforcées (voir section 11).

1. Identification du responsable de traitement

Le responsable du traitement des données personnelles collectées via la Plateforme est :

  • Nebbache Zakariya, exerçant en qualité d'auto-entrepreneur (entreprise individuelle)
  • Siège social : 401 Avenue de Monsieur Teste, 34070 Montpellier, France
  • SIREN : 994 397 735
  • Email de contact RGPD : contact@neuro-care.fr

Délégué à la Protection des Données (DPO) : Neuro Care n'a pas désigné de Délégué à la Protection des Données. Conformément à l'article 37 du RGPD, la désignation d'un DPO n'est obligatoire que dans certains cas spécifiques (autorités publiques, suivi régulier et systématique à grande échelle, traitement à grande échelle de données sensibles). Compte tenu de la taille actuelle de la Plateforme et du volume de traitement, Neuro Care est en dessous des seuils déclenchant cette obligation légale.

Toute demande relative à la protection de vos données personnelles peut néanmoins être adressée à contact@neuro-care.fr et fera l'objet d'un traitement rigoureux.

2. Données collectées

2.1 Données collectées côté « Famille »

Catégorie Données concernées Caractère
Identité Prénom, nom, adresse email, téléphone (facultatif) Obligatoire (sauf téléphone)
Localisation Ville, code postal, coordonnées de géolocalisation (latitude/longitude) Obligatoire pour la mise en relation géographique
Profil enfant ou personne accompagnée (facultatif) Prénom, âge, type(s) de TND déclaré(s) (TSA, TDAH, DYS, HPI, TDI…) Facultatif — données potentiellement sensibles
Annonces publiques Titre, description, type d'accompagnement recherché, contexte TND mentionné Saisi librement par l'utilisateur
Messagerie Contenu des messages échangés avec les professionnels, pièces jointes éventuelles, horodatage Nécessaire à la mise en relation
Paiements Historique des transactions (montant, date, professionnel concerné). Les données bancaires (numéro de carte, CVV, IBAN) ne sont jamais collectées ni stockées par Neuro Care : elles sont traitées exclusivement par Stripe. Nécessaire au paiement
Données de navigation Adresse IP, type de navigateur, pages consultées, durée de visite Voir section 12 « Cookies »

2.2 Données collectées côté « Professionnel »

Catégorie Données concernées Caractère
Identité Prénom, nom, email, téléphone, genre, photo de profil Obligatoire
Identité légale Numéro SIRET, statut juridique (libéral, salarié, micro-entrepreneur…) Obligatoire
Documents de vérification Pièce d'identité (CNI, passeport, titre de séjour), diplômes et titres, extrait de casier judiciaire bulletin n°3, attestation de Responsabilité Civile Professionnelle Obligatoire — accès restreint
Profil public Bio, spécialisations, tarifs, années d'expérience, langues parlées, vidéo de présentation, CV (PDF) Saisi par le professionnel
Données financières Stripe Connect ID (identifiant du compte Stripe rattaché au professionnel). Aucune coordonnée bancaire détaillée n'est stockée par Neuro Care Nécessaire à la rémunération
Données d'usage Avis reçus, statistiques de visites du profil, taux de réponse Générées automatiquement

2.3 Données collectées via cookies et traceurs

Voir section 12 « Cookies et traceurs » pour le détail.

3. Finalités, bases légales et durées de conservation

Conformément à l'article 6 du RGPD, chaque traitement repose sur une base légale précise. Le tableau ci-dessous récapitule les principales finalités :

Finalité du traitement Base légale (art. 6 RGPD) Durée de conservation
Création et gestion du compte utilisateur (Famille ou Pro) Exécution du contrat (art. 6.1.b) — Conditions Générales d'Utilisation Durée de vie du compte + 3 ans après dernière activité, puis suppression ou anonymisation
Mise en relation Famille/Professionnel (annonces, recherche, profils, messagerie) Exécution du contrat (art. 6.1.b) Durée de vie du compte
Traitement des données potentiellement sensibles relatives aux TND (profil enfant, annonces) Consentement explicite (art. 9.2.a) — recueilli au moment de la saisie Jusqu'au retrait du consentement ou suppression du compte
Vérification de l'identité et des qualifications des professionnels (KYC) Obligation légale (art. 6.1.c) + Intérêt légitime (art. 6.1.f) — sécurité des familles Documents conservés pendant toute la durée du compte + 5 ans après clôture pour preuve de contrôle
Traitement des paiements et facturation Exécution du contrat (art. 6.1.b) + Obligation légale (art. 6.1.c) — Code de commerce Données de facturation conservées 10 ans (art. L.123-22 Code de commerce)
Lutte contre la fraude et sécurité de la Plateforme Intérêt légitime (art. 6.1.f) 13 mois maximum pour les logs de sécurité
Envoi d'emails transactionnels (confirmation, notifications) Exécution du contrat (art. 6.1.b) Durée de vie du compte
Envoi de communications marketing et newsletters Consentement (art. 6.1.a) Jusqu'au retrait du consentement (lien de désabonnement dans chaque email)
Statistiques d'usage anonymisées (Vercel Analytics) Intérêt légitime (art. 6.1.f) — données anonymisées, sans cookie 25 mois maximum
Mesure d'audience et publicité ciblée (Meta Pixel) Consentement (art. 6.1.a) — recueilli via le bandeau cookies 13 mois maximum
Réponse aux demandes d'exercice des droits RGPD Obligation légale (art. 6.1.c) 3 ans après clôture de la demande
Gestion des litiges et contentieux Intérêt légitime (art. 6.1.f) Durée de la prescription légale applicable (généralement 5 ans)

3.1 Précisions sur les durées de conservation

  • Compte actif : tant que vous utilisez la Plateforme, vos données sont conservées.
  • Compte inactif : après 3 ans sans connexion ni activité, un email vous est adressé. Sans réponse dans les 30 jours, le compte est anonymisé ou supprimé.
  • Après suppression du compte : vos données sont supprimées sous 30 jours, à l'exception :
    • des données de facturation (factures émises) conservées 10 ans en archivage légal restreint ;
    • des documents de vérification professionnelle conservés 5 ans après clôture en archivage à des fins probatoires ;
    • des données rendues anonymes (statistiques agrégées) qui peuvent être conservées sans limite.
  • Messages échangés : conservés tant que l'un des deux comptes existe, puis supprimés.
  • Avis publiés : peuvent être anonymisés mais conservés (intérêt légitime à la transparence de la Plateforme).

4. Destinataires des données

Vos données personnelles sont strictement destinées :

  • à vous-même et aux utilisateurs avec lesquels vous interagissez via la Plateforme (la Famille voit le profil du Pro, et inversement, dans la limite des informations rendues publiques) ;
  • aux équipes internes de Neuro Care habilitées (administration de la Plateforme, modération, support client), dans la stricte mesure du nécessaire ;
  • aux sous-traitants techniques listés ci-dessous, agissant sur instruction du responsable de traitement et sous contrat conforme à l'article 28 du RGPD ;
  • aux autorités administratives et judiciaires sur réquisition légale.

4.1 Liste des sous-traitants et tiers

Sous-traitant Finalité Localisation Encadrement du transfert
Vercel Inc. Hébergement de l'application, CDN États-Unis (société mère) — serveurs déployés à Francfort (Allemagne, UE) par défaut Voir section 5 — CCT + DPF
Supabase Inc. Base de données PostgreSQL et stockage de fichiers (documents, CV, photos) États-Unis (société mère) — infrastructure AWS région eu-central-1 (Francfort, Allemagne, UE) Voir section 5 — CCT
Resend Envoi d'emails transactionnels (confirmations, notifications) États-Unis / UE Voir section 5 — CCT + DPF
Stripe Payments Europe Ltd Traitement des paiements, Stripe Connect (rémunération des pros), facturation Irlande (UE) Aucun transfert hors UE pour les données de paiement européennes
Meta Platforms Ireland Ltd Mesure d'audience publicitaire (Meta Pixel) — uniquement si consentement Irlande (UE) — transferts vers États-Unis Voir section 5 — CCT + DPF
OpenStreetMap Foundation Affichage cartographique Royaume-Uni / UE Décision d'adéquation UE-UK
API Adresse data.gouv.fr (Etalab) Géocodage des adresses France Aucun transfert hors UE

Aucune donnée personnelle n'est cédée, vendue ou louée à des tiers à des fins commerciales.

5. Transferts de données hors Union européenne

Certains de nos sous-traitants ont leur siège social aux États-Unis (Vercel, Resend, Meta) ou peuvent y opérer des transferts. Bien que l'infrastructure de stockage soit principalement localisée dans l'Union européenne (Francfort, Allemagne), des transferts ponctuels vers les États-Unis peuvent intervenir, notamment pour la maintenance, le support technique ou l'analyse.

Conformément aux articles 44 à 49 du RGPD, ces transferts sont encadrés par :

  1. Les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne le 4 juin 2021 (Décision 2021/914), intégrées aux contrats avec nos sous-traitants ;
  2. Le Data Privacy Framework (DPF) — Cadre de protection des données UE-États-Unis adopté par la décision d'adéquation de la Commission européenne du 10 juillet 2023. Vercel Inc., Meta Platforms Inc. et Resend sont (ou sont en cours de) certifiés DPF, ce qui offre un niveau de protection équivalent à celui de l'Union européenne ;
  3. Des mesures techniques complémentaires : chiffrement en transit (HTTPS/TLS 1.3) et au repos, contrôle d'accès strict, pseudonymisation lorsque possible.

Vous êtes informé que, malgré ces garanties, la jurisprudence dite « Schrems II » (CJUE, 16 juillet 2020, C-311/18) rappelle que la législation américaine peut, dans certains cas, permettre aux autorités américaines d'accéder à des données. Si vous ne souhaitez pas que vos données soient transférées vers les États-Unis, vous pouvez vous opposer à l'utilisation de Meta Pixel via le bandeau cookies. En revanche, les transferts liés à l'hébergement (Vercel, Supabase, Resend) sont nécessaires au fonctionnement de la Plateforme et leur refus implique l'impossibilité d'utiliser le service.

6. Vos droits en matière de protection des données

Conformément aux articles 15 à 22 du RGPD et aux articles 49 et suivants de la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :

6.1 Droit d'accès (art. 15 RGPD)

Vous pouvez obtenir la confirmation que des données vous concernant sont traitées et en demander une copie.

6.2 Droit de rectification (art. 16 RGPD)

Vous pouvez demander la correction de données inexactes ou incomplètes. La plupart des informations sont également modifiables directement depuis votre espace personnel.

6.3 Droit à l'effacement / « droit à l'oubli » (art. 17 RGPD)

Vous pouvez demander la suppression de vos données, sauf si leur conservation est nécessaire pour respecter une obligation légale (facturation, lutte anti-fraude) ou pour la constatation, l'exercice ou la défense d'un droit en justice.

6.4 Droit d'opposition (art. 21 RGPD)

Vous pouvez vous opposer, à tout moment, au traitement de vos données fondé sur l'intérêt légitime, ainsi qu'à toute prospection commerciale.

6.5 Droit à la limitation du traitement (art. 18 RGPD)

Vous pouvez demander la suspension temporaire d'un traitement, notamment en cas de contestation de l'exactitude des données.

6.6 Droit à la portabilité (art. 20 RGPD)

Vous pouvez récupérer vos données dans un format structuré, couramment utilisé et lisible par machine (JSON ou CSV), pour les traitements reposant sur le consentement ou l'exécution d'un contrat.

6.7 Droit au retrait du consentement (art. 7 RGPD)

Lorsque le traitement repose sur votre consentement (cookies non essentiels, marketing, données sensibles), vous pouvez le retirer à tout moment, sans que cela n'affecte la licéité du traitement antérieur.

6.8 Droits relatifs aux décisions automatisées (art. 22 RGPD)

La Plateforme ne prend aucune décision entièrement automatisée produisant des effets juridiques à votre égard.

6.9 Directives post-mortem (art. 85 loi Informatique et Libertés)

Conformément à l'article 85 de la loi Informatique et Libertés, vous avez le droit de définir des directives relatives à la conservation, à l'effacement et à la communication de vos données après votre décès. Ces directives peuvent être générales (auprès d'un tiers certifié par la CNIL) ou particulières (transmises directement à Neuro Care à l'adresse contact@neuro-care.fr). À défaut de directives, vos héritiers peuvent exercer certains droits en justifiant de leur qualité.

7. Comment exercer vos droits

Pour exercer l'un des droits énumérés à la section 6, vous pouvez :

  • Adresser un email à contact@neuro-care.fr en précisant la nature de votre demande ;
  • Écrire par courrier postal à : Nebbache Zakariya — Neuro Care, 401 Avenue de Monsieur Teste, 34070 Montpellier, France.

Afin de garantir la confidentialité de vos données, il pourra vous être demandé de justifier de votre identité (par exemple par la production d'une copie d'une pièce d'identité). Cette copie est détruite immédiatement après vérification.

Délai de réponse : Conformément à l'article 12 du RGPD, votre demande sera traitée dans un délai d'un (1) mois maximum à compter de sa réception. Ce délai peut être prolongé de deux mois supplémentaires en cas de complexité particulière, auquel cas vous en serez informé.

L'exercice de vos droits est gratuit, sauf demande manifestement infondée ou excessive.

8. Réclamation auprès de la CNIL

Si vous estimez, après nous avoir contactés, que vos droits n'ont pas été respectés, vous disposez du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

  • Adresse postale : CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
  • Téléphone : 01 53 73 22 22
  • Formulaire en ligne : https://www.cnil.fr/fr/plaintes

9. Sécurité des données

Neuro Care met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques, conformément à l'article 32 du RGPD :

9.1 Mesures techniques

  • Chiffrement en transit : l'intégralité des échanges entre votre navigateur et la Plateforme est chiffrée via le protocole HTTPS (TLS 1.3) ;
  • Chiffrement au repos : les bases de données et le stockage de fichiers (Supabase) sont chiffrés au repos (AES-256) ;
  • Hachage des mots de passe : les mots de passe ne sont jamais stockés en clair. Ils sont hachés avec l'algorithme bcrypt (ou équivalent) avec sel unique ;
  • Row Level Security (RLS) : la base de données Supabase est protégée par des politiques de sécurité au niveau ligne, garantissant qu'un utilisateur ne peut accéder qu'à ses propres données ;
  • Authentification à deux facteurs (MFA) : obligatoire pour tous les comptes administrateurs ;
  • Sauvegardes : des sauvegardes quotidiennes chiffrées sont réalisées, conservées 30 jours ;
  • Pare-feu applicatif et protection contre les attaques par déni de service (DDoS) via Vercel ;
  • Surveillance : journalisation des accès sensibles et détection d'anomalies.

9.2 Mesures organisationnelles

  • Accès restreint aux données selon le principe du moindre privilège : seules les personnes habilitées peuvent accéder aux données et uniquement dans la limite de leurs missions ;
  • Engagement de confidentialité signé par toute personne ayant accès aux données ;
  • Contrats de sous-traitance conformes à l'article 28 du RGPD avec chaque prestataire ;
  • Sensibilisation régulière à la protection des données.

9.3 Notification de violation

En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, Neuro Care s'engage à notifier la CNIL dans un délai de 72 heures (art. 33 RGPD) et à vous en informer dans les meilleurs délais lorsque la violation est susceptible d'engendrer un risque élevé (art. 34 RGPD).

10. Mineurs

La Plateforme est susceptible de traiter des informations relatives à des mineurs, notamment dans les profils d'enfants ou les annonces publiées par les familles concernant un enfant neuro-atypique.

Principes appliqués :

  1. Consentement parental : seul un parent, titulaire de l'autorité parentale, ou le représentant légal peut publier des informations relatives à un mineur. En créant un compte « Famille » et en saisissant des informations sur un enfant, vous garantissez détenir l'autorité parentale ou la qualité de représentant légal.
  2. Minimisation des données : seules les données strictement nécessaires sont collectées concernant le mineur — prénom (ou pseudonyme), âge, type(s) de TND déclaré(s). Aucun identifiant direct (nom de famille, adresse précise, école, photo) n'est demandé ni autorisé dans les profils d'enfants.
  3. Pas de compte direct pour les mineurs de moins de 15 ans : conformément à l'article 7-1 de la loi Informatique et Libertés, l'inscription directe d'un mineur de moins de 15 ans n'est pas autorisée sur la Plateforme.
  4. Données potentiellement sensibles : la mention d'un TND constitue une donnée pouvant relever de l'article 9 du RGPD. Elle n'est traitée que sur la base du consentement explicite et libre du parent.
  5. Droit à l'effacement renforcé : conformément à l'article 17.1.f du RGPD et à l'article 51 de la loi Informatique et Libertés, toute demande de suppression de données concernant un mineur est traitée en priorité, sous 15 jours maximum.

Les parents et représentants légaux peuvent à tout moment exercer les droits prévus à la section 6 au nom du mineur.

11. Données potentiellement sensibles — précisions

La Plateforme peut être amenée à traiter des données relevant de l'article 9 du RGPD (« catégories particulières de données »), notamment :

  • La mention d'un Trouble du Neuro-Développement dans le profil enfant ou dans une annonce ;
  • La profession des professionnels (psychologue, orthophoniste, etc.) qui peut être associée à une orientation thérapeutique.

Encadrement spécifique :

  • Ces données sont traitées uniquement sur la base du consentement explicite (art. 9.2.a RGPD), recueilli par une case à cocher dédiée au moment de la saisie ;
  • Aucun diagnostic médical, dossier médical, prescription, compte-rendu de consultation ou donnée biométrique n'est collecté par la Plateforme ;
  • Neuro Care n'est pas un hébergeur certifié HDS et ne saurait être utilisé pour stocker des dossiers de santé ;
  • Les utilisateurs sont invités à ne pas partager d'informations médicales détaillées via la messagerie ou les annonces.

12. Cookies et traceurs

12.1 Qu'est-ce qu'un cookie ?

Un cookie est un petit fichier texte déposé sur votre terminal (ordinateur, smartphone, tablette) lorsque vous consultez un site web. Il permet de mémoriser des informations relatives à votre navigation.

12.2 Recueil du consentement

Lors de votre première visite sur la Plateforme, un bandeau cookies vous permet de :

  • Accepter l'ensemble des cookies ;
  • Refuser tous les cookies non essentiels ;
  • Personnaliser votre choix par catégorie.

Votre choix est conservé pendant 6 mois maximum. À tout moment, vous pouvez modifier vos préférences via le lien « Gérer mes cookies » présent en pied de page de la Plateforme.

12.3 Liste des cookies utilisés

Nom / Service Finalité Catégorie Durée Base légale
sb-access-token, sb-refresh-token (Supabase) Authentification et maintien de la session utilisateur Strictement nécessaire Session / 7 jours Exécution du contrat
neurocare-cookie-consent Mémorisation de vos choix concernant les cookies Strictement nécessaire 6 mois Obligation légale (art. 82 LIL)
neurocare-csrf-token Protection contre les attaques CSRF Strictement nécessaire Session Intérêt légitime (sécurité)
Vercel Web Analytics (_vercel_*) Mesure d'audience anonymisée (sans cookie d'identification croisée) — pages vues, vitesse de chargement Mesure d'audience anonyme 25 mois Intérêt légitime (exempté de consentement CNIL)
Meta Pixel (_fbp, _fbc) Mesure d'efficacité publicitaire Facebook/Instagram, retargeting Publicitaire 13 mois maximum Consentement
Meta Pixel — fr (Meta) Identification cross-site Meta Publicitaire 90 jours Consentement

Note importante : les cookies « strictement nécessaires » sont indispensables au fonctionnement de la Plateforme et ne peuvent pas être désactivés. Les cookies publicitaires (Meta Pixel) ne sont déposés qu'après votre consentement explicite.

12.4 Retrait du consentement

Vous pouvez à tout moment retirer votre consentement :

  • via le lien « Gérer mes cookies » en pied de page ;
  • en supprimant les cookies déjà déposés depuis les paramètres de votre navigateur ;
  • en activant l'option « Do Not Track » de votre navigateur (que Neuro Care respecte).

13. Modifications de la présente politique

Neuro Care se réserve le droit de modifier la présente Politique de confidentialité à tout moment, notamment pour :

  • s'adapter à l'évolution de la législation ou de la jurisprudence ;
  • intégrer de nouveaux services ou sous-traitants ;
  • améliorer la transparence et la lisibilité du document.

En cas de modification substantielle (par exemple, ajout d'un nouveau sous-traitant hors UE, modification des finalités, allongement des durées de conservation), vous serez informé :

  • par un email envoyé à l'adresse associée à votre compte ;
  • par un bandeau d'information affiché sur la Plateforme ;
  • au moins 30 jours avant l'entrée en vigueur des modifications.

La version applicable est toujours celle datée en tête du présent document. Les versions antérieures peuvent être consultées sur demande à contact@neuro-care.fr.

14. Contact

Pour toute question, remarque ou demande relative à la présente Politique de confidentialité ou au traitement de vos données personnelles :

  • Email : contact@neuro-care.fr
  • Courrier : Nebbache Zakariya — Neuro Care, 401 Avenue de Monsieur Teste, 34070 Montpellier, France

Nous nous engageons à vous répondre dans les meilleurs délais et, en tout état de cause, dans un délai d'un (1) mois maximum à compter de la réception de votre demande.

Document rédigé en français, langue de référence. Date d'entrée en vigueur : 27 mai 2026.

Document mis à jour le 27 mai 2026. Pour toute question juridique : contact@neuro-care.fr