Dernière mise à jour : 9 juillet 2026
Politique de confidentialité
La présente politique décrit comment le Service MyHealth collecte et traite les données personnelles, en application du règlement (UE) 2016/679 (RGPD) et de la loi « Informatique et Libertés ». MyHealth traite des données de santé, qui constituent une catégorie particulière de données au sens de l'article 9 du RGPD et font l'objet d'une protection renforcée.
[…] (identité du responsable, DPO, durées définitives) doivent être renseignés, et cette politique validée par un conseil juridique, avant tout traitement de données réelles. La configuration d'hébergement actuelle n'étant pas certifiée HDS, le Service ne doit être utilisé qu'avec des données synthétiques à ce stade.1. Responsable du traitement
Le responsable du traitement est [RAISON SOCIALE], [ADRESSE], joignable à privacy@myhealthsaas.com.
2. Délégué à la protection des données (DPO)
Pour toute question relative à vos données, vous pouvez contacter le délégué à la protection des données : [NOM / SOCIÉTÉ DPO], dpo@myhealthsaas.com.
3. Données collectées
| Catégorie | Données |
|---|---|
| Compte et identité | adresse électronique, nom affiché, mot de passe (haché), rôle (patient / professionnel), numéro RPPS le cas échéant. |
| Données de santé (art. 9 RGPD) | mesures saisies ou importées (fréquence cardiaque, pas, poids, tension, glycémie, saturation, sommeil…), fiche d'urgence (groupe sanguin, allergies, traitements, contact), annotations, alertes. |
| Partage et consentement | invitations, autorisations d'accès (grants) et leur périmètre, enregistrements de consentement, journal des accès (« qui a vu quoi »). |
| Données techniques | jetons de session, jetons d'appareil pour les notifications, journaux techniques et de sécurité, données strictement nécessaires au fonctionnement. |
4. Finalités et bases légales
| Finalité | Base légale (RGPD) |
|---|---|
| Fournir le service de suivi et de partage de données de santé | Votre consentement explicite au traitement de données de santé (art. 9.2.a) et l'exécution du contrat (art. 6.1.b). |
| Partage avec les proches et professionnels que vous désignez | Votre consentement explicite (art. 9.2.a), révocable à tout moment. |
| Fiche d'urgence accessible par lien public | Votre consentement explicite, ou la sauvegarde des intérêts vitaux (art. 9.2.c). |
| Sécurité, prévention des abus, journalisation des accès | Intérêt légitime (art. 6.1.f) et obligations de sécurité (art. 32). |
| Respect d'obligations légales | Obligation légale (art. 6.1.c). |
5. Destinataires des données
Vos données ne sont accessibles qu'à :
- vous-même, titulaire du compte ;
- les proches et professionnels que vous désignez, strictement dans le périmètre du partage que vous avez défini ;
- en cas de fiche d'urgence publiée, toute personne disposant du lien public (aux seules informations minimales que vous y renseignez) ;
- nos sous-traitants techniques (ci-dessous), agissant sur nos instructions.
Vos données de santé ne sont ni vendues, ni louées, ni utilisées à des fins publicitaires.
6. Sous-traitants et transferts hors UE
| Sous-traitant | Rôle | Localisation / encadrement |
|---|---|---|
| Supabase, Inc. | Base de données, authentification | Région eu-west-2 (Londres, Royaume-Uni) — pays bénéficiant d'une décision d'adéquation. |
| Vercel Inc. | Hébergement de l'application web (fonctions serveur) | États-Unis — transfert encadré par les clauses contractuelles types et/ou le Data Privacy Framework. |
| Google LLC | Connexion via Google (SSO), si vous l'utilisez | États-Unis — transfert encadré par les clauses contractuelles types et/ou le Data Privacy Framework. |
| Anthropic PBC | Analyse IA (fonction « Analyse IA »), sur demande explicite de votre part | États-Unis — transfert encadré par les clauses contractuelles types. Seules des statistiques agrégées (moyennes, tendances) sont transmises, jamais vos mesures individuelles ; les données ne sont pas utilisées pour entraîner de modèle. |
La fonction « Analyse IA » n'est déclenchée que lorsque vous cliquez vous-même sur « Analyser mes données ». Elle produit une lecture de bien-être de vos tendances et n'a aucune valeur de diagnostic. Si vous ne l'utilisez pas, aucune donnée n'est transmise à Anthropic.
7. Durées de conservation
- Données de compte et de santé : pour toute la durée du compte, puis suppression sous [30 jours] après clôture (hors obligations légales) ;
- Journaux d'accès et de consentement : conservés à titre de preuve pendant [durée à définir] ;
- Journaux techniques de sécurité : [6 à 12 mois].
8. Sécurité
Des mesures techniques et organisationnelles protègent vos données, notamment : cloisonnement par utilisateur au niveau de la base de données (Row-Level Security), chiffrement des échanges (TLS) et au repos, minimisation des accès des tiers au strict périmètre autorisé, révocation immédiate des partages, journalisation des accès. Aucune mesure ne pouvant garantir une sécurité absolue, tout incident de sécurité vous serait notifié conformément à la réglementation.
9. Vos droits
Vous disposez des droits d'accès, de rectification, d'effacement, de limitation, d'opposition, de portabilité, et du droit de retirer votre consentement à tout moment (sans effet rétroactif). Vous pouvez également définir des directives relatives au sort de vos données après votre décès.
Pour exercer ces droits, contactez privacy@myhealthsaas.com. Vous pouvez aussi introduire une réclamation auprès de la CNIL (www.cnil.fr).
10. Mineurs
Le Service est destiné aux personnes majeures. Les données d'un mineur ne peuvent être traitées que sous la responsabilité et avec le consentement du titulaire de l'autorité parentale.
11. Cookies
L'utilisation des cookies est décrite dans la politique cookies.
12. Modifications
La présente politique peut être mise à jour. En cas de modification substantielle, vous en serez informé par un moyen approprié.