Politique de Confidentialité
Dernière mise à jour : 1er mai 2026
Conformité RGPD & données de santé
Acapy traite des données de santé à caractère personnel et s'engage à respecter le Règlement Général sur la Protection des Données (RGPD – UE 2016/679) ainsi que les dispositions de la loi Informatique et Libertés. Toutes les données médicales sont chiffrées au repos (AES-256-CBC) et en transit (TLS 1.3).
1. Responsable du traitement
2. Données collectées
Acapy collecte les catégories de données suivantes :
Données d'identité et de compte
- Nom, prénom
- Adresse email
- Numéro de téléphone
- Numéro RPPS
- Spécialité médicale
🔴 Données médicales des patients (données sensibles)
- Enregistrements audio des consultations (temporaires)
- Transcriptions textuelles
- Actes de consultation générés
- Ordonnances médicales
- Données de santé saisies manuellement (TA, pouls, etc.)
Données techniques et d'utilisation
- Adresse IP
- Logs d'activité
- Type de navigateur et d'appareil
- Données de session
Données de facturation
- Informations de paiement (traitées par Stripe)
- Historique de facturation
3. Finalités du traitement
4. Traitement des données de santé
⚕️ Données sensibles — Article 9 RGPD
Les données de santé bénéficient d'un niveau de protection renforcé. Elles sont traitées exclusivement dans le cadre de la prestation de services aux professionnels de santé, dans le respect de l'article 9(2)(h) du RGPD.
- Chiffrement AES-256-CBC de toutes les données médicales en base de données
- Les enregistrements audio sont supprimés après transcription (72h maximum)
- Accès aux données strictement limité au personnel habilité
- Hébergement sur serveurs certifiés HDS (Hébergeur de Données de Santé) en France
- Aucune utilisation des données pour entraîner des modèles d'IA sans consentement explicite
5. Sous-traitants et transferts de données
Acapy fait appel aux sous-traitants suivants :
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Mistral AI | Transcription audio (Voxtral) & analyse médicale | UE (France) |
| Stripe | Traitement des paiements | UE / USA (SCCs) |
| Hetzner / OVH | Hébergement serveurs | UE (France/DE) |
Les transferts hors UE sont encadrés par des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne.
6. Durée de conservation
7. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
Droit d'accès
Obtenir une copie de vos données
Droit de rectification
Corriger des données inexactes
Droit à l'effacement
Supprimer vos données (sous conditions légales)
Droit à la portabilité
Recevoir vos données dans un format structuré
Droit d'opposition
Vous opposer à certains traitements
Droit de limitation
Limiter le traitement de vos données
Pour exercer vos droits, contactez notre DPO à dpo@acapy.ai. Vous pouvez également introduire une réclamation auprès de la CNIL.
8. Sécurité des données
Acapy met en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement AES-256-CBC des données au repos
- Chiffrement TLS 1.3 des données en transit
- Authentification par token Sanctum avec expiration automatique
- Journalisation des accès et détection d'anomalies
- Tests de pénétration annuels
- Sauvegardes chiffrées quotidiennes avec rétention de 30 jours
9. Contact et réclamations
Pour toute question relative à la protection de vos données :