Cette page décrit nos engagements en matière de sécurité et d'authentification email, ainsi que les moyens de signaler une faille ou un comportement abusif.
Procédure en cas de violation de données (RGPD art. 33-34)
En cas de violation de données à caractère personnel, nous appliquons la procédure suivante :
- Détection et confinement — révocation immédiate des accès compromis, isolement des systèmes concernés, conservation des journaux pour analyse.
- Évaluation du risque — nature et catégories de données concernées, nombre approximatif de personnes touchées, conséquences probables.
- Notification à la CNIL sous 72 heures via le téléservice cnil.fr (RGPD art. 33), sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertés.
- Information des personnes concernées par email dès lors que le risque est élevé (RGPD art. 34) — y compris les professionnels abonnés et, via eux, leurs clients finaux affectés.
- Documentation interne — chaque incident est consigné dans un registre interne (faits, effets, mesures correctives) conformément à l'art. 33.5.
Pour signaler un incident : écrivez à contact@prise-de-rdv.fr avec mention « Incident sécurité » en objet.
Signaler une faille
Si vous pensez avoir découvert une vulnérabilité ou un comportement abusif lié à prise-de-rdv.fr, écrivez à contact@prise-de-rdv.fr. Nous nous engageons à accuser réception sous 72 heures et à traiter les rapports légitimes en priorité. Merci de ne pas divulguer publiquement la faille avant que nous ayons pu la corriger (divulgation coordonnée).
Un fichier /.well-known/security.txt conforme à la RFC 9116 est publié sur ce domaine.
Authentification email
Tous les emails envoyés depuis @prise-de-rdv.fr (lien de connexion, confirmation de rendez-vous, rappels) sont authentifiés selon les standards suivants :
- SPFSender Policy Framework — liste blanche des serveurs autorisés à envoyer en notre nom (IONOS + Brevo).
- DKIMDomainKeys Identified Mail — signature cryptographique qui prouve que le contenu n'a pas été altéré en transit.
- DMARCDomain-based Message Authentication — politique de traitement des emails non authentifiés, publiée publiquement.
Si vous recevez un email prétendant venir de prise-de-rdv.fr mais qui échoue l'un de ces contrôles (marqué « non authentifié » ou « suspect » par votre messagerie), il s'agit vraisemblablement d'une tentative d'usurpation. Merci de nous le signaler à l'adresse ci-dessus en joignant les en-têtes complets.
Ce que nous ne faisons pas
- —Nous ne collectons aucune donnée bancaire. Les paiements passent par Stripe ; nous n'avons jamais accès à vos numéros de carte.
- —Nous ne collectons aucune donnée médicale, aucune pièce d'identité, aucun document sensible.
- —Nous ne proposons aucun téléchargement de logiciel ou d'exécutable depuis ce site.
- —Nous n'imitons aucune marque tierce (banque, service public, plateforme médicale, etc.). prise-de-rdv.fr est un outil SaaS indépendant.
- —Nous ne revendons aucune donnée personnelle. Voir la politique de confidentialité.
Connexion sans mot de passe
Nous utilisons un système de connexion par lien email à usage unique, un standard utilisé par Slack, Notion, Linear et Vercel. Ce lien expire au bout de 30 minutes et ne peut être utilisé qu'une seule fois. Si vous recevez un email de connexion que vous n'avez pas demandé, ignorez-le : personne ne peut accéder à votre compte sans cliquer dessus.
Hébergement et juridiction
Serveurs hébergés en France (Strasbourg). Données stockées exclusivement dans l'Union européenne. Conformité RGPD détaillée dans notre politique de confidentialité.