Vous utilisez Moofl pour gérer vos dossiers patients, vos séances ou votre facturation. Ces données constituent des données de santé au sens de l'article 9 du RGPD (Règlement général sur la protection des données, UE 2016/679) : elles appartiennent aux catégories de données dites particulières, soumises à un régime de protection renforcé et strictement encadrées.
Cet article décrit en détail comment Moofl traite ces données en tant que sous-traitant, les mesures de sécurité déployées, vos droits en tant que responsable de traitement et vos obligations légales propres. Il s'adresse au logopède exerçant en Belgique, qu'il exerce en cabinet individuel ou en structure collective.
La politique de confidentialité complète de Moofl est disponible sur moofl.com. Pour toute question relative à la protection des données ou pour exercer un droit RGPD, contactez Moofl à l'adresse dédiée ci-dessous.
Vous souhaitez exercer un droit RGPD ou poser une question juridique ?
Pour exercer vos droits RGPD (accès, rectification, effacement, portabilité...) : [email protected]
Pour toute question juridique ou contractuelle : [email protected]
Notions clés du RGPD : définitions de référence
Les termes ci-dessous ont une signification juridique précise, définie par le RGPD. Les principes fondateurs et les quatre notions clés permettent de comprendre le cadre applicable et la relation entre vous et Moofl.
Les 7 principes fondateurs du RGPD (art. 5 RGPD)
Entrés en vigueur le 25 mai 2018, ces principes s'imposent à tout responsable de traitement et à ses sous-traitants :
Licéité, loyauté et transparence (art. 5.1.a) : le traitement doit reposer sur une base juridique et être transparent envers les personnes.
Limitation des finalités (art. 5.1.b) : les données ne sont collectées que pour des finalités déterminées, explicites et légitimes.
Minimisation des données (art. 5.1.c) : seules les données adéquates, pertinentes et strictement nécessaires sont traitées.
Exactitude (art. 5.1.d) : les données doivent être exactes et, si nécessaire, tenues à jour.
Limitation de la conservation (art. 5.1.e) : les données ne sont pas conservées sous une forme permettant l'identification au-delà de la durée nécessaire.
Intégrité et confidentialité (art. 5.1.f) : les données font l'objet de mesures techniques et organisationnelles appropriées contre les accès non autorisés.
Responsabilité (accountability) (art. 5.2) : le responsable de traitement est en mesure de démontrer sa conformité à ces principes.
Responsable de traitement (art. 4.7 RGPD)
La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel. En tant que logopède utilisant Moofl, vous êtes le responsable de traitement des données de vos patients : c'est vous qui décidez pourquoi et comment ces données sont collectées et utilisées.
Sous-traitant (art. 4.8 RGPD)
La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement. Moofl est votre sous-traitant : il traite vos données patients exclusivement sur vos instructions, dans les limites du contrat qui nous lie. Il n'a pas de finalité propre sur ces données.
Traitement (art. 4.2 RGPD)
Toute opération ou ensemble d'opérations effectuées, ou non, à l'aide de procédés automatisés et appliquées à des données à caractère personnel : collecte, enregistrement, organisation, structuration, stockage, adaptation, modification, extraction, consultation, utilisation, communication, diffusion, effacement ou destruction. La simple consultation d'un dossier patient dans Moofl constitue un traitement au sens du RGPD.
DPA : Data Processing Agreement (art. 28 RGPD)
L'accord de traitement des données est le contrat obligatoire conclu entre le responsable de traitement et le sous-traitant. Il documente les instructions du responsable, les obligations de sécurité du sous-traitant, les conditions de recours à des sous-traitants additionnels et les modalités de fin de contrat (restitution ou suppression des données). Le DPA de Moofl est disponible sur moofl.com ou sur demande à [email protected].
Où sont hébergées vos données ?
Toutes vos données sont hébergées sur l'infrastructure d'Infomaniak, entreprise suisse indépendante fondée à Genève, dont les centres de données sont situés dans le canton de Genève, en Suisse. La Suisse bénéficie d'une décision d'adéquation de la Commission européenne, confirmée en janvier 2024 après l'entrée en vigueur de la nouvelle loi suisse sur la protection des données (nLPD). Vos données restent dans cette juridiction et ne transitent pas vers des infrastructures soumises au Cloud Act américain ou à la section 702 du FISA.
Lorsque des sous-traitants de Moofl sont établis hors de l'UE/EEE, les transferts de données sont encadrés par des garanties appropriées au sens de l'article 46 du RGPD, notamment des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne.
Consultez l'article dédié sur notre choix d'hébergeur.
Comment vos données sont-elles protégées ?
Les mesures de sécurité déployées par Moofl relèvent à la fois des obligations de l'article 32 du RGPD (mesures techniques et organisationnelles appropriées) et des engagements souscrits dans le DPA conclu avec chaque responsable de traitement.
Mesures techniques et organisationnelles en place
Chiffrement en transit : communications protégées par TLS 1.3 avec HSTS actif, suites cryptographiques AEAD (AES-GCM, ChaCha20-Poly1305).
Chiffrement applicatif des fichiers sensibles : les données sensibles sont chiffrées côté applicatif avant envoi vers le stockage.
Gestion des clés cryptographiques : les clés sensibles sont gérées dans un périmètre séparé via OVHcloud, distinct de l'infrastructure principale Infomaniak.
Sauvegardes quotidiennes selon la stratégie Grandfather-Father-Son.
Accès restreint : accès selon le principe du moindre privilège.
Plan de continuité interne documenté : paramètres disponibles dans le DPA sur demande à [email protected].
Double authentification (2FA)
La double authentification (2FA) est mise en place pour renforcer la sécurité des comptes Moofl. Elle complète l'authentification par mot de passe avec une couche de vérification supplémentaire.
En cas de violation de données : notification sous 72 heures
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, Moofl s'engage à vous notifier sans délai injustifié après avoir eu connaissance de l'incident (art. 33.2 RGPD : le sous-traitant informe le responsable sans délai).
C'est vous, en tant que responsable de traitement, qui devez ensuite notifier l'Autorité de Protection des Données (APD) dans les 72 heures suivant votre propre prise de connaissance (art. 33.1 RGPD). Si le risque est élevé, vous devez également en informer les personnes concernées (art. 34 RGPD). Cette distinction sous-traitant/responsable est développée dans la section relative à vos obligations ci-dessous.
Pour plus de détail, consultez notre article.
Vos droits RGPD : comment les exercer ?
En tant que responsable de traitement, vous disposez de droits sur les données que vous confiez à Moofl. Ces droits sont distincts de vos propres obligations envers vos patients : ils concernent la relation contractuelle entre vous et Moofl.
Les six droits que vous pouvez exercer
Droit d'accès (art. 15 RGPD) : obtenir confirmation que vos données sont traitées et en recevoir une copie.
Droit de rectification (art. 16 RGPD) : faire corriger des données inexactes ou incomplètes vous concernant.
Droit à l'effacement (art. 17 RGPD) : demander la suppression de vos données lorsqu'elles ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées, ou lorsque vous retirez votre consentement.
Droit à la portabilité (art. 20 RGPD) : recevoir vos données dans un format structuré et les transmettre à un autre responsable de traitement. Moofl propose l'export en Excel par défaut, et en CSV ou XML sur demande.
Droit d'opposition (art. 21 RGPD) : vous opposer au traitement de vos données fondé sur un intérêt légitime.
Droit à la limitation du traitement (art. 18 RGPD) : demander que le traitement soit restreint pendant la durée nécessaire à la vérification d'une contestation.
Export de vos données
Vous pouvez exporter l'intégralité de vos données depuis Moofl à tout moment:
Format Excel par défaut, directement depuis l'interface
Formats CSV et XML disponibles sur demande à [email protected]
L'assistance à la migration vers un autre logiciel est comprise dans votre abonnement.
Procédure d'exercice et délai de réponse (art. 12 RGPD)
Adressez votre demande par e-mail à [email protected] en indiquant le droit que vous souhaitez exercer et les données concernées. Moofl doit répondre dans un délai d'un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires en cas de demande complexe ou en nombre important ; vous en serez informé dans le délai initial d'un mois. La réponse est gratuite, sauf si les demandes sont manifestement infondées ou excessives.
Recours auprès de l'Autorité de Protection des Données belge
Si vous estimez que le traitement de vos données porte atteinte au RGPD, vous pouvez introduire une plainte auprès de l'Autorité de Protection des Données (APD), autorité de contrôle compétente en Belgique. Contact et formulaire de plainte disponibles sur autoriteprotectiondonnees.be.
Vos obligations en tant que responsable de traitement
La relation contractuelle avec Moofl (DPA, art. 28 RGPD) vous décharge de certaines obligations opérationnelles de sécurité technique, mais elle ne vous décharge pas de vos obligations propres de responsable de traitement. Le RGPD en impose plusieurs principalement applicables à un cabinet de logopède.
Art. 30 RGPD : tenir un registre des activités de traitement
Tout responsable de traitement est tenu de maintenir un registre écrit (y compris électronique) documentant l'ensemble de ses activités de traitement. Pour un logopède, ce registre doit mentionner notamment : les finalités du traitement (soins, facturation, rappels de rendez-vous), les catégories de personnes concernées (patients), les catégories de données traitées (données de santé, données administratives), les éventuels destinataires (mutuelles, INAMI), les sous-traitants utilisés (dont Moofl) et les mesures de sécurité prévues.
L'exception prévue pour les organisations de moins de 250 personnes ne s'applique pas ici : le traitement de données de santé (catégories particulières, art. 9 RGPD) est systématiquement exclu de cette exemption. Ce registre doit être communiqué à l'APD sur demande.
Art. 13 RGPD : informer vos patients lors de la collecte de leurs données
Lorsque vous collectez des données auprès de vos patients, vous devez leur communiquer un ensemble d'informations obligatoires : votre identité et coordonnées en qualité de responsable de traitement, les finalités et bases juridiques du traitement, la durée de conservation, les destinataires éventuels des données, les droits dont ils disposent (accès, rectification, effacement, opposition) et la possibilité d'introduire une plainte auprès de l'APD. Cette obligation d'information vous appartient en propre ; elle ne peut pas être déléguée à Moofl.
Base légale du traitement et limite au droit à l'effacement
En tant que logopède, vous n'avez pas à recueillir un consentement explicite de vos patients pour traiter leurs données de santé. La base juridique applicable est l'article 9.2.h du RGPD (soins de santé), combiné à l'obligation légale de conservation de 30 ans (loi du 22 avril 2019). Cette base légale ne nécessite pas de consentement explicite : elle découle de la finalité de soin et de l'obligation légale de conservation.
Corollaire : un patient peut demander la suppression de ses données (art. 17 RGPD), mais vous pouvez légitimement vous y opposer tant que le délai légal de conservation n'est pas expiré. L'obligation légale de conservation prime sur le droit à l'effacement individuel pendant ces 30 ans.
Art. 32 RGPD : sécurité à votre propre niveau
L'obligation de sécurité de l'article 32 s'applique à vous en tant que responsable de traitement, indépendamment des mesures déployées par Moofl. Cela couvre notamment : la sécurisation de l'accès à votre ordinateur et à votre compte Moofl (mot de passe robuste et 2FA), la protection de votre réseau local, la gestion des accès si vous exercez en cabinet collectif avec plusieurs praticiens sous un même abonnement, et la prévention des accès non autorisés à votre interface Moofl.
Art. 83 RGPD : sanctions financières en cas de non-conformité
Les violations des principes fondamentaux du RGPD (art. 5, 6, 7, 9) sont passibles d'amendes administratives pouvant atteindre 20 000 000 EUR ou 4 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu). Pour les violations d'obligations secondaires (art. 25 à 39, certifications), le plafond est de 10 000 000 EUR ou 2 % du chiffre d'affaires.
Ces montants s'appliquent à tout responsable de traitement, quelle que soit sa taille. Pour un cabinet individuel de logopède, les autorités de contrôle tiennent compte des 11 critères de l'article 83.2 (nature de l'infraction, caractère intentionnel, coopération, antécédents, etc.), ce qui conduit généralement à des montants proportionnés. La mise en conformité préalable reste le meilleur facteur atténuant.
Art. 33 et 34 RGPD : notification en cas de violation de données
La distinction entre votre rôle et celui de Moofl est ici essentielle :
Moofl (sous-traitant, art. 33.2) : notifie le responsable de traitement sans délai injustifié après avoir eu connaissance d'une violation.
Vous (responsable de traitement, art. 33.1) : devez notifier l'APD belge dans les 72 heures suivant votre propre prise de connaissance, sauf si la violation est peu susceptible d'engendrer un risque pour les droits et libertés des personnes.
Vous (art. 34) : si la violation est susceptible d'engendrer un risque élevé, vous devez également en informer les personnes concernées (vos patients) sans délai injustifié. Cette obligation ne s'applique pas si les données étaient chiffrées ou si des mesures post-incident ont éliminé le risque.
Le DPA Moofl est l'instrument contractuel (art. 28) qui formalise ces obligations réciproques. Il vous protège en documentant les engagements de Moofl, mais il ne transfère pas votre responsabilité de notification vers Moofl.
Conservation des données et fin d'abonnement
La conservation de vos données obéit à des règles distinctes selon leur nature. Il est important de distinguer les obligations de Moofl des vôtres en tant que professionnel de santé.
Pendant la durée de votre abonnement
Toutes vos données (patients, séances, documents, comptabilité) sont conservées et accessibles dans Moofl tant que votre abonnement est actif.
Vous pouvez exporter l'intégralité de vos données (patients, séances, documents, comptabilité) aux formats disponibles.
Votre obligation légale de conservation : 30 ans minimum
En tant que logopède, vous êtes personnellement tenu de conserver les dossiers de vos patients 30 ans minimum (et au maximum 50 ans) à compter du dernier contact, en vertu de l'article 35 de la loi belge du 22 avril 2019 relative à la qualité de la pratique des soins de santé.
Sources
Règlement (UE) 2016/679 (RGPD) : texte officiel EUR-Lex. Articles 4, 5, 6, 9, 12, 13, 15 à 21, 28, 30, 32 à 34, 46, 83.
Loi belge du 22 avril 2019 relative à la qualité de la pratique des soins de santé : obligation de conservation des dossiers patients 30 ans (art. 35), base légale du traitement (art. 9.2.h RGPD).
Infomaniak, présentation officielle : fondation 1994, Genève, actionnariat employés, centres de données en Suisse, certifications ISO 27001:2022 / ISO 9001 / ISO 14001 / ISO 50001 / B Corp 2025.
Office fédéral de la justice suisse, décision d'adéquation Suisse-UE : reconnaissance par la Commission européenne, confirmée janvier 2024 après entrée en vigueur de la nLPD (1er septembre 2023).
OVHcloud Key Management Service : page officielle OVHcloud présentant le service KMS utilisé par Moofl pour la séparation des clés cryptographiques.
Autorité de Protection des Données (APD) belge : formulaire de plainte, coordonnées et ressources pour les responsables de traitement.
Une question ?
L'équipe Moofl est disponible pour vous
Pour exercer vos droits RGPD (accès, rectification, effacement, portabilité...) : [email protected]
Pour toute question juridique ou contractuelle : [email protected]