Politique de confidentialité
Conforme au RGPD (Règlement UE 2016/679) et à la Loi Informatique et Libertés (loi n° 78-17).
Hébergement de Données de Santé (HDS) — article L.1111-8 du Code de la santé publique.
1. Responsable du traitement
PaxHelios SAS — siège social : [adresse complète], RCS [ville] [n° SIRET]. Représenté par son Président, [Nom Prénom].
Délégué à la Protection des Données (DPO) : [Nom Prénom] — dpo@paxhelios.com. N° de notification CNIL : DPO-XXXXXXX.
Lorsque la plateforme est utilisée par un praticien indépendant ou une structure de soin pour ses propres patients, le praticien ou la structure agit en qualité de responsable de traitement au titre des soins, et PaxHelios SAS agit en sous-traitantau sens de l'article 28 du RGPD. Une convention de sous-traitance (DPA) est établie à l'ouverture du compte professionnel.
2. Catégories de données traitées
- Identification : nom, prénom, email, date de naissance, genre, téléphone.
- Professionnelles (praticien) : titre, spécialité, n° RPPS / ADELI, structure de rattachement.
- Données de santé (catégorie particulière, art. 9 RGPD) : motif de consultation, antécédents, vulnérabilités, objectifs thérapeutiques, traitements, réponses aux questionnaires, scores, interprétations, alertes, notes cliniques, attestations.
- Données techniques : adresse IP, horodatage, identifiants de session, journaux d'audit, logs de sécurité.
- Communications : messages échangés via la messagerie sécurisée intégrée.
Les données de santé sont chiffrées au repos par algorithme AES-256-GCM. Les communications sont protégées par TLS 1.3.
3. Finalités et bases légales
| Finalité | Base légale | Conservation |
|---|---|---|
| Suivi clinique du patient | Consentement explicite (art. 9.2.a) | Durée du suivi + 20 ans (R.1112-7 CSP) |
| Exécution du contrat de soin | Art. 6.1.b RGPD | Idem |
| Conservation dossier médical | Obligation légale (art. 6.1.c) | 20 ans après dernière consultation |
| Sécurité, prévention de la fraude | Intérêt légitime (art. 6.1.f) | Logs auth : 12 mois (LCEN) |
| Audit RGPD / traçabilité | Obligation légale | 6 ans |
| Facturation | Art. 6.1.b + obligation légale | 10 ans (Code de commerce) |
4. Hébergement et sous-traitants
Les données sont hébergées exclusivement en France ou dans l'Union européenne, sur une infrastructure certifiée HDS (Hébergeur de Données de Santé). Aucun transfert hors UE n'est réalisé.
- Hébergeur HDS : [Nom de l'hébergeur] — n° d'agrément HDS [XXX].
- Email transactionnel : Resend (servers EU), DPA RGPD signé.
- Supervision applicative : Sentry self-hosted en région EU (no PII).
- Sous-traitants IA (optionnels, sur consentement) : Anthropic / OpenAI — DPA signé, pseudonymisation préalable, finalité strictement limitée à l'assistance de synthèse.
La liste exhaustive et à jour des sous-traitants est tenue dans le registre des traitements, communicable sur demande au DPO.
5. Mesures de sécurité
- Chiffrement TLS 1.3 + HSTS preload pour toutes les communications.
- Chiffrement champ-à-champ AES-256-GCM des données patients sensibles au repos.
- Authentification renforcée : bcrypt + 2FA TOTP (obligatoire pour les praticiens).
- Déconnexion automatique après 15 minutes d'inactivité.
- Cloisonnement strict par rôle et par praticien (RBAC).
- Journaux d'audit immuables sur les accès aux dossiers, exports, modifications.
- Sauvegardes chiffrées quotidiennes, conservées 30 jours, restauration testée mensuellement.
- Tests de sécurité réguliers (revue de code, scan SAST/DAST, audit annuel externe).
6. Vos droits (articles 15 à 22 du RGPD)
- Accès à l'ensemble de vos données.
- Rectification des données inexactes.
- Effacement dans les limites des obligations légales de conservation (dossier médical 20 ans).
- Limitation du traitement dans les cas prévus par l'article 18.
- Portabilité des données fournies (exports JSON/CSV depuis votre espace).
- Opposition au traitement.
- Retrait du consentement à tout moment, sans effet rétroactif.
- Définition de directives post-mortem sur le sort de vos données.
Pour exercer vos droits, écrivez à dpo@paxhelios.com ou utilisez la page RGPD de la plateforme. Réponse sous 30 jours maximum (prolongeable de 60 jours en cas de complexité).
7. Cookies
Seuls des cookies strictement nécessairesau fonctionnement (session d'authentification, sécurité) sont déposés. Aucun cookie de tracking, d'analyse ou de publicité. Aucun consentement préalable n'est requis pour ces cookies (art. 82 LIL).
Détails sur la page cookies.
8. Notification de violation
En cas de violation susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, PaxHelios notifie la CNIL dans les 72 heures (art. 33) et informe les personnes concernées dans les meilleurs délais lorsque le risque est élevé (art. 34).
9. Réclamation auprès de la CNIL
Vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés : CNIL — 3 place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07 — www.cnil.fr.
10. AIPD (Analyse d'Impact)
Une analyse d'impact relative à la protection des données (AIPD) a été réalisée conformément à l'article 35 du RGPD, le traitement portant sur des données de santé à grande échelle. Elle est tenue à disposition de l'autorité de contrôle et révisée annuellement.
Dernière mise à jour : avril 2026 — version 2.0 (HDS).