Vos données restent en Europe.
DentalPolyglot est construit par des Européens, pour des cliniques européennes, sur une infrastructure européenne. Les données des patients ne traversent jamais l'Atlantique. Chiffrement au repos et en transit. Le RGPD est le plancher, pas le plafond.
Trois engagements. Inscrits dans la plateforme.
Vos données restent dans l'UE.
Dossiers patients, conversations, plans de traitement, pièces jointes : tout vit à Francfort sur la région fra1 de Vercel, avec la base de données dans le cluster UE de Neon. Rien n'est répliqué de l'autre côté de l'Atlantique. Rien.
Vous en êtes propriétaire. Nous en sommes dépositaires.
Vous pouvez exporter à tout moment les contenus de votre clinique et votre boîte de demandes, dans des formats qui ne vous enferment pas. Nous ne vendons pas vos données, nous ne les exploitons pas, nous n'entraînons aucun modèle dessus.
Le RGPD est le plancher.
Paramètres de compte sécurisés par défaut. Mots de passe hachés avec Argon2id, jamais en clair, et chaque nouveau mot de passe est vérifié contre la base HaveIBeenPwned au moment de sa définition. Sessions HttpOnly et signées HMAC. Droit à l'oubli, par clinique et par patient, exécuté sous 30 jours après la demande.
Une seule région aujourd'hui. Toujours dans l'UE.
DentalPolyglot fonctionne sur la région Francfort de Vercel (fra1), avec la base de données dans le cluster UE de Neon. Nous ne répliquons rien vers les États-Unis, le Royaume-Uni ni nulle part hors de l'UE. Notre CDN est l'edge UE de Vercel, nos e-mails transactionnels passent par l'infrastructure européenne de Resend, et notre analytics ne quitte jamais Vercel.
La reprise après sinistre multi-régions est sur la feuille de route 2026. Quand nous l'activerons, nous publierons l'architecture et les régions sur cette page avant qu'aucune donnée ne bouge.
Chiffré au repos. Chiffré en transit.
Deux rôles. Chaque requête cloisonnée au niveau de la base.
Chaque fournisseur. Chaque pays.
Chaque tierce partie qui touche aux données que nous détenons pour vous. Nous notifions les cliniques par écrit 30 jours avant tout changement. Sur un DPA avec clause de répercussion, vous pouvez vous opposer à un nouveau sous-traitant et nous trouverons une solution avec vous.
Anthropic est le seul fournisseur à siège américain de cette liste. Les contenus de la clinique (textes des pages, texte source des plans de traitement) ne sont envoyés à Claude que lorsqu'une clinique demande une traduction. Nous utilisons l'API standard, qui n'est pas utilisée par Anthropic pour entraîner ses modèles. Nous n'envoyons aucun identifiant patient dans les requêtes de traduction.
Les dossiers dentaires sont des données de santé. Nous les traitons comme tels.
Photos, radios, plans de traitement, conversations entre un patient et sa clinique relèvent des catégories particulières de l'article 9 du RGPD. Nous les conservons sous des règles plus strictes que le reste de la plateforme.
Chiffrées au téléversement, jamais indexées pour la recherche, jamais utilisées pour entraîner des modèles. Seuls le patient, sa clinique et le traducteur de DentalPolyglot assigné au dossier y ont accès.
Conservé chiffré au repos. Les copies traduites automatiquement sont dérivées de l'original, jamais partagées avec des tiers, supprimées en même temps que la source sur demande.
Générés côté serveur, archivés en PDF marqué de la clinique, téléchargeables par le patient et la clinique. Conservés pendant la durée légale prévue par la juridiction de la clinique.
Nom, e-mail et téléphone du patient stockés séparément des contenus médicaux, reliés uniquement par des identifiants opaques. Défense en profondeur : une brèche dans une couche n'expose pas l'autre.
Nous conservons les dossiers patients aussi longtemps que la clinique doit le faire selon le droit local des dossiers médicaux (généralement 10 ans en DE/AT/IT, 5 ans en RO). Au-delà, ou plus tôt sur demande, les dossiers sont supprimés, y compris des sauvegardes au cycle de snapshot suivant.
Réglages par défaut solides. Être ennuyeux est le but.
Les connexions suivantes utilisent e-mail et mot de passe. Les mots de passe sont hachés avec Argon2id (paramètres conformes aux recommandations OWASP), jamais en clair, et chaque nouveau mot de passe est vérifié contre la base HaveIBeenPwned au moment de sa définition. Oublié ? Un lien à usage unique envoyé à votre e-mail vérifié, aucune question de sécurité, aucun code SMS.
Les sessions sont HttpOnly, SameSite=lax, secure en production. Le nom du cookie et sa durée sont des constantes du code, pas un réglage route par route.
Chaque requête qui lit des données de clinique filtre par identifiant de tenant tiré de la session. Nous ne faisons jamais confiance à un identifiant fourni par le client. Le motif est revu à chaque changement.
Chaque endpoint API valide le corps de la requête contre un schéma Zod avant toute action. Les entrées malformées sont rejetées dès la porte avec un code d'erreur clair.
Les tentatives de connexion sont limitées par IP et par e-mail, fail-closed (une panne Redis bloque plutôt que de laisser passer). La traduction IA et le scrape sont limités par clinique, également fail-closed. Les formulaires de contact sont limités par IP et fail-open (une coupure brève de Redis ne bloque jamais un vrai patient).
Chaque page sert une Content-Security-Policy stricte avec nonce par requête et strict-dynamic, ainsi que les en-têtes d'isolation cross-origin (COOP, COEP, CORP). Si un attaquant réussissait à injecter du contenu, le navigateur refuserait de l'exécuter. securityheaders.com nous attribue A+.
Les webhooks Stripe et Resend sont vérifiés en signature avant tout traitement de la charge. Les webhooks non vérifiés renvoient 400 et n'atteignent jamais la base.
Vous avez trouvé quelque chose. Dites-le-nous.
Nous n'avons pas encore de programme de bug bounty rémunéré. Nous lisons chaque signalement de sécurité, nous accusons réception sous 24 heures et nous corrigeons rapidement les problèmes critiques. Si vous avez trouvé quelque chose, écrivez-nous avec une description et les étapes pour reproduire. Crédit public sur cette page, sauf demande contraire de votre part.
Nous accusons réception sous 24 heures. Nous visons à résoudre les problèmes critiques en 48 heures, élevés en 7 jours, moyens en 30 jours. Nous vous dirons ce que nous avons fait et ce que nous avons changé.
- · dentalpolyglot.com
- · sites tenants *.dentalpolyglot.com
- · Nos endpoints API
- · Tests de rate-limit ou volumétriques en production
- · Ingénierie sociale visant le personnel ou les cliniques
- · Attaques physiques sur l'infrastructure
Avocats bienvenus.
Délégués à la protection des données tout particulièrement.
Écrivez à privacy@dentalpolyglot.com et nous enverrons ce qu'il faut sous un jour ouvré.