Conformité RGPD

MEDVY est conçu dès l'origine selon les principes du Privacy by Design et du Privacy by Default prévus par l'article 25 du RGPD.

Concrètement, cela signifie :

• Minimisation : nous ne collectons que les données strictement nécessaires
• Pseudonymisation : les identifiants techniques sont déconnectés des identités lorsque possible
• Chiffrement systématique des communications et des données au repos
• Cloisonnement strict : un médecin ne peut accéder qu'aux données de ses propres patients, via une isolation Row Level Security en base de données
• Conservation limitée : suppression automatique des données obsolètes selon les durées légales
• Transparence : cette politique est accessible publiquement et révisée régulièrement

Les données de santé sont des données sensibles au sens de l'article 9 du RGPD. Leur traitement est interdit par principe, sauf exceptions strictement encadrées.

Dans le cas de MEDVY, le traitement est licite car :

• Il est nécessaire à la prise en charge médicale du patient (art. 9.2.h RGPD)
• Il est effectué par ou sous la responsabilité d'un professionnel de santé soumis au secret médical (art. L.1110-4 du Code de la santé publique)
• Lorsque le patient utilise directement le portail patient, son consentement explicite est recueilli (art. 9.2.a)

L'ensemble des données traitées par MEDVY est stocké en Union Européenne :

• Base de données et stockage : AWS Europe Stockholm (Suède) via Supabase
• Traitement IA : Mistral AI à Paris (France)
• CDN : Cloudflare (POPs mondiaux, mais le stockage est en UE)

MEDVY n'est pas encore certifié HDS (Hébergeur de Données de Santé). La certification est en cours d'étude pour la phase de commercialisation post-beta. Pendant la beta privée, l'usage du Service est destiné à des fins de test et de co-construction avec les médecins fondateurs, et non à un usage clinique en production.

Pour exercer vos droits RGPD, le plus simple est d'envoyer un email à privacy@medvy.fr en précisant :

• Votre identité (nom, prénom, email associé au compte)
• La nature de votre demande (accès, rectification, effacement, etc.)
• Si possible, le contexte (ex: "données patient X dans le cabinet Y")

Nous répondons dans un délai d'un mois.

Vous pouvez également exporter ou supprimer une partie de vos données directement depuis votre espace personnel dans l'application.

En cas d'incident de sécurité affectant vos données personnelles, nous nous engageons à :

• Notifier la CNIL dans les 72 heures suivant la découverte de la violation
• Informer directement les personnes concernées lorsque la violation présente un risque élevé pour leurs droits et libertés
• Documenter toutes les violations dans un registre interne accessible sur demande

À ce jour, aucune violation de données n'a été constatée sur le Service.

L'Éditeur a signé des Data Processing Agreements (DPA) avec chacun de ses sous-traitants traitant des données personnelles :

• DPA Supabase Inc. (incluant les Clauses Contractuelles Types)
• DPA Mistral AI SAS
• DPA Cloudflare Inc. (incluant les CCT et certification DPF)

Ces accords contractualisent les obligations de chaque sous-traitant en matière de protection des données.

L'autorité de contrôle compétente est la Commission Nationale de l'Informatique et des Libertés (CNIL).

Si vous estimez que vos droits ne sont pas respectés malgré vos démarches auprès de nous, vous pouvez introduire une réclamation auprès de la CNIL :

• En ligne : https://www.cnil.fr/fr/plaintes
• Par courrier : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
• Par téléphone : 01 53 73 22 22

Pour toute question, demande ou réclamation relative à vos données personnelles :

Email dédié : privacy@medvy.fr

Courrier postal :
Nathanael Josephson — Privacy MEDVY
11 rue Jean Lurçat
95100 Argenteuil, France

Délai de réponse : 1 mois maximum (extensible à 3 mois en cas de demande complexe, avec notification préalable).