Magica HealthTech est conforme aux exigences réglementaires marocaines et certifié sur les standards de sécurité internationaux. Vos données patients restent au Maroc, protegees par les meilleures pratiques de l'industrie.
Le secteur de la sante manipule l'une des categories de données les plus sensibles qui soient. C'est pourquoi Magica HealthTech a fait de la conformite et de la sécurité un pilier fondateur de son écosystème, et non un ajout tardif. Les paragraphes ci-dessous detaillent, en termes mesures et vérifiables, le cadre legal, technique et organisationnel dans lequel s'inscrivent GestiCab, MagicaRDV, GestiFile et l'ensemble de nos produits.
Toutes les données patients traitees par notre écosystème sont hébergées sur le territoire marocain, dans des infrastructures certifiées de niveau professionnel. Aucun transfert hors du Royaume n'est réalisé, ni a des fins d'exploitation ni a des fins de sauvegardé. Cette souveraineté des données est vérifiable et documentée.
Data centers operes par Inwi Business et Maroc Telecom Data Center, certifiés Tier III Uptime Institute. Redondance electrique, climatisation, connectivite et contrôle d'accès physique 24/7.
Aucune donnee patient ne sort du Maroc, ni en production, ni en sauvegardé, ni en analytics. Les services tiers utilises (paiement, emailing) sont selectionnes pour leur compatibilite avec la loi 09-08.
AES-256 au repos sur tous les disques et sauvegardés. TLS 1.3 en transit pour toute communication client/serveur. Cles de chiffrement gerees dans un coffre HSM dédié.
Sauvegardé complète chiffree chaque nuit, repliquee sur un deuxieme site geographique au Maroc. Conservation 30 jours par defaut, jusqu'a 12 mois selon contrat.
Base de données repliquee en continu vers un serveur de secours. En cas de defaillance materielle, bascule automatique sans perte de transactions.
Plan de continuite d'activite (PCA) et plan de reprise d'activite (PRA) ecrits, testes au moins une fois par an. RTO < 4h, RPO < 1h pour les services critiques.
La loi n°09-08 relative a la protection des personnes physiques a l'egard du traitement des données a caractere personnel encadre strictement la collecte, la conservation et l'utilisation des données de sante au Maroc. Magica HealthTech a structure son écosystème pour répondre a chacune des obligations imposees par la Commission Nationale de contrôle de la protection des Données a caractere Personnel (CNDP).
Magica HealthTech est titulaire d'une déclaration officielle auprès de la CNDP sous le numéro D-GC-685/2024, délivrée suite à la décision N°32-2015. Copie de l'attestation disponible sur demande pour les cabinets et cliniques clients.
Tenue d'un registre des activites de traitement conforme a l'article 30 RGPD / loi 09-08 : finalites, categories de données, destinataires, duree de conservation, mesures de sécurité. Mis à jour a chaque evolution majeure.
Droits d'accès, de rectification, d'opposition, de portabilite et d'oubli implementes nativement dans GestiCab et GestiFile. Procedure standardisee, delai de reponse < 30 jours.
Un DPA (Data Processing Agreement) type, conforme a l'article 28 et a la loi 09-08, est mis a disposition de chaque client. Signature electronique, intégration au contrat de licence.
Un Delegue a la Protection des Données est désigné au sein de Magica HealthTech, joignable a dpo@magicahealthtech.com. Point de contact unique pour les patients, les clients et la CNDP.
Procedure formalisee de notification en cas de violation : qualification de l'incident, notification au client (responsable de traitement) et a la CNDP dans les 72h, rapport post-incident detaille.
ISO/IEC 27001 est le standard international de reference pour la gestion de la sécurité de l'information. Magica HealthTech a deploye un Systeme de Management de la Sécurité de l'Information (SMSI) conforme a cette norme, audité annuellement par un organisme tiers accredite.
Surveillance annuelle et recertification tous les 3 ans. Rapports d'audit transmissibles aux clients sous accord de confidentialite.
Application des 114 contrôles de l'annexe A de la norme : politiques, organisation, ressources humaines, gestion des actifs, contrôle d'accès, cryptographie, sécurité physique, exploitation.
Politique de sécurité de l'information formalisee, validee par la direction, communiquee a l'ensemble des collaborateurs et revisee annuellement.
Analyse des risques selon methodologie ISO 27005. Cartographie des menaces, évaluation de l'impact, plan de traitement, revue semestrielle.
Formation a la sécurité obligatoire a l'embauche, sessions de rappel annuelles, exercices de phishing simules, charte informatique signee par chaque collaborateur.
Cycle PDCA (Plan-Do-Check-Act) : revue de direction trimestrielle, indicateurs de performance suivis, actions correctives tracees.
La telransmission des Feuilles de Soins Electroniques (FSE) a la Caisse Nationale de Sécurité Sociale est encadree par une convention spécifique. GestiCab beneficie d'une homologation officielle CNSS qui autorisé l'émission, la signature et l'acheminement des FSE depuis le logiciel du praticien jusqu'aux systèmes de la Caisse.
Au-dela de la conformite réglementaire, la sécurité opérationnelle au quotidien repose sur une defense en profondeur, combinant contrôles techniques, contrôles organisationnels et tests offensifs réguliers.
Mot de passe robuste (12 caracteres minimum, complexite contrôlee), biometrie (Face ID, Touch ID) sur mobile, 2FA optionnel (TOTP) pour les comptes sensibles. Verrouillage après 5 tentatives echouees.
Granularite fine : médecin, secretaire, assistant, comptable, administrateur. Chaque rôle recoit le minimum de permissions necessaires (principe du moindre privilege).
Tracage de chaque accès aux dossiers patients : utilisateur, date/heure, IP, action effectuee. Logs conservés 5 ans, exportables, immuables (append-only).
Aucune donnee patient reelle n'est utilisee en developpement ou en test. Jeux de données synthetiques générés automatiquement avec respect des distributions statistiques.
Tests d'intrusion tous les trois mois par un cabinet spécialisé externe : OWASP Top 10, escalade de privileges, injection, exfiltration. Plan d'action correctif suivi.
Revue de sécurité a chaque release majeure, analyse statique du code (SAST), scan automatique des dependances (SCA), corrections critiques deployees sous 48h.
Au-dela de la conformite réglementaire, Magica HealthTech s'engage sur des niveaux de service mesurables et opposables.
Les groupes medicaux, cliniques et reseaux de soins ont des exigences accrues en matiere de documentation de conformite. Nous mettons a disposition, sur demande motivee et sous accord de confidentialite, un dossier complet permettant aux équipes juridiques, qualite et sécurité d'évaluér notre niveau de maturite.
Contact direct DPO : dpo@magicahealthtech.com
Les données patients sont hébergées exclusivement au Maroc, dans des data centers certifiés Tier III operes par des operateurs nationaux (Inwi Business, Maroc Telecom Data Center). Aucune donnee n'est transferee hors territoire marocain. La replication et les sauvegardés sont egalement multi-sites au sein du Royaume, conformêment aux exigences de la loi 09-08 et aux recommandations de la CNDP.
Conformêment a la loi 09-08 et aux bonnes pratiques internationales, Magica HealthTech s'engage a notifiér toute violation de données a caractere personnel dans un delai maximum de 72 heures après sa decouverte, auprès du responsable de traitement (le cabinet médical) et, le cas echeant, de la CNDP. Une procedure documentée est déclenchée automatiquement par l'équipe sécurité : qualification, confinement, notification, remediation, rapport post-incident.
Oui. Le droit a la portabilite est integral. Sur simple demande ecrite, vos données patients vous sont restituees sous 15 jours dans un format ouvert et reutilisable (CSV/JSON), accompagnees d'un dictionnaire de données. L'export inclut dossiers patients, consultations, prèscriptions, examens, agenda, comptabilite. Aucune retention abusive : après restitution et accord, les données sont supprimees de nos systèmes sous 30 jours, certificat de destruction a l'appui.
L'audit ISO 27001 est réalisé annuellement par un organisme tiers accredite. Il couvre les 114 contrôles de l'annexe A de la norme : politique de sécurité, gestion des actifs, contrôle d'accès, cryptographie, sécurité physique, exploitation, communications, developpement, relations fournisseurs, gestion des incidents, continuite d'activite, conformite. Un rapport d'audit et un certificat de conformite sont émis. Les clients (notamment cliniques et groupes medicaux) peuvent obtenir copie du certificat sur demande.
L'accès aux dossiers patients est strictement encadre par un contrôle d'accès base sur les rôles (RBAC). Chaque utilisateur (médecin, secretaire, assistant) recoit uniquement les permissions necessaires a sa fonction. Cote Magica HealthTech, seuls les ingenieurs support habilites peuvent acceder aux données, sur demande explicite du client, avec tracabilite complète. Un journal d'audit exhaustif enregistre qui a consulte quel dossier, quand, depuis quelle IP. Ces logs sont conservés 5 ans.
Oui. La loi marocaine 09-08 sur la protection des données personnelles est très proche du RGPD europeen. Magica HealthTech applique les principes equivalents : licette du traitement, minimisation, droits des personnes (accès, rectification, opposition, portabilite, oubli), registre des traitements, analyse d'impact pour les traitements sensibles, contrat de sous-traitance type, DPO désigné. Les cabinets traitant des patients europeens (consultations a distance, expatries) peuvent demander un addendum RGPD.
Notre DPO et notre équipe sécurité sont a la disposition des directions de cabinets, cliniques et groupes medicaux pour répondre a vos questions ou organiser un audit de pre-deploiement.
12 criteres factuels pour comparer les solutions disponibles au Maroc, conformite incluse.
La vision complète de GestiCab pour toutes les spécialités médicales.
Une question, une demande de demo ou un dossier conformite : ecrivez-nous.