Aller au contenu principal
AIPD · RGPD Art. 35

Analyse d'Impact protection des données

Cette AIPD documente publiquement les modules d'intelligence artificielle de MonRhumato.fr. Elle suit la méthodologie CNIL (logiciel PIA) et complète notre page de transparence IA (AI Act Art. 50). Imprimable au format PDF via l'export navigateur (Ctrl+P → « Enregistrer en PDF »).

Dernière mise à jour : 6 mai 2026 · Auteur : Dr Julien Schemoul · Validateur : DPO MonRhumato.fr · Méthodologie : CNIL PIA v3

1. Contexte du traitement

MonRhumato.fr est une plateforme éditoriale indépendante d'information en rhumatologie. Elle utilise des modèles de langage (LLM) pour quatre opérations qui n'impactent ni n'altèrent aucune décision médicale individuelle. Voir /transparence-ia pour la liste détaillée des modules.

Donnée traitée par les LLM :exclusivement du texte public (titres et abstracts d'articles scientifiques PubMed, métadonnées publiques ANS / OpenAlex / HAL pour le module profil synthétique). Aucune donnée patient identifiablen'est jamais transmise à un LLM.

2. Nécessité et proportionnalité

  • Finalité légitime— chaque module sert un besoin produit identifié (résumés FR pour faciliter l'accès à la littérature anglophone, classification pour filtrer le feed par pathologie, profil synthétique pour aider à la recherche d'un confrère).
  • Base légale — Intérêt légitime (RGPD Art. 6.1.f) pour les traitements opérés sur du texte public. Pas de PII patient dans les inputs.
  • Minimisation— un seul modèle par tâche, pas de fine-tuning, pas d'archivage des prompts en clair (uniquement hashes SHA-256 dans `ai_invocations`).
  • Limitation de finalité — clauses contractuelles « no-training » avec Groq Cloud et Google AI Studio. Les inputs/outputs ne servent pas à entraîner de futurs modèles.

3. Mesures de sécurité techniques

  • Chiffrement transport — TLS 1.3 sur tous les appels Groq Cloud et Google AI Studio.
  • Authentification API— clés API stockées en variables d'environnement Vercel (chiffrées au repos), jamais en code source.
  • Rate-limit côté provider— protection naturelle contre l'abus.
  • Watermark cryptographique ED25519 — les outputs stockés en base sont signés. Vérification publique via /api/ai/verify.
  • Cache hashé— les prompts ne sont stockés qu'en hash SHA-256 dans `ai_invocations` ; l'output stocké en cache est intégral (mais signé).

4. Risques identifiés et atténuations

RisqueProbabilitéAtténuation
Hallucination — info inventée affichée comme factuelleMoyenneBadge « IA · à vérifier » obligatoire · bouton signalement (1 clic) · revue qualité sous 7 j
Biais sur sous-population médicale (genre, ethnie, hôpital)Faible (input text public)Pas d'input PII, prompts neutres, monitoring qualitatif
Fuite de données via promptTrès faibleInputs = uniquement texte public, no-training contractuel
Falsification d'un output (man-in-the-middle, BDD compromise)FaibleWatermark ED25519 sur outputs stockés, vérifiable
Indisponibilité du LLM principalMoyenne (quota Groq)Fallback automatique vers Gemini 2.0 Flash
Coût qui dérapeFaibleCache permanent + free tier Groq + monitoring `ai_invocations`

5. Droits des personnes

  • Information (Art. 13-14) — page /transparence-ia + bandeau « IA · à vérifier » sur chaque output.
  • Accès (Art. 15) — un médecin avec profil opt-in peut récupérer le résumé synthétique le concernant via /api/rgpd/export.
  • Rectification (Art. 16) — bouton de signalement sur chaque résumé, traitement sous 7 j.
  • Effacement (Art. 17) — la suppression du compte purge la table `practitioner_ai_summary` du médecin (cascade ON DELETE).
  • Opposition (Art. 21) + décision automatisée (Art. 22)— non applicable car aucun module IA ne prend de décision concernant l'utilisateur.

6. Faut-il une AIPD CNIL formelle ?

La CNIL recommande une AIPD obligatoire pour les traitements « susceptibles d'engendrer un risque élevé » (Art. 35.1 RGPD), notamment quand ils impliquent :

  • • Décision automatisée à effet juridique (Art. 22) — ❌ non applicable ici
  • • Surveillance systématique à grande échelle — ❌ non applicable
  • • Données sensibles à grande échelle — ❌ pas de données de santé patient

Conclusion: une AIPD formelle n'est pas légalement obligatoire pour nos modules actuels. Cette page est néanmoins publiée par souci de transparence et pour anticiper les exigences AI Act qui se renforcent à partir de 2026.

Pour audit ou question : dpo@monrhumato.fr · transparence IA · registre RGPD