Trouver un dentiste
Se connecter
À propos
AgendaCharting DentaireParodontieImagerie IADevisStockFacturationPortail PatientsNotificationsTableau de bord
Comment ça marcheTarifsContact
Trouver un dentisteSe connecter

Plan de Réponse aux Violations de Données

Dernière mise à jour : 18 Avril 2026 — Conformité Loi 09-08 (CNDP)

Document à usage interne

Ce plan s'applique à toute violation de données personnelles au sens de la Loi 09-08 : destruction, perte, altération, divulgation non autorisée ou accès non autorisé à des données à caractère personnel traitées par SmiloLink SARL. En cas de violation impliquant des données de santé, la notification CNDP est obligatoire sous 72 heures.

1. Détection Automatique — Sentry & Surveillance

SmiloLink intègre Sentry pour la détection en temps réel des erreurs et anomalies de sécurité. Les alertes suivantes déclenchent automatiquement une notification à l'équipe de sécurité :

  • Erreurs d'accès non autorisé (401/403) répétées — tentatives de brute force ou d'accès à des ressources protégées.
  • Violations de politique RLS Supabase — tentatives d'accès cross-tenant aux données patients.
  • Exports de données inhabituels — volume anormalement élevé de requêtes de téléchargement.
  • Authentifications depuis des localisations suspectes — hors Maroc sans préavis.
  • Modifications des politiques de sécurité — changements RLS ou de configuration Supabase.

2. Procédure de Réponse par Phase

P1Détection & Containment 0–4h
  • L'alerte de violation est déclenchée (Sentry, surveillance réseau, ou signalement interne).
  • L'équipe de sécurité isole immédiatement le système/compte compromis.
  • Les clés API et tokens d'accès concernés sont révoqués (Supabase Dashboard, Vercel).
  • Un ticket d'incident est ouvert avec horodatage précis.
  • Le Responsable de Traitement (DPO) est notifié par message chiffré.
P2Évaluation & Qualification 4–24h
  • Analyse forensique : identifier les données accédées/exfiltrées, la méthode d'intrusion, la durée d'exposition.
  • Classifier la gravité : Mineure (données non sensibles), Modérée (emails/téléphones), Critique (données de santé, images médicales).
  • Évaluer le nombre de personnes concernées.
  • Si violation critique : activer le protocole CNDP (notification obligatoire sous 72h).
  • Documenter les éléments factuels : qui, quoi, quand, comment, données concernées.
P3Notification & Remédiation 24–72h
  • Notifier la CNDP via le formulaire de déclaration d'incident (si violation de données sensibles).
  • Notifier les personnes concernées si risque élevé pour leurs droits et libertés.
  • Contenu de la notification patient : nature de la violation, données concernées, mesures prises, contact DPO.
  • Déployer le correctif de sécurité — patch, rotation des clés, restriction d'accès.
  • Activer l'authentification multi-facteurs supplémentaire si nécessaire.
P4Analyse Post-Incident 72h–7j
  • Rapport d'incident complet : chronologie, impact, mesures correctives.
  • Revue des politiques de sécurité et mise à jour de la PSSI.
  • Formation de l'équipe sur le vecteur d'attaque identifié.
  • Mise à jour du registre des violations de données (CNDP).
  • Communication interne de clôture avec lessons learned.

3. Sévérité des Incidents

NiveauDonnées concernéesNotification CNDPNotification patients
CritiqueDonnées de santé, images médicales, données biométriquesObligatoire sous 72hObligatoire
ModéréeNom, email, téléphone, CINÉvaluation requiseSi risque élevé
MineureDonnées analytiques, logs non personnelsNon requisNon requis

4. Registre des Violations

SmiloLink tient un registre interne de toutes les violations de données détectées, même celles n'ayant pas donné lieu à notification externe. Ce registre contient pour chaque incident : la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les mesures prises, et les raisons justifiant la notification ou non. Ce registre est mis à disposition de la CNDP sur demande.

5. Contacts d'Urgence

DPO (Responsable Protection des Données)dpo@smilolink.ma
Équipe Sécurité (urgence 24/7)+212 6XX XXX XXX
CNDP — Déclaration d'incidentcontact@cndp.ma
CNDP — Hotline+212 5 37 27 84 00

6. Mesures Préventives en Place

  • Chiffrement AES-256 au repos (Supabase TDE, Storage SSE-S3).
  • TLS 1.3 pour toutes les données en transit + HSTS max-age=63072000; includeSubDomains; preload.
  • Row Level Security (RLS) sur toutes les tables contenant des données personnelles.
  • Audit logs — toutes les actions sensibles (connexion, export, modification de rôle) sont tracées dans security_audit_log.
  • Rotation des clés — clés API et secrets rotés tous les 90 jours.
  • Sentry — monitoring d'erreurs et d'anomalies en temps réel, côté client et serveur.
  • Accès minimal (least privilege) — chaque rôle n'accède qu'aux données strictement nécessaires.

Ce plan est révisé annuellement et après chaque incident. Pour signaler une vulnérabilité de sécurité, contactez security@smilolink.ma. SmiloLink s'engage à répondre sous 48 heures à tout signalement de sécurité responsable.