Politique de confidentialité

Dernière mise à jour : 14 avril 2026

1. Introduction

La présente Politique de Confidentialité décrit la manière dont Oak Eye SRL (ci-après « nous », « notre » ou le « Prestataire »), éditrice et exploitante de la plateforme commercialisée sous la marque Dentalfox, collecte, utilise, stocke, partage et protège les données à caractère personnel dans le cadre de l’utilisation de la plateforme Dentalfox (ci-après la « Plateforme »). Dentalfox est une marque commerciale détenue par Oak Eye SRL et ne constitue pas une entité juridique distincte.

Cette politique s’applique à tous les utilisateurs de la Plateforme : les professionnels de santé dentaire abonnés (ci-après les « Clients »), les membres de leur équipe disposant d’un accès (ci-après les « Utilisateurs »), ainsi que les patients dont les données sont traitées via la Plateforme (ci-après les « Patients »).

Nous attachons une importance particulière à la protection des données de santé, qui constituent des données sensibles au sens de l’article 9 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après le « RGPD »).

2. Responsable de traitement et sous-traitant

2.1. Identité du Prestataire

Dénomination : Oak Eye SRL
Marque commerciale : Dentalfox
Siège social : Rue du Try 49, 1495 Villers-la-Ville (Belgique)
Numéro BCE : 0800.669.276
Numéro de TVA : BE0800669276
Email de contact : info@dentalfox.be
Délégué à la Protection des Données (DPO) : Pascal Robiefroid, gérant, joignable à privacy@dentalfox.be

2.2. Répartition des rôles

  • Le Client (professionnel de santé) agit en qualité de responsable de traitement pour les données de ses Patients qu’il introduit et gère via la Plateforme.
  • Le Prestataire agit en qualité de sous-traitant au sens de l’article 28 du RGPD pour le traitement des données des Patients, exécuté pour le compte du Client.
  • Le Prestataire agit en qualité de responsable de traitement pour les données des Clients et Utilisateurs collectées dans le cadre de la gestion des abonnements, de la relation commerciale et du fonctionnement technique de la Plateforme.

3. Données collectées

3.1. Données des Clients et Utilisateurs

Dans le cadre de la souscription et de l’utilisation de la Plateforme, nous collectons les catégories de données suivantes :

  • Données d’identification : nom, prénom, titre professionnel, spécialité dentaire, numéro INAMI.
  • Données de contact : adresse email, numéro de téléphone, adresse postale du cabinet.
  • Données professionnelles : dénomination du cabinet, numéro BCE, numéro de TVA.
  • Données de facturation : coordonnées bancaires (IBAN) pour le prélèvement SEPA, historique des factures.
  • Données techniques : adresse IP, type de navigateur, système d’exploitation, journaux de connexion, horodatage des actions sur la Plateforme.
  • Données d’utilisation : pages consultées, fonctionnalités utilisées, fréquence d’utilisation, nombre de générations IA consommées.

3.2. Données des Patients

Les données des Patients sont introduites par le Client sous sa responsabilité. Ces données peuvent inclure :

  • Données d’identification : nom, prénom, date de naissance, numéro de registre national (NISS), adresse, numéro de téléphone, adresse email.
  • Données de santé (catégorie sensible au sens de l’article 9 du RGPD) : informations dentaires, numérotation FDI des dents concernées, diagnostics, plans de traitement, codes de nomenclature INAMI, montants des prestations, rapports de soins, devis dentaires.
  • Données de consentement : enregistrements des consentements donnés par les Patients (notamment pour le partage inter-cabinets dans la formule Connect), horodatage et mode de validation (SMS, email, consentement oral enregistré par le praticien).

4. Bases légales du traitement

Conformément à l’article 6 du RGPD, nous traitons les données à caractère personnel sur les bases légales suivantes :

TraitementBase légale
Gestion des abonnements et facturationExécution du contrat (art. 6.1.b)
Données de santé des PatientsConsentement explicite du Patient (art. 9.2.a) et/ou nécessité aux fins de la médecine préventive, des diagnostics médicaux, de la prise en charge sanitaire (art. 9.2.h)
Sécurité de la Plateforme et journaux de connexionIntérêt légitime du Prestataire (art. 6.1.f)
Emails transactionnels et suivi de livraisonExécution du contrat (art. 6.1.b)
Statistiques d’utilisation anonymiséesIntérêt légitime du Prestataire (art. 6.1.f)
Communication commerciale (newsletter, nouveautés)Consentement du Client (art. 6.1.a)
Obligations légales (facturation, fiscalité)Obligation légale (art. 6.1.c)
Partage de données inter-cabinets (Connect)Consentement explicite du Patient (art. 9.2.a)
Lecture de la carte eIDConsentement du Patient (art. 6.1.a et art. 9.2.a)

5. Finalités du traitement

5.1. Données des Clients et Utilisateurs

  • Création et gestion des comptes utilisateurs.
  • Gestion des abonnements, facturation et recouvrement.
  • Fourniture, maintenance et amélioration de la Plateforme.
  • Support technique et assistance.
  • Communication relative au service (notifications de maintenance, mises à jour, alertes de sécurité).
  • Communication commerciale (avec consentement préalable).
  • Respect des obligations légales et réglementaires belges.
  • Sécurité et prévention des fraudes.

5.2. Données des Patients (traitement pour le compte du Client)

  • Génération de devis dentaires conformes à la nomenclature INAMI.
  • Génération de rapports de soins et d’explications à destination des patients.
  • Suivi des traitements et historique des soins.
  • Génération de contenus via les fonctionnalités IA (explications patients, suggestions de rapports).
  • Partage sécurisé de documents entre cabinets (formule Connect, sous réserve du consentement du Patient).
  • Suivi de l’ouverture des emails transactionnels contenant devis ou rapports.

6. Fonctionnalités d’intelligence artificielle

6.1. La Plateforme utilise des modèles d’intelligence artificielle fournis par un prestataire tiers spécialisé pour générer des contenus textuels d’aide à la rédaction de devis, rapports et explications patients. Le fournisseur d’IA actuellement utilisé est indiqué dans la liste des sous-traitants (section 16). Le Prestataire se réserve le droit de changer de fournisseur d’IA, sous réserve que le nouveau fournisseur offre des garanties au moins équivalentes en matière de protection des données.

6.2. Lors de l’utilisation des fonctionnalités IA, des données contextuelles (type de soin, codes INAMI, informations cliniques saisies par le Client) peuvent être transmises à l’API du fournisseur d’IA pour permettre la génération du contenu. Ces données sont transmises de manière sécurisée (chiffrement TLS). Le Prestataire s’assure contractuellement, via un Data Processing Addendum (DPA) incluant les Clauses Contractuelles Types (SCCs) de la Commission européenne, que le fournisseur d’IA ne conserve pas les données au-delà du traitement de la requête et ne les utilise pas à des fins d’entraînement de modèles.

6.3. Aucune donnée directement identifiante du Patient (nom, prénom, date de naissance, NISS) n’est transmise au fournisseur d’IA. Les données transmises sont limitées aux informations cliniques strictement nécessaires à la génération du contenu demandé.

6.4. Le Client conserve l’entière responsabilité de la vérification et de la validation de tout contenu généré par l’IA avant sa communication au Patient.

7. Partage inter-cabinets (formule Connect)

7.1. La formule Connect permet le partage sécurisé de documents (devis, rapports, fichiers cliniques) entre cabinets dentaires, typiquement entre un dentiste référant et un spécialiste.

7.2. Ce partage est soumis au consentement explicite et préalable du Patient concerné. Le consentement est recueilli selon l’une des modalités suivantes :

  • Validation par le Patient via un lien envoyé par SMS ou email (ne nécessitant pas la création d’un compte).
  • Consentement oral du Patient, enregistré dans le système par le praticien avec horodatage.

7.3. Le Patient peut retirer son consentement à tout moment en contactant son praticien ou le Prestataire.

7.4. Les données partagées sont stockées selon un modèle de copie avec notifications : un fichier physique unique est référencé par les deux cabinets. Les annotations créées par un cabinet génèrent de nouveaux fichiers et ne modifient pas les originaux.

7.5. Un journal d’audit RGPD enregistre l’ensemble des accès et partages de données inter-cabinets (identité de l’accédant, horodatage, action réalisée).

8. Lecture de la carte d’identité électronique (eID)

8.1. La Plateforme peut proposer la lecture de la carte d’identité électronique belge (eID) pour faciliter l’encodage des données d’identification des Patients.

8.2. La lecture s’effectue en mode passif (middleware passif), sans saisie de code PIN, et se limite aux données visibles de la carte : nom, prénoms, date de naissance, numéro de registre national (NISS), adresse et photo.

8.3. La lecture de la carte eID est soumise au consentement du Patient, qui présente volontairement sa carte. Aucune donnée biométrique protégée par PIN n’est lue ni traitée.

9. Destinataires des données

Les données à caractère personnel peuvent être communiquées aux catégories de destinataires suivantes, dans les limites strictement nécessaires aux finalités décrites :

  • Sous-traitants techniques : hébergeur (serveurs situés dans l’Union européenne), prestataire de paiement, prestataire d’envoi d’emails transactionnels, fournisseur d’IA (pour les seules données cliniques non directement identifiantes nécessaires à la génération de contenu). L’identité de chaque sous-traitant est précisée en section 16.
  • Autres cabinets dentaires : dans le cadre du partage inter-cabinets (formule Connect), sous réserve du consentement explicite du Patient.
  • Autorités compétentes : en cas d’obligation légale ou de décision judiciaire.

La liste à jour des sous-traitants est disponible sur demande à l’adresse privacy@dentalfox.be.

10. Transferts internationaux

10.1. Les données sont hébergées sur des serveurs OVH situés dans l’Union européenne (France et/ou Belgique).

10.2. L’utilisation des fonctionnalités d’intelligence artificielle peut impliquer un transfert de données vers des serveurs situés en dehors de l’Espace Économique Européen. Ce transfert est encadré par un Data Processing Addendum (DPA) conclu avec le fournisseur d’IA, incluant les Clauses Contractuelles Types (SCCs) de la Commission européenne et/ou le cadre de protection des données UE-États-Unis (EU-US Data Privacy Framework), selon les garanties offertes par le fournisseur concerné. Le Prestataire s’assure contractuellement que le fournisseur d’IA ne conserve pas les données au-delà de la durée strictement nécessaire au traitement de la requête et ne les utilise pas à des fins d’entraînement de modèles.

10.3. Nous rappelons que les données transmises au fournisseur d’IA sont limitées aux données cliniques non directement identifiantes et ne sont pas conservées au-delà du traitement de la requête.

10.4. Aucun autre transfert de données en dehors de l’Espace Économique Européen n’est effectué sans information préalable du Client et mise en place de garanties appropriées.

11. Durée de conservation

Les données sont conservées selon les durées suivantes :

Type de donnéesDurée de conservation
Données de compte Client/UtilisateurDurée de l’abonnement + 30 jours (période de réversibilité), puis suppression, sauf obligations légales
Données de facturation7 ans à compter de la clôture de l’exercice comptable (obligation légale belge)
Données des PatientsDurée de l’abonnement du Client + 30 jours de réversibilité. Le Client reste responsable de la conservation des dossiers patients selon ses obligations déontologiques (minimum 30 ans selon les recommandations de l’Ordre)
Journaux de connexion et logs techniques12 mois
Journaux d’audit RGPD (partage inter-cabinets)5 ans
Données de consentement des PatientsDurée du consentement + 5 ans après retrait
Cookies et données de navigationVoir section 15

12. Sécurité des données

Nous mettons en oeuvre les mesures techniques et organisationnelles suivantes pour protéger les données :

  • Chiffrement en transit : toutes les communications sont chiffrées via TLS 1.2/1.3. Les protocoles TLS 1.0 et 1.1 sont désactivés. L’en-tête HSTS (HTTP Strict Transport Security) est activé.
  • Chiffrement au repos : les données sensibles stockées en base de données sont chiffrées.
  • Contrôle d’accès : authentification par identifiants nominatifs, gestion des rôles et droits par cabinet, verrouillage de compte après tentatives de connexion échouées.
  • Sauvegarde : sauvegardes régulières et automatisées des bases de données, stockées de manière chiffrée.
  • Isolation des données : chaque cabinet dispose d’un espace de données logiquement isolé.
  • Journalisation : enregistrement des accès et des actions sensibles à des fins d’audit.
  • Mises à jour : application régulière des correctifs de sécurité sur l’infrastructure.
  • Gestion des incidents : procédure de notification des violations de données conformément à l’article 33 du RGPD (notification à l’APD dans les 72 heures, information des personnes concernées si risque élevé).

13. Droits des personnes concernées

Conformément au RGPD et à la loi belge du 30 juillet 2018, les personnes concernées disposent des droits suivants :

  • Droit d’accès (art. 15 RGPD) : obtenir la confirmation que des données sont traitées et en recevoir une copie.
  • Droit de rectification (art. 16 RGPD) : demander la correction de données inexactes ou incomplètes.
  • Droit à l’effacement (art. 17 RGPD) : demander la suppression des données, sous réserve des obligations légales de conservation (notamment obligations déontologiques relatives au dossier patient).
  • Droit à la limitation du traitement (art. 18 RGPD) : demander la suspension du traitement dans certains cas.
  • Droit à la portabilité (art. 20 RGPD) : recevoir les données dans un format structuré, couramment utilisé et lisible par machine (CSV, JSON).
  • Droit d’opposition (art. 21 RGPD) : s’opposer au traitement fondé sur l’intérêt légitime.
  • Droit de retrait du consentement : retirer à tout moment un consentement précédemment donné, sans que ce retrait n’affecte la licéité du traitement effectué avant le retrait.

Comment exercer ces droits ?

  • Les Clients et Utilisateurs peuvent exercer leurs droits en contactant privacy@dentalfox.be ou via les paramètres de leur compte sur la Plateforme.
  • Les Patients peuvent exercer leurs droits en s’adressant directement à leur praticien (responsable de traitement) ou, à défaut, au Prestataire à l’adresse privacy@dentalfox.be.

Les demandes seront traitées dans un délai de trente (30) jours calendrier. Ce délai peut être prolongé de soixante (60) jours en cas de demande complexe, auquel cas la personne concernée sera informée de cette prolongation.

14. Réclamations

Si une personne concernée estime que ses droits ne sont pas respectés, elle peut introduire une réclamation auprès de l’Autorité de Protection des Données (APD) :

Autorité de Protection des Données
Rue de la Presse 35, 1000 Bruxelles
Téléphone : +32 (0)2 274 48 00
Email : contact@apd-gba.be
Site web : www.autoriteprotectiondonnees.be

15. Cookies et technologies de suivi

15.1. Types de cookies utilisés

  • Cookies strictement nécessaires : indispensables au fonctionnement de la Plateforme (authentification, session, sécurité). Ils ne requièrent pas de consentement.
  • Cookies de performance et d’analyse : permettent de mesurer l’audience et d’améliorer le fonctionnement de la Plateforme. Soumis au consentement de l’utilisateur.
  • Cookies de suivi des emails : dans le cadre de l’envoi de devis et rapports par email (via Mailjet), un pixel de suivi peut être intégré pour mesurer l’ouverture des emails. Le Client est informé de cette fonctionnalité et peut la désactiver dans ses paramètres.

15.2. Gestion des cookies

L’utilisateur peut configurer ses préférences en matière de cookies lors de sa première visite via le bandeau de consentement, et modifier ses choix à tout moment via les paramètres de son compte.

15.3. Durée de conservation des cookies

  • Cookies de session : supprimés à la fermeture du navigateur.
  • Cookies persistants : durée maximale de 13 mois conformément aux recommandations de l’APD.

16. Sous-traitants

Le Prestataire fait appel aux sous-traitants suivants :

Sous-traitantRôleLocalisationGaranties RGPD
OVH (OVHcloud)Hébergement des serveurs et des donnéesUnion européenne (France/Belgique)DPA art. 28 RGPD
MollieTraitement des paiements (SEPA Direct Debit)Pays-Bas (UE)DPA art. 28 RGPD
MailjetEnvoi d’emails transactionnelsFrance (UE)DPA art. 28 RGPD
Anthropic (*)Fournisseur de l’API d’intelligence artificielleÉtats-UnisDPA incluant SCCs, EU-US Data Privacy Framework. Pas de conservation au-delà de la requête, pas d’entraînement sur les données

(*) Le fournisseur d’IA peut être modifié par le Prestataire sous réserve que le nouveau fournisseur offre des garanties au moins équivalentes en matière de protection des données et que le Client en soit informé conformément aux dispositions ci-dessous.

Des contrats de sous-traitance (DPA) conformes à l’article 28 du RGPD sont conclus avec chacun de ces prestataires. Pour tout sous-traitant situé hors de l’EEE, des garanties appropriées au sens du chapitre V du RGPD (Clauses Contractuelles Types, décision d’adéquation ou Data Privacy Framework) sont mises en place.

Le Prestataire informe le Client de tout changement dans la liste des sous-traitants au moins trente (30) jours avant la mise en oeuvre de ce changement. Le Client peut s’opposer à un nouveau sous-traitant dans un délai de quinze (15) jours.

17. Analyse d’impact (DPIA)

Compte tenu du traitement de données de santé à grande échelle, le Prestataire réalise une analyse d’impact relative à la protection des données (DPIA) conformément à l’article 35 du RGPD. Cette analyse est tenue à jour et disponible pour consultation par l’Autorité de Protection des Données sur demande.

18. Modifications de la politique

La présente Politique de Confidentialité peut être mise à jour pour refléter les évolutions de nos pratiques ou de la réglementation. Toute modification substantielle sera notifiée au Client par email au moins trente (30) jours avant son entrée en vigueur.

La version en vigueur est toujours consultable sur la Plateforme à l’adresse dentalfox.be/politique-confidentialite.

19. Contact

Pour toute question relative à la protection de vos données personnelles ou pour exercer vos droits :

Responsable : Oak Eye SRL (marque Dentalfox)
Adresse : Rue du Try 49, 1495 Villers-la-Ville (Belgique)
Email DPO : privacy@dentalfox.be

20. Textes de référence

La présente politique est établie en conformité avec :

  • Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD).
  • La loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.
  • La loi du 22 août 2002 relative aux droits du patient (modifiée par la loi du 6 février 2024).
  • La loi du 22 avril 2019 relative à la qualité de la pratique des soins de santé.
  • Les recommandations de l’Autorité de Protection des Données (APD).