Politique de confidentialité
Dernière mise à jour : 28 avril 2026 — RGPD (UE 2016/679) + AI Act (UE 2024/1689) compliant.
Responsable de traitement
Dr Julien Schemoul — RPPS 10101386109, éditeur de MonRhumato.fr. Contact protection des données : julienschemoul@monrhumato.fr (à défaut julien.schemoul@monrhumato.fr).
Catégories de données traitées
| Donnée | Finalité | Conservation |
|---|---|---|
| Email + RPPS (médecins inscrits) | Authentification, profil opt-in annuaire | Durée du compte + 12 mois après suppression |
| Bio, sur-spécialités, site web, LinkedIn | Profil public annuaire (opt-in volontaire) | Tant que le profil est public |
| Notifications push (subscription) | Envoi notifications de veille | Jusqu'à désinscription |
| Logs techniques (IP anonymisée, user-agent) | Sécurité, anti-bot, debug | 30 jours |
| Likes anonymes (fingerprint hashé) | Compteurs articles, dédup | 12 mois |
| localStorage (favoris, préférences) | Mémorisation côté navigateur | Tant que l'utilisateur ne vide pas son cache |
| Cookies analytics (GA, Clarity) | Mesure d'audience (consentement requis) | 13 mois max |
Aucune donnée de santé identifiée n'est actuellement collectée (pas de questionnaire patient persistant). Si une fonctionnalité patient à donnée santé est ajoutée, l'hébergement basculera vers une infrastructure HDS conformément à l'Art. L. 1111-8 du Code de la santé publique.
Bases légales du traitement (RGPD Art. 6)
- Consentement explicite (Art. 6.1.a) : profil public annuaire, notifications push, cookies analytics.
- Exécution contractuelle (Art. 6.1.b) : authentification, accès aux fonctionnalités du compte.
- Intérêt légitime (Art. 6.1.f) : sécurité du site, anti-bot, statistiques agrégées anonymes.
Sous-traitants RGPD
| Sous-traitant | Rôle | Localisation | Garantie transfert |
|---|---|---|---|
| Vercel Inc. | Hébergement web, CDN, logs | USA (régions UE pour edge) | SCC + DPA |
| Supabase Inc. | Auth, base de données comptes médecins | eu-west-1 (Irlande) | SCC + DPA, SOC 2 Type II |
| Groq Cloud | LLM (résumés, classification IA santé) | USA | SCC, no-training clause |
| Google Generative AI (Gemini) | LLM fallback, traduction titres | USA / UE | SCC, no-training (API enterprise) |
| Google YouTube Data API v3 | Métadonnées vidéos publiques | USA | SCC |
| Microsoft Clarity | Analytics comportementaux (consentement) | USA | SCC + DPA |
| Google Analytics 4 | Mesure d'audience (consentement) | USA | SCC + DPA, IP anonymisée |
SCC = Standard Contractual Clauses (Art. 46.2.c RGPD). DPA = Data Processing Agreement.
Cookies et traceurs
Cookies fonctionnels (essentiels, sans consentement) : authentification (cookie session Supabase), mémorisation du mode patient/médecin.
Cookies analytics(Google Analytics 4, Microsoft Clarity) : mesure d'audience anonymisée. Déposés uniquement après consentement explicite via le bandeau cookies. Refus possible sans dégradation des fonctionnalités.
Lorsque vous ouvrez un contenu externe (article PubMed, vidéo YouTube intégrée, FRAX, application iframe), le site distant peut déposer ses propres cookies — leurs politiques s'appliquent.
Vos droits RGPD
En application du RGPD (UE 2016/679) et de la Loi Informatique et Libertés modifiée (Loi n° 2018-493), vous bénéficiez des droits suivants :
- Accès — obtenir copie de vos données (Art. 15)
- Rectification — corriger les données inexactes (Art. 16)
- Effacement(« droit à l'oubli ») — Art. 17
- Limitation du traitement — Art. 18
- Portabilité — récupérer vos données dans un format structuré (Art. 20)
- Opposition — vous opposer au traitement (Art. 21)
- Définition de directives post-mortem — Art. 85 Loi Informatique et Libertés
Pour exercer ces droits ou toute question : julienschemoul@monrhumato.fr — réponse sous 1 mois (Art. 12 RGPD).
Vous disposez également du droit de réclamation auprès de la CNIL (Art. 77 RGPD).
Intelligence artificielle (AI Act 2024/1689)
En conformité avec l'Art. 50 du Règlement européen sur l'intelligence artificielle (AI Act), vous êtes informé que certaines fonctionnalités utilisent des systèmes d'IA :
- Veille mensuelle (Groq llama 3.3 70B / Gemini 2.0 Flash)
- Résumés et traductions (Groq / Gemini)
- Classification automatique d'articles (Groq)
- Recherche par auteur PubMed (algorithmes E-utilities NCBI)
Ces systèmes ne classifient pas l'utilisateur, ne prennent pas de décision le concernant et ne sont pas qualifiés « haut risque » au sens de l'Annexe III de l'AI Act. Aucune donnée personnelle n'est utilisée pour entraîner les modèles.
Sécurité
Mesures techniques et organisationnelles (Art. 32 RGPD) : chiffrement TLS 1.3 en transport, chiffrement au repos (Supabase, Vercel), authentification PKCE, mots de passe hashés (bcrypt), Row Level Security côté DB, journalisation des accès aux données sensibles, sauvegardes quotidiennes 7 jours.
En cas de violation de données affectant vos droits, notification à la CNIL sous 72 h et information aux personnes concernées le cas échéant (Art. 33-34 RGPD).