EndoData SAS (Société par actions simplifiée) immatriculée au RCS de Paris sous le numéro 820 212 397 dont le siège social est situé au 50 rue Richer, 75009, Paris – France (ci-après « EndoData »)
Version de janvier 2026

Termes clés

Les présentes conditions générales (« CG ») couvrent les conditions d’utilisation et de licence de la solution logicielle hébergée dans le cloud d’EndoData, conçue pour la pratique clinique dentaire, y compris les fonctionnalités basées sur l’IA (« OralData »). L’accès et l’utilisation d’OralData sont soumis (i) aux présentes CG, ainsi qu’à leurs Annexes, y compris l’Annexe relative à la Protection des Données (« Annexe 1 ») et l’Annexe relative à l’Hébergement de Données de Santé (« Annexe 2 »), (ii) aux conditions contenues dans le bon de commande s’y rapportant, qui sont préalablement fournies et discutées avec le client, et (iii) à leur acceptation par le client, ainsi qu’à l’engagement que ses utilisateurs finaux respectent les CG. En cas de conflit ou d’incohérence entre les CG et le bon de commande, les CG prévalent. Les présentes CG prévalent sur toute stipulation contraire figurant sur le bon de commande ou sur tout autre document émanant du client.

Abonnements, modifications et résiliation

Le client peut demander un abonnement mensuel ou annuel à OralData (un « Abonnement »), en envoyant un bon de commande par e-mail à admin@oraldata.ai. Le client doit indiquer les éléments suivants dans le bon de commande : (i) le nombre souhaité de droits d’accès et d’utilisation d’OralData (c’est-à-dire le nombre d’utilisateurs finaux), (ii) la date souhaitée d’ouverture de l’accès à OralData, et (iii) l’adresse de facturation. Une fois le bon de commande reçu, EndoData accepte ou refuse la commande du client par e-mail dans un délai raisonnable. Tout bon de commande accepté ne peut être changé ou modifié que par un accord écrit et signé à la fois par le client et par EndoData indiquant les détails de la modification à apporter ainsi que l’impact, le cas échéant, de ces modifications sur le prix et le délai d’installation. Un Abonnement peut être résilié par le client, sans pénalité et sans avoir à porter l’affaire devant le tribunal compétent, en notifiant la résiliation à EndoData par e-mail à admin@oraldata.ai, au moins sept (7) jours calendaires avant la fin de chaque mois. EndoData accusera expressément réception de cette résiliation par écrit et, le cas échéant, informera le client de tout montant restant dû par le client. En tout état de cause, il n’y aura aucun remboursement des sommes déjà versées par le client. À la résiliation, toutes les licences existantes d’utilisation d’OralData et de sa documentation prendront fin et le client devra promptement, avec ou sans l’assistance d’EndoData, désinstaller, détruire ou retourner à EndoData toutes les copies d’OralData et de sa documentation, et certifier par écrit que toutes les copies, y compris les copies de sauvegarde, ont été désinstallées, détruites ou retournées à EndoData.

Réclamations

OralData est considéré comme livré lorsque le client se voit fournir les identifiants permettant d’accéder à OralData. Immédiatement après le premier accès à OralData, le client doit notifier à EndoData, par écrit, toute réclamation en cas de défauts ou de défaillances constatés. Le client doit indiquer dans la réclamation le numéro de commande ainsi que tous les justificatifs concernant la réalité des défauts ou défaillances constatés. La réclamation du client n’est considérée comme reçue par EndoData que si EndoData en accuse réception par écrit. Si le client ne formule aucune réclamation dans un délai de cinq (5) jours suivant le premier accès à OralData, OralData sera définitivement réputé conforme à la commande passée et avoir été irrévocablement accepté par le client.

Formation

Au début du premier Abonnement à OralData, EndoData dispensera une formation à l’utilisation d’OralData. Cette formation sera dispensée pour une durée maximale de deux (2) heures au personnel du client disposant des connaissances techniques nécessaires à l’utilisation d’OralData. Nonobstant toute formation pouvant être dispensée gratuitement par EndoData à sa propre discrétion, toute formation dispensée au-delà d’une durée de deux (2) heures pourra faire l’objet d’un devis séparé. Le client reconnaît qu’EndoData ne s’engage à aucune obligation de résultat concernant la formation dispensée au client.

Support

Dans le cadre de l’Abonnement, EndoData fournira au client une assistance helpdesk pour les difficultés rencontrées par le personnel du client dans l’exploitation ou l’utilisation d’OralData, ainsi qu’une maintenance corrective d’OralData. Les demandes d’assistance doivent être envoyées à support@oraldata.ai.

Droit d’utilisation d’OralData

En contrepartie du paiement prévu à l’article « Paiement » ci-dessous, EndoData accorde au client une licence limitée, personnelle, révocable, non exclusive, non transférable et non sous-licenciable d’utilisation d’OralData uniquement à des fins dentaires, pour la durée des présentes CG. Le client est entièrement responsable envers EndoData de toute utilisation d’OralData en violation des présentes CG.

Droits de propriété intellectuelle

EndoData détient tous les droits, titres et intérêts sur l’ensemble des droits de propriété intellectuelle figurant sur, fournis par ou incorporés dans OralData, ainsi que sur toute propriété intellectuelle développée, acquise ou autrement obtenue par EndoData, y compris toute documentation ou livrable fourni au client et toute œuvre dérivée de ceux-ci. Le contenu d’OralData est protégé par le droit d’auteur, les marques et les autres lois relatives à la propriété intellectuelle et connexes. Le client ne doit pas distribuer, modifier, copier, sous-licencier, céder, transférer ou autrement mettre à disposition d’un tiers OralData ou l’une de ses caractéristiques ou fonctionnalités, et ne doit pas copier ou utiliser le contenu d’OralData, en tout ou en partie, contrairement aux intérêts d’EndoData. EndoData ne garantit pas que l’utilisation d’OralData par le client ne contrevient pas aux droits de propriété intellectuelle d’un tiers. Tout retour, rapport de bug ou suggestion du client ou de ses utilisateurs finaux concernant OralData ne confère au client ou aux utilisateurs finaux aucun droit de propriété intellectuelle sur toute nouvelle version ou modification de quelque nature que ce soit d’OralData.

Paiement

Le paiement sera effectué par prélèvement automatique mensuel, et en tout état de cause, devra être effectué dans les trente (30) jours à compter de la date de la facture. Le client reçoit la facture initiale une fois les identifiants fournis pour le premier accès à OralData, comme indiqué à l’article « Réclamations ». Une éventuelle réclamation ne dispense pas le client de régler la facture à l’échéance. En cas de retard de paiement, le taux d’intérêt est égal au taux d’intérêt appliqué par la Banque Centrale Européenne majoré de dix (10) points de pourcentage. Une indemnité forfaitaire de recouvrement de quarante euros (40 €) sera également automatiquement due par le client.

Prix et taxes

Les prix indiqués sur le bon de commande sont en Euros et calculés taxes comprises. Toute taxe, droit ou charge à payer en application du droit français ou étranger est à la charge du client. Les prix sont ceux figurant comme tarif en vigueur le jour de la commande et reflétés sur la confirmation de commande. Les prix sont susceptibles d’être modifiés, à la hausse ou à la baisse, à tout moment et sans préavis à l’entière discrétion d’EndoData jusqu’à ce que le client ait envoyé sa commande et que celle-ci soit confirmée par EndoData. Au cours d’un Abonnement, les prix peuvent être modifiés par EndoData, sous réserve d’un préavis de trois mois au client.

Manquement

En cas de défaut du client relatif au paiement du prix, ou de tout autre manquement tel que, notamment, le défaut d’utilisation d’OralData conformément aux CG, EndoData, à sa discrétion et sans préjudice de tout autre recours légal, peut (i) suspendre les droits d’utilisation prévus à l’article « Droits de propriété intellectuelle » et/ou (ii) annuler la commande sans remboursement des sommes déjà versées par le client. Le client s’engage à payer l’ensemble des frais engagés par EndoData, y compris les honoraires d’avocat et tous autres frais de recouvrement résultant d’un manquement du client aux présentes CG.

Absence de garanties

EndoData ne donne aucune garantie, expresse ou implicite. Par conséquent, EndoData n’accepte ni n’assume aucune responsabilité concernant l’adéquation d’OralData aux exigences du client ou l’atteinte de résultats escomptés. Le client reconnaît qu’en raison des risques inhérents à l’IA générative, tout résultat généré par les fonctionnalités d’OralData basées sur l’IA peut être inexact, incomplet ou contenir des erreurs ou des hallucinations. Le client demeure seul responsable de la révision, de la validation et de l’utilisation de tous les résultats, ainsi que de toute décision ou action en découlant. Dans toute la mesure permise par la loi, la responsabilité totale d’EndoData pour toutes réclamations, pertes, coûts ou dommages, résultant de ou liés de quelque manière que ce soit aux présentes CG ne dépassera pas un montant équivalent au double des frais payés par le client au cours des 12 mois précédents. EndoData ne sera en aucun cas responsable des dommages indirects de quelque nature que ce soit (y compris pertes d’exploitation, pertes de données, préjudice commercial, troubles commerciaux, manques à gagner, atteinte à l’image, cette liste n’étant pas exhaustive) résultant de toute utilisation d’OralData, y compris de tout manquement du client envers un tiers du fait de cette utilisation.

Utilisation d’OralData par le client/utilisateur

OralData est exclusivement destiné à être utilisé par des professionnels de santé dans le cadre de la pratique clinique dentaire, spécifiquement pour améliorer la saisie, le suivi et la visualisation des données au sein des dossiers médicaux des patients ainsi que pour mener des études sur les données des patients. OralData ne peut être utilisé à aucune autre fin. Le client s’engage à respecter ces utilisations prévues. Il incombe au client de maîtriser les risques résultant de l’utilisation d’OralData et d’effectuer toutes les recherches complémentaires nécessaires pour évaluer les risques induits par l’utilisation d’OralData. Le client accepte de se conformer aux éventuelles instructions données par EndoData concernant l’utilisation d’OralData et de ne pas faire un usage abusif d’OralData de quelque manière que ce soit.

Utilisations non prévues et restrictions d’utilisation

OralData n’est pas un dispositif médical au sens du droit de l’UE et, à ce titre, ne fournit pas de conseils sur les diagnostics ou les prescriptions ou posologies de médicaments mentionnés dans OralData. Les résultats de recherche avancée et les statistiques générés par OralData ne sont pas destinés à représenter la réalité de la pratique. L’importation de radiographies ne doit pas être utilisée à des fins diagnostiques. OralData n’est pas un outil de signature électronique de prescriptions. Les fonctionnalités d’OralData basées sur l’IA ne conservent aucune donnée patient. OralData n’assure pas les sauvegardes de données. OralData ne doit en aucune manière être utilisé d’une façon qui contreviendrait aux lois et réglementations applicables, ou aux droits de tiers, notamment en ce qui concerne la confidentialité et la sécurité des données de santé et médicales.

Déclarations et garanties du client

Le client déclare et garantit qu’il, ainsi que ses utilisateurs finaux, est chirurgien-dentiste, qualifié ou étudiant, autorisé à exercer et plus généralement dispose de toutes les compétences, expériences, qualités et capacités requises pour utiliser OralData et qu’aucune utilisation d’OralData ne contreviendra aux lois et réglementations applicables, notamment en ce qui concerne tout exercice illégal de la profession de dentiste au sein d’une entreprise industrielle. Nonobstant ce qui précède, tout membre du personnel du chirurgien-dentiste peut également être autorisé à utiliser OralData, sous réserve de l’approbation du chirurgien-dentiste. Le client déclare et garantit qu’il, ainsi que ses utilisateurs finaux, a connaissance et se conformera aux règles applicables aux données traitées par OralData, qui peuvent être qualifiées de dossiers médicaux, en termes de déontologie, de protection des données, de secret professionnel, de sécurité et d’intégrité (notamment en ce qui concerne l’accès aux données, le chiffrement des données et les échanges de données avec d’autres professionnels de santé, en référence à la PGSSI-S). Le client garantira, défendra et indemnisera EndoData contre toutes réclamations, actions, poursuites et procédures, ainsi que toutes pertes, responsabilités, demandes, dettes, coûts et dépenses en résultant (y compris les honoraires d’avocat et frais comptables) qu’EndoData pourrait subir ou encourir en raison (i) d’une violation de la loi applicable par le client ou l’un de ses utilisateurs finaux, ou (ii) de toute réclamation ou allégation contre EndoData fondée sur une faute, une violation de garantie, un dommage causé, un contrat ou toute autre action en responsabilité contractuelle ou délictuelle, du fait du client ou du fait d’un tiers, résultant directement ou indirectement de l’utilisation d’OralData ou en raison d’un manquement du client à exécuter les obligations contenues dans les présentes CG.

Confidentialité

Le client s’engage à conserver strictement confidentiels l’existence, la nature et le contenu des présentes CG ainsi que toutes les informations qui ont été et/ou seront portées à sa connaissance en lien avec les négociations des présentes CG ou antérieurement à celles-ci (ci-après les « Informations Confidentielles »). Le client doit empêcher la divulgation des Informations Confidentielles, sauf aux membres de son personnel ayant besoin d’en connaître aux fins des CG et qui sont tenus à des obligations de confidentialité au moins aussi strictes que celles stipulées dans les CG. Ces obligations de confidentialité demeureront en vigueur pendant toute la durée des CG et tant que les Informations Confidentielles ne seront pas tombées dans le domaine public autrement que par la faute du client, et nonobstant l’expiration ou la résiliation des CG. Toutes les Informations Confidentielles reçues par le client en lien avec les CG devront être retournées à EndoData ou détruites immédiatement à la demande d’EndoData.

Protection des données client

Les données du client saisies, traitées, stockées ou générées par OralData en application des présentes CG, y compris, pour éviter toute ambiguïté, les données des patients, restent en toutes circonstances la propriété du client, et sont strictement confidentielles. Le client reconnaît et accepte qu’EndoData se réserve le droit de traiter ultérieurement les données du client aux fins d’amélioration de ses propres produits et services, dans les conditions énoncées à l’article « Protection des données personnelles ».

Protection des données personnelles

Le client et EndoData reconnaissent avoir pleine et entière connaissance des obligations en application du Règlement Européen n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE (ci-après le « RGPD »), de la loi française Informatique et Libertés n° 78-17 du 6 janvier 1978, telle que modifiée, ainsi que de toute autre législation applicable pertinente (ci-après collectivement désignées comme la « Réglementation sur les Données Personnelles ») qui s’appliquent à eux en leurs qualités respectives de (a) responsable de traitement pour les deux parties, afin de gérer leur relation commerciale réciproque (traitement des données personnelles des contacts professionnels et de l’utilisation d’OralData) ; (b) responsable de traitement pour le client, aux fins de gestion des dossiers patients, dans le cadre de sa propre activité (traitement des données personnelles des patients) ; (c) sous-traitant pour EndoData lorsqu’il assure, pour le compte du client et selon ses instructions, la mise en œuvre du traitement des données personnelles nécessaires à la fourniture d’OralData, ainsi que helpdesk, support et maintenance ; (d) responsable de traitement pour le traitement ultérieur des données du client aux fins d’établissement d’analyses et de statistiques, de réalisation de recherches et d’études, ainsi que de développement ou d’amélioration des produits, services et algorithmes d’EndoData.

Dans la mesure où EndoData est amené à accéder, gérer ou même, plus généralement, traiter des données personnelles pour le compte du client comme indiqué dans le présent article « Protection des données personnelles », (c), et comme décrit dans l’Annexe 1, EndoData s’engage à (i) n’agir que sur instructions documentées et à ne pas utiliser les données personnelles à des fins autres que celles prévues dans les CG, (ii) garantir la sécurité des locaux d’EndoData, des systèmes d’information et de tout traitement automatisé ou non, afin de prévenir une violation de données personnelles qu’EndoData traite pour le compte du client, (iii) mettre à la disposition du client toute information ou document qu’il a expressément demandé pour permettre à ce dernier de démontrer le respect de ses obligations au titre de la Réglementation sur les Données Personnelles, notamment en précisant dès que possible à EndoData toute instruction qu’il lui aurait donnée susceptible de constituer une violation de la Réglementation sur les Données Personnelles, et en collaborant avec le client à la réalisation de toute analyse d’impact relative au traitement des données personnelles par EndoData et, le cas échéant, à toute consultation préalable de l’autorité nationale compétente en matière de protection des données ; (iv) notifier au client toute violation de données personnelles dans les meilleurs délais après en avoir pris connaissance et accompagner cette notification de toute documentation utile conformément à la Réglementation sur les Données Personnelles ; (v) assister raisonnablement le client pour répondre aux demandes des personnes concernées concernant leurs droits d’accès, de rectification, d’effacement, le cas échéant de limitation, d’opposition ou de portabilité de leurs données personnelles, et de correction ou de suppression de celles-ci ; (vi) s’assurer que tout transfert de données personnelles vers un destinataire situé dans un pays hors de l’Union européenne a obtenu l’accord préalable et exprès du client et que ce transfert fait l’objet d’une décision d’adéquation de la Commission européenne ou, à défaut, de garanties appropriées conformément à la Réglementation sur les Données Personnelles (par exemple, clauses contractuelles types ou règles d’entreprise contraignantes) ; (vii) à l’annulation de toutes les commandes existantes, supprimer ou retourner toutes les données personnelles au client, et supprimer les copies existantes ou ne plus les utiliser pour quelque raison que ce soit, sauf si le droit de l’Union ou d’un État membre exige la conservation des données personnelles ; (viii) veiller à ce que toutes les obligations d’EndoData au titre de la présente section soient respectées par tout sous-traitant, quel que soit son rang ou son mode d’intervention, en prévoyant expressément ces mêmes obligations dans le contrat liant EndoData à ladite société ou le sous-traitant à tout sous-traitant ultérieur.

Avis de non-responsabilité

Le client comprend que malgré le plus grand soin et la plus grande diligence d’EndoData dans le développement et la maintenance d’OralData, des erreurs typographiques ou des inexactitudes techniques peuvent encore être présentes. EndoData se réserve le droit de rectifier, par de nouvelles versions d’OralData, les erreurs dont il prend connaissance.

Changement de circonstances

Chaque partie entend assumer les risques liés à tout changement imprévisible de circonstances au moment de la conclusion des CG, qui pourrait rendre leur exécution excessivement onéreuse. Par conséquent, chaque partie renonce irrévocablement à se prévaloir des dispositions de l’article 1195 du Code civil français au titre des CG.

Force majeure

Si l’exécution des CG est retardée ou empêchée par suite d’un événement imprévisible et irrésistible sur lequel EndoData n’a aucun contrôle, tel que par exemple : guerre, grève, incendie, pandémie, le délai sera modifié en conséquence, sous réserve qu’EndoData en notifie le client afin que toutes les mesures nécessaires pour en minimiser les conséquences puissent être prises.

Divers

Le fait qu’EndoData n’exécute pas de manière stricte toutes les conditions découlant des CG ou n’exerce pas un droit créé par les CG ne constitue pas une renonciation par EndoData à son droit d’appliquer strictement ces conditions ou d’exercer ce droit ultérieurement. Tous les droits et recours au titre des CG et des présentes commandes sont cumulatifs et s’ajoutent, sauf stipulation expresse contraire dans les présentes CG, à tous les autres droits et recours dont EndoData peut disposer selon le droit français. Toute renonciation par EndoData à invoquer un manquement au titre des CG devra être faite par écrit et ne constituera pas une renonciation à invoquer tout autre manquement ou le même manquement au titre des CG. Si une stipulation des CG est considérée comme nulle, illégale ou inapplicable, la validité, la légalité et l’applicabilité des stipulations restantes n’en seront pas affectées ou diminuées de ce fait. Les titres des paragraphes des CG n’ont qu’une valeur indicative : ils ne font pas partie des conditions et n’influent pas sur leur interprétation.

Droit applicable et juridiction

Les présentes CG, ainsi que tous les litiges et réclamations en résultant, seront interprétées et régies par le droit français, à l’exclusion des règles de conflit de lois. Tous les litiges survenant entre les parties concernant ou résultant de l’existence, la validité, l’interprétation, l’exécution et la résiliation des présentes CG (ou d’une stipulation particulière de celles-ci) que les parties ne parviendraient pas à résoudre amiablement dans un délai de trente (30) jours à compter de la notification du litige par l’une des parties seront soumis à la compétence exclusive des tribunaux compétents de Paris, France ou de son président statuant en référé nonobstant la pluralité de défendeurs ou l’appel en garantie.

Annexe 1 – Traitement des données personnelles

En tant que sous-traitant au sens de l’article « Protection des données personnelles » (c) des CG, EndoData est amené à accéder, gérer, stocker ou même, plus généralement, traiter des données personnelles pour le compte du client, comme suit :

Élément	Détails
Finalité du traitement	Fourniture d’OralData, ainsi que helpdesk, support et maintenance
Catégories de données personnelles	Dossiers patients, tels que saisis dans OralData par le client et ses utilisateurs finaux Données relatives aux utilisateurs d’OralData (identifiant, éléments nominatifs, traces d’accès et traces d’utilisation)
Catégories de personnes concernées	Patients et utilisateurs d’OralData (le client et ses utilisateurs finaux)
Durée du traitement / durées de conservation des données	Durée de l’Abonnement
Sous-traitants ultérieurs	Google Cloud Platform – pour plus d’informations sur la représentation des garanties : https://cloud.google.com/security/compliance/hds Lettermint – Envoi d’e-mails transactionnels AttachmentAV – pour plus d’informations sur la représentation des garanties : https://attachmentav.com/

Les mesures de sécurité mises en œuvre par EndoData sont les suivantes :

Catégorie	Mesures
Contrôle d’accès logique (accès aux systèmes d’information)	Contrôles d’accès à OralData (accès authentifié, politique de mot de passe fort et authentification multifacteur obligatoire) Chiffrement des données (y compris les sauvegardes de données). Mesures de sécurité renforcées pour empêcher l’accès non autorisé aux données (y compris RLS au niveau de la base de données et filtrage au niveau logique)
Accès aux données personnelles	Accès aux données : restreint aux personnes ayant des besoins opérationnels, selon le principe du besoin d’en connaître. Droits d’accès nominatifs aux données, protégés par l’attribution de droits d’énumération, de lecture et d’écriture.
Intégrité et disponibilité des données	Données hébergées sur des serveurs sécurisés et dans des zones géographiques sécurisées Sauvegardes régulières des données ; Stockage externalisé des sauvegardes ; EndoData prend des mesures concernant la disponibilité des données pour assurer le bon fonctionnement d’OralData. Toutefois, OralData n’est pas une solution de stockage et de sauvegarde et le client est seul responsable de la sauvegarde des données saisies, traitées ou générées dans OralData, pendant et après la résiliation de l’Abonnement.

Catégorie

Mesures

Contrôle d’accès logique (accès aux systèmes d’information)

Contrôles d’accès à OralData (accès authentifié, politique de mot de passe fort et authentification multifacteur obligatoire)
Chiffrement des données (y compris les sauvegardes de données).
Mesures de sécurité renforcées pour empêcher l’accès non autorisé aux données (y compris RLS au niveau de la base de données et filtrage au niveau logique)

Accès aux données personnelles

Accès aux données : restreint aux personnes ayant des besoins opérationnels, selon le principe du besoin d’en connaître.
Droits d’accès nominatifs aux données, protégés par l’attribution de droits d’énumération, de lecture et d’écriture.

Intégrité et disponibilité des données

Données hébergées sur des serveurs sécurisés et dans des zones géographiques sécurisées
Sauvegardes régulières des données ;
Stockage externalisé des sauvegardes ;

EndoData prend des mesures concernant la disponibilité des données pour assurer le bon fonctionnement d’OralData. Toutefois, OralData n’est pas une solution de stockage et de sauvegarde et le client est seul responsable de la sauvegarde des données saisies, traitées ou générées dans OralData, pendant et après la résiliation de l’Abonnement.

Annexe 2 – Hébergement de données de santé

Définitions – Aux fins de la présente Annexe, (i) les « Données de santé » désignent les données de santé telles que définies par l’article L. 1111-8 du CSPF, c’est-à-dire les données personnelles de santé collectées dans le cadre d’activités de prévention, de diagnostic, de soins ou d’activités sociales ou médico-sociales, et ; (ii) le « Service d’hébergement » désigne le stockage temporaire des Données de santé du client sur les serveurs d’EndoData, à la seule fin du traitement de ces données par OralData conformément aux CG.
Certification d’hébergement de données de santé – EndoData s’appuie sur le service d’un prestataire d’hébergement de données de santé certifié, certification requise par l’article L. 1111-8 du Code de la santé publique français (CSPF), pour l’ensemble des activités énumérées à l’article R. 1111-9 du CSPF : https://esante.gouv.fr/offres-services/hds/liste-des-herbergeurs-certifies. Le traitement des données personnelles du client par EndoData est couvert par l’article 17 des CG, et complété par la présente Annexe concernant le Service d’hébergement de Données de santé, afin de fournir au client les informations requises au titre de l’article R. 1111-11 du CSPF.
Champ du Service d’hébergement et répartition des responsabilités – OralData est fourni au client et à ses utilisateurs finaux, conformément aux CG. Les niveaux de service relatifs à la qualité et à la performance sont définis dans le SLA. Dans le cadre d’OralData, le Service d’hébergement, tel que défini à l’article 1 de la présente Annexe, est strictement limité à un stockage temporaire et n’inclut aucun service de sauvegarde ou d’archivage. Dans ce contexte, EndoData héberge les Données de santé conformément aux instructions documentées du client et ne doit pas utiliser les Données de santé à des fins autres que celles prévues dans les CG. Dans la stricte mesure du Service d’hébergement, EndoData se conformera aux exigences de l’article L. 1111-8 du CSPF, telles que décrites dans la présente Annexe.
Secret professionnel – Dans le cadre du Service d’hébergement et conformément à l’article L. 1111-8, V, du CSPF, EndoData est tenu au secret professionnel. Nonobstant le respect de ce secret, le client reconnaît que les autorités gouvernementales ou judiciaires peuvent demander l’accès aux données, conformément à la loi applicable. EndoData informera le client d’une telle demande, sauf interdiction par la loi applicable.
Devoir de conseil – EndoData mettra tout en œuvre pour informer le client de ses obligations en tant que responsable des Données de santé stockées sur le Service d’hébergement, y compris de tout changement de la Réglementation sur les Données Personnelles susceptible d’avoir un impact effectif sur le Service d’hébergement par EndoData.
Localisation des données – OralData, ainsi que toutes les Données de santé stockées par EndoData, sont hébergés dans l’Union européenne. Tout transfert de Données de santé vers un destinataire situé dans un pays hors de l’Union européenne devra obtenir l’accord préalable et exprès du client et un tel transfert sera soumis à une décision d’adéquation de la Commission européenne ou, à défaut, à des garanties appropriées conformément à la Réglementation sur les Données Personnelles (par exemple, clauses contractuelles types ou règles d’entreprise contraignantes).
Droits des personnes concernées – Le client est responsable du respect des exigences de l’article L. 1111-8 du CSPF concernant l’information préalable des personnes concernées et le droit d’opposition. Plus précisément, le client est responsable de la réponse aux demandes des personnes concernées. EndoData assistera le client pour répondre aux demandes des personnes concernées relatives à leurs droits au titre de la Réglementation sur les Données Personnelles (le cas échéant, droit d’accès, de rectification, d’effacement, de limitation, d’opposition ou de portabilité de leurs données personnelles, et de correction ou de suppression de celles-ci), ainsi qu’au titre des articles L. 1111-7 et L. 1111-8 du CSPF (droit d’accès aux dossiers de santé et aux données connexes et droit d’opposition à l’hébergement externalisé des données de santé). Des procédures d’audit sont mises en œuvre par EndoData afin d’assurer l’efficacité de cette assistance et de la gestion des demandes des personnes concernées.
Sécurité des données – EndoData garantit la sécurité des locaux d’EndoData, des systèmes d’information et de tout traitement automatisé ou non, afin de prévenir une violation des Données de santé qu’EndoData traite pour le compte du client. Dans son champ de responsabilité, le client reconnaît qu’il doit se conformer au cadre de sécurité visé à l’article L. 1470-5 du CSPF, et notamment à la Politique Générale de Sécurité des Systèmes d’Information de Santé (« PGSSI-S »), publiée par l’Agence du Numérique en Santé. EndoData notifiera au client toute violation de Données de santé dans les meilleurs délais après en avoir pris connaissance et accompagnera cette notification de toute documentation utile conformément à la Réglementation sur les Données Personnelles. Dans ce cadre, le client doit fournir l’identité et les coordonnées de la personne de contact à laquelle EndoData doit notifier en cas d’une telle violation de données.
Accès aux données – Le client est responsable de l’autorisation et du contrôle de l’accès des utilisateurs finaux aux Données de santé. Plus précisément, le client s’engage (i) à formaliser, mettre en œuvre et auditer régulièrement une procédure de contrôle d’identité et d’accès ; (ii) à se conformer aux règles applicables à la confidentialité des données de santé et au secret professionnel, notamment aux exigences applicables à l’échange et au partage de données de santé, telles que définies par l’article L. 1110-4 du CSPF ; (iii) à se conformer aux exigences définies par le cadre de sécurité visé à l’article L. 1470-5 du CSPF, notamment en ce qui concerne les exigences d’identification et d’authentification.
Sous-traitants – EndoData veillera à ce que toutes ses obligations au titre de la présente Annexe soient respectées par tout sous-traitant, quel que soit son rang ou son mode d’intervention, en prévoyant expressément des obligations équivalentes dans le contrat liant EndoData à ladite société ou le sous-traitant à tout sous-traitant ultérieur.
Modifications – EndoData aura le droit de modifier ou de retirer et/ou d’apporter d’autres changements au Service d’hébergement, à condition qu’EndoData notifie au client tout changement substantiel. En cas de changements substantiels apportés au SLA, au champ des services d’OralData ou à la garantie au titre de l’article 12 de la présente Annexe, l’approbation du client sera sollicitée, laquelle ne pourra être refusée sans motif raisonnable. Dans le cas où le client n’approuverait pas les changements, le client aura le droit de résilier l’Abonnement, dans les conditions énoncées à l’article « Abonnements, modifications et résiliation » des CG.
Assurance – EndoData s’engage à maintenir une assurance responsabilité civile professionnelle, pendant toute la durée des commandes.
Résiliation du Service d’hébergement – À l’annulation de toutes les commandes existantes, EndoData s’engage à supprimer ou à retourner toute Donnée de santé stockée sur le Service d’hébergement, et à supprimer les copies existantes ou à ne plus les utiliser pour quelque raison que ce soit, dans un délai d’un (1) mois, sauf si le droit de l’Union ou d’un État membre exige la conservation des Données de santé, sauf lorsqu’EndoData est responsable de traitement comme indiqué dans les CG. Les données seront fournies sous forme d’un ensemble de fichiers JSON pour les données textuelles et d’une archive compressée (ZIP) contenant les fichiers binaires du client. Sur demande écrite du client, EndoData fournira au client l’assistance raisonnable afin que le client puisse réaliser la transition des Données de santé stockées sur le Service d’hébergement, le cas échéant, vers les systèmes d’information du client.

Annexe 3 – Accord de niveau de service (SLA) et mesures de sécurité

Prestataire de service : OralData
Date d’effet : 01/01/2026

1. Engagement de disponibilité du service

1.1. Garantie de disponibilité

OralData garantit que le Service sera disponible 99,0 % du temps au cours de chaque cycle de facturation mensuel (l’« Engagement de disponibilité »).

1.2. Exclusions

L’Engagement de disponibilité exclut les temps d’arrêt causés par :

La maintenance programmée (communiquée au moins 48 heures à l’avance).
Les événements de Force Majeure (par exemple, catastrophes naturelles, actes gouvernementaux, pannes générales d’Internet).
Les problèmes résultant du matériel, des logiciels ou de la connexion réseau du Client.

2. Services de support technique

2.1. Heures de support

Le support est disponible du lundi au vendredi, de 09h00 à 17h00 (heure de Paris), à l’exclusion des jours fériés français.

2.2. Objectifs de temps de réponse

OralData classe les demandes de support selon leur gravité et s’engage sur les temps de réponse initiaux suivants :

Niveau de gravité	Définition	Objectif de temps de réponse
Priorité 1 (Critique)	Système indisponible. Le Service est totalement inaccessible ou une fonction essentielle est défaillante, empêchant les soins aux patients.	Sous 6 heures ouvrables
Priorité 2 (Majeure)	Performance dégradée. Des fonctionnalités majeures présentent des bugs ou sont lentes, mais le système reste utilisable (solution de contournement disponible).	Sous 2 jours ouvrables
Priorité 3 (Mineure)	Demande générale. Problèmes cosmétiques, questions ou demandes de fonctionnalités.	Sous 4 jours ouvrables

3. Reprise après sinistre et continuité

3.1. Architecture et résilience

Haute disponibilité : La plateforme utilise une architecture serverless avec une évolutivité automatique et des protections intégrées contre les attaques par déni de service distribué (DDoS).
Sécurité du déploiement : Des capacités de rollback automatisées protègent contre les erreurs de déploiement.

3.2. Objectif de temps de reprise (RTO)

En cas de panne catastrophique (par exemple, perte d’un centre de données à l’échelle régionale), OralData garantit un Objectif de Temps de Reprise (RTO) de 48 heures pour restaurer la disponibilité du Service et des données.

3.3. Politique de sauvegarde

Type de sauvegarde	Fréquence	Rétention	Périmètre
Snapshots de base de données	Quotidienne	30 jours	Restauration à un instant donné (PITR) activée
Réplication hors site	Hebdomadaire	N/A	Réplication vers une région secondaire
Stockage de fichiers	Continue	Versionnée	Protection contre les suppressions accidentelles

4. Sécurité et protection des données

4.1. Normes de chiffrement

Au repos : Toutes les bases de données et tous les buckets de fichiers sont chiffrés en AES-256 via Google Cloud Platform.
En transit : La transmission des données est sécurisée via TLS 1.2 ou supérieur (HTTPS).
Postes de travail : Les postes de travail internes d’OralData utilisent un chiffrement intégral du disque (FileVault) et des politiques de verrouillage automatique.

4.2. Contrôle d’accès

Authentification : L’accès est sécurisé via Google Firebase Authentication avec authentification multifacteur (MFA) obligatoire.
Hygiène interne : OralData applique une stricte séparation des tâches. Les comptes « Sysadmin » sont isolés des opérations quotidiennes, et les identifiants sont gérés via un gestionnaire de mots de passe d’entreprise (1Password). Mesures de sécurité renforcées pour empêcher l’accès non autorisé aux données (y compris RLS au niveau de la base de données et filtrage au niveau logique).

5. Crédits de service (recours)

Si OralData ne respecte pas l’Engagement de disponibilité (Section 1.1) au cours d’un mois donné, le Client est éligible à un Crédit de Service calculé en pourcentage des frais d’abonnement de ce mois :

Disponibilité mensuelle	Crédit de service
< 99,0 %	5 %
< 97,0 %	10 %
< 90,0 %	25 %

Note : Pour bénéficier d’un crédit, le Client doit soumettre une réclamation dans les 30 jours suivant l’incident.

6. Conformité et infrastructure

6.1. Hébergement de données de santé (HDS)

Conformément à l’article L. 1111-8 du Code de la santé publique français, toutes les données personnelles de santé sont hébergées sur une infrastructure disposant de la certification HDS (Hébergeur de Données de Santé).

6.2. Sous-traitants autorisés

OralData utilise les sous-traitants suivants :

Google Cloud Platform (France/Belgique) : Hébergement, base de données, journaux.
Lettermint (UE) : E-mails transactionnels.
AttachmentAV (UE) : Analyse antivirus des fichiers téléchargés.

EndoData SAS
50 rue Richer, 75009 Paris, France
E-mail : admin@oraldata.ai
Support : support@oraldata.ai

Accueil|Conditions générales