Politique de confidentialité
Information sur le traitement de vos données personnelles, en application du RGPD (UE 2016/679) et de la loi Informatique et Libertés modifiée.
Dernière mise à jour : 2026-06-14
Informations légales en cours de finalisation
La plateforme est actuellement en phase de démonstration avec données fictives uniquement. Les coordonnées éditeur complètes (raison sociale, SIREN, adresse postale) seront publiées dès la constitution de l'entité juridique.
1. Responsable du traitement
Le responsable du traitement des données collectées via la plateforme est __TODO__ Prénom NOM, agissant en qualité d'éditeur du site, joignable à l'adresse __TODO__ contact@eizor.fr.
Le délégué à la protection des données (DPO) est désignation en cours. Dans l'attente de cette désignation, toute demande relative à vos données personnelles peut être adressée à l'éditeur à __TODO__ contact@eizor.fr.
2. Statut de démonstration
Important. La plateforme est en Phase 1 · MVP démonstration, données fictives uniquement. Les données saisies doivent être strictement fictives. Aucun patient réel ne doit être créé ou documenté avant la bascule de la plateforme en hébergement HDS (Phase 2). La saisie de données réelles serait constitutive d'un manquement RGPD à la charge exclusive de l'utilisateur.
3. Données collectées et finalités
Les catégories de données traitées sont :
| Catégorie | Finalité | Base légale |
|---|---|---|
| Compte utilisateur (nom, email, rôle, mot de passe haché) | Authentification, gestion des accès | Exécution du contrat (CGU) |
| Identifiants professionnels (RPPS, ADELI, n° d'inscription Ordre) | Vérification de la qualité de professionnel de santé | Obligation légale (CSP) |
| Données patient fictives (identité civile, NIR factice, antécédents) | Démonstration du parcours de télé-expertise | Intérêt légitime (démonstration) |
| Photos cliniques de démonstration | Démonstration de l'analyse à distance | Intérêt légitime (démonstration) |
| Logs techniques (horodatage, IP, action) | Sécurité, traçabilité, audit | Intérêt légitime (sécurité) |
| Cookies de session (httpOnly) | Maintien de la connexion utilisateur | Exempté de consentement (CNIL) |
4. Durée de conservation
- Compte utilisateur : pendant la durée d'utilisation + 3 ans après dernière connexion
- Logs de connexion et d'audit : 1 an (conformité PGSSI-S)
- Données patient fictives : effacées sur demande, ou à la fin de la démonstration
- Cookies de session : expiration à la déconnexion ou après 24 heures d'inactivité
5. Hébergement et sous-traitants
Les données sont hébergées par les prestataires suivants, agissant en qualité de sous-traitants au sens de l'article 28 du RGPD :
- Clever Cloud SAS (4 rue Voltaire, 44000 Nantes, France (RCS Nantes 524 172 699)) : Hébergement applicatif (Next.js, NestJS, PostgreSQL), centres de données situés en France.
- Clever Cloud SAS (Cellar) (4 rue Voltaire, 44000 Nantes, France) : Stockage objet S3-compatible (photos cliniques de démonstration), données en France.
L'ensemble des données est hébergé en France, au sein de l'Union européenne. Aucun transfert hors UE n'est réalisé. En Phase 2 (HDS), l'hébergement sera assuré par un hébergeur certifié « Hébergeur de Données de Santé », également situé en France.
6. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez :
- du droit d'accès à vos données personnelles ;
- du droit de rectification en cas d'inexactitude ;
- du droit à l'effacement (« droit à l'oubli ») ;
- du droit à la limitation du traitement ;
- du droit à la portabilité de vos données ;
- du droit d'opposition au traitement ;
- du droit de définir des directives post-mortem ;
- du droit de retirer votre consentement à tout moment lorsque le traitement est fondé sur celui-ci.
Pour exercer ces droits, écrivez à l'éditeur à __TODO__ contact@eizor.fr en précisant votre identité et l'objet de votre demande. Une réponse vous sera apportée dans un délai d'un mois.
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (Commission nationale de l'informatique et des libertés).
7. Sécurité
Les mesures techniques mises en œuvre incluent : chiffrement des mots de passe (Argon2id), chiffrement du NIR (AES-256-GCM), journal d'audit chaîné par hash, cookies de session sécurisés (httpOnly + SameSite), URLs pré-signées pour les photos avec expiration courte, suppression des métadonnées EXIF (notamment GPS) avant stockage.
La politique de sécurité détaillée est disponible sur la page Sécurité.
8. Violation de données
En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour vos droits et libertés, l'éditeur notifiera la CNIL dans un délai de 72 heures et, le cas échéant, informera les personnes concernées dans les meilleurs délais.