Politique de Confidentialité

Date de dernière mise à jour : 18 avril 2025

1. Introduction

Bienvenue sur AI DiagMe ! Smart Medical Care Ltd (« nous », « notre », « nos ») s’engage à protéger la vie privée et la sécurité des données personnelles de ses utilisateurs (« vous », « votre »). AI DiagMe est une marque commerciale de Smart Medical Care Ltd.

Cette Politique de Confidentialité explique comment nous collectons, utilisons, partageons, conservons et protégeons vos données personnelles lorsque vous utilisez notre site web aidiagme.fr (le « Site ») et nos services de vulgarisation et d’explication de résultats d’analyses de laboratoire via l’intelligence artificielle (les « Services »).

Elle vous informe également de vos droits en matière de protection des données et des recours possibles. Nous vous encourageons à lire attentivement cette politique. En utilisant nos Services, vous reconnaissez avoir pris connaissance de cette politique. Le traitement de vos données de santé repose sur votre consentement explicite recueilli séparément.

2. Responsable du Traitement

Le responsable du traitement de vos données personnelles est :

  • Smart Medical Care Ltd
  • Société de droit anglais
  • Siège social : 167-169 Great Portland Street, 5th Floor, London, W1W 5PF, Royaume-Uni
  • Numéro d’enregistrement : 15309552
  • Email de contact : contact@aidiagme.com

3. Délégué à la Protection des Données (DPO)

Pour toute question relative à cette politique ou à vos données personnelles, vous pouvez contacter notre Délégué à la Protection des Données :

4. Les Données Personnelles que Nous Collectons

Nous collectons différentes catégories de données personnelles pour vous fournir et améliorer nos Services :

  • Données d’Identification et de Contact : Nom, prénom, adresse email. Nous utilisons votre nom et prénom pour faciliter le processus d’anonymisation de votre rapport d’analyse avant son traitement par l’IA. Nous utilisons votre adresse email pour vous envoyer le rapport IA généré.
  • Données de Santé et de Contexte (Catégories Particulières de Données) :
    • Le fichier de votre rapport d’analyses de laboratoire (sang, urine, selles) que vous chargez (au format PDF).
    • Les informations de contexte que vous nous fournissez via notre formulaire en ligne pour nous aider à générer une explication plus pertinente : âge, sexe, taille, poids, antécédents médicaux personnels et familiaux, allergies, mode de vie, etc.
  • Données de Transaction : Informations relatives à votre achat du Service, traitées directement par notre prestataire de paiement Stripe (nous ne stockons pas vos informations de carte bancaire complètes). L’historique de vos transactions avec nous.
  • Données d’Utilisation Technique et d’Interaction : Informations sur la manière dont vous interagissez avec notre Site et nos Services, collectées via des outils d’analyse comme Microsoft Clarity et Google Analytics (sous réserve de votre consentement via notre bannière cookies). Cela peut inclure votre adresse IP (anonymisée lorsque possible), type de navigateur, pages visitées, temps passé, clics, parcours utilisateur.
  • Données issues des Cookies et Technologies Similaires : Informations collectées via les cookies lorsque vous naviguez sur notre Site, conformément à notre Politique des Cookies et à vos choix de consentement. Cela inclut des données pour l’analyse d’audience et potentiellement pour l’analyse de performance de campagnes publicitaires (Google Ads).
  • Données de Communication : Toute information que vous nous fournissez lorsque vous contactez notre support client ou nous donnez votre avis.

5. Comment Nous Utilisons Vos Données Personnelles (Finalités et Bases Légales)

Nous traitons vos données personnelles pour des finalités spécifiques et uniquement lorsque nous disposons d’une base légale appropriée conformément au RGPD (UK et EU). Voici comment nous utilisons vos données et sur quelles bases légales nous nous appuyons :

  • Pour Fournir le Service AI DiagMe : Nous utilisons vos Données d’Identification, vos Données de Santé et de Contexte, ainsi que le Rapport PDF que vous chargez, afin d’analyser votre rapport et de générer l’explication IA demandée. La base légale principale pour ce traitement est votre Consentement Explicite (conformément à l’Art. 6(1)(a) et Art. 9(2)(a) du RGPD), que nous recueillons via une case à cocher obligatoire avant que le traitement de votre rapport ne commence.

  • Pour Faciliter l’Anonymisation du Rapport PDF : Nous utilisons votre Nom, Prénom et le Rapport PDF pour permettre la suppression de vos identifiants directs du document avant l’analyse IA. Ce traitement est nécessaire à l’exécution du contrat (Art. 6(1)(b) du RGPD) et s’inscrit dans le cadre du traitement global basé sur votre consentement explicite (Art. 9(2)(a) du RGPD).

  • Pour Envoyer le Rapport IA Généré : Nous utilisons votre Adresse Email et le Rapport généré pour vous délivrer le résultat de notre Service. La base légale est la nécessité pour l’exécution du contrat (Art. 6(1)(b) du RGPD).

  • Pour Gérer Votre Compte Utilisateur (si applicable) et la Relation Client : Nous utilisons vos Données d’Identification, de Contact et de Transaction pour gérer votre compte et notre relation commerciale. La base légale est la nécessité pour l’exécution du contrat (Art. 6(1)(b) du RGPD).

  • Pour Traiter les Paiements : Nous utilisons vos Données d’Identification, de Contact et de Transaction pour permettre le traitement sécurisé de votre paiement via notre prestataire Stripe. La base légale est la nécessité pour l’exécution du contrat (Art. 6(1)(b) du RGPD).

  • Pour Analyser l’Utilisation du Site et des Services afin de les Améliorer et de les Sécuriser : Nous utilisons les Données d’Utilisation et les données issues des Cookies (Analytics comme Microsoft Clarity, Google Analytics). La base légale pour l’utilisation des cookies non essentiels est votre Consentement (Art. 6(1)(a) du RGPD), recueilli via la bannière cookies. Pour les aspects liés à la sécurité du service, la base légale est notre Intérêt Légitime (Art. 6(1)(f) du RGPD).

  • Pour Améliorer nos Modèles d’IA (Potentiel, avec données anonymisées) : Nous pourrons utiliser les Données de Santé Anonymisées (issues de vos rapports après suppression des identifiants) pour améliorer la qualité et la pertinence de nos services. La base légale pour ce traitement de données anonymisées est notre Intérêt Légitime (Art. 6(1)(f) du RGPD), sous réserve de votre droit d’opposition (opt-out). Ce traitement n’intervient qu’après anonymisation.

  • Pour Analyser l’Efficacité des Campagnes Marketing : Nous utilisons les données issues des Cookies (Publicitaires/Marketing comme ceux de Google Ads). La base légale est votre Consentement (Art. 6(1)(a) du RGPD), recueilli via la bannière cookies.

  • Pour Répondre à Vos Demandes : Nous utilisons vos Données d’Identification, de Contact et de Communication lorsque vous contactez le support client ou nous posez des questions. La base légale est la nécessité pour l’exécution du contrat (Art. 6(1)(b) du RGPD) ou notre Intérêt Légitime (Art. 6(1)(f) du RGPD) à répondre à vos sollicitations.

  • Pour Envoyer des Communications Marketing (Newsletters, offres – si mis en place) : Si nous mettons en place ce type de communication, nous utiliserons votre Adresse Email uniquement sur la base de votre Consentement spécifique (opt-in) (Art. 6(1)(a) du RGPD). Ce consentement sera demandé séparément et ne sera jamais présumé par votre utilisation du Service principal.

  • Pour Respecter nos Obligations Légales et Réglementaires : Nous pouvons traiter toutes données personnelles pertinentes si cela est nécessaire pour nous conformer à une obligation légale (Art. 6(1)(c) du RGPD).

Anonymisation et Amélioration de l’IA : Notre outil interne supprime votre nom et prénom de votre rapport PDF avant toute analyse par l’IA. Nous pourrons utiliser ces données de santé, une fois anonymisées, pour entraîner et améliorer nos modèles d’IA afin de rendre nos explications plus précises et utiles. Ceci est basé sur notre intérêt légitime. Vous avez le droit de vous opposer (« opt-out ») à cette utilisation de vos données anonymisées pour l’amélioration de nos modèles en nous envoyant un email à contact@aidiagme.com, comme mentionné dans nos Conditions d’Utilisation.

6. Partage de Vos Données Personnelles

Nous ne vendons pas vos données personnelles. Nous pouvons partager vos données personnelles avec des tiers uniquement dans les cas suivants et avec des garanties appropriées :

  • Prestataires de Services (Sous-traitants) :
    • Hébergement : Microsoft Azure (Microsoft Ireland Operations Limited) pour l’hébergement sécurisé (HDS en France) de nos systèmes et de vos données.
    • Traitement des Paiements : Stripe, Inc. pour traiter vos paiements de manière sécurisée. Stripe peut collecter vos données de paiement directement.
    • Analyse d’audience et d’interaction : Google (pour Google Analytics, Google Ads) et Microsoft (pour Microsoft Clarity), sous réserve de votre consentement aux cookies.
    • Fournisseurs d’Infrastructure IA (pour données anonymisées uniquement) : Nous utilisons une combinaison de modèles IA développés en interne et de services tiers. Seules les données de vos rapports préalablement anonymisées par nos soins sont envoyées à ces fournisseurs tiers pour générer l’explication. Ils agissent comme sous-traitants pour cette tâche spécifique sur les données anonymisées.
  • Obligations Légales : Si la loi l’exige, nous pouvons divulguer vos données aux autorités compétentes (tribunaux, régulateurs, forces de l’ordre).
  • Transfert d’Activité : En cas de fusion, acquisition ou vente de tout ou partie de nos actifs, vos données pourraient être transférées à l’entité acquéreuse, sous réserve qu’elle respecte des engagements de confidentialité similaires.

Nous exigeons de tous nos sous-traitants qu’ils respectent la sécurité de vos données personnelles et les traitent conformément à la loi. Ils ne sont autorisés à traiter vos données que pour les finalités spécifiées et selon nos instructions.

7. Transferts Internationaux de Données

Certains de nos prestataires de services (Stripe, Google, Microsoft, etc) sont basés ou opèrent en dehors du Royaume-Uni (UK) et de l’Espace Économique Européen (EEE), principalement aux États-Unis.

Lorsque nous transférons des données personnelles en dehors du UK/EEE, nous nous assurons qu’un niveau de protection adéquat est garanti par l’une des mesures suivantes :

  • Le pays destinataire bénéficie d’une décision d’adéquation de la part de la Commission Européenne ou du gouvernement britannique (par exemple, le Cadre de Protection des Données UE-USA et son extension britannique pour les entreprises certifiées comme Stripe, Google, Microsoft).
  • Nous mettons en place des garanties appropriées, telles que les Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne et/ou l’ICO britannique, accompagnées d’évaluations d’impact sur les transferts si nécessaire.

Veuillez noter que les données envoyées aux fournisseurs d’IA tiers sont préalablement anonymisées par nos soins avant le transfert.

8. Sécurité des Données

Nous avons mis en place des mesures de sécurité techniques et organisationnelles appropriées pour prévenir la perte accidentelle, l’utilisation ou l’accès non autorisé, la modification ou la divulgation de vos données personnelles. Celles-ci incluent :

  • Hébergement sur des serveurs certifiés HDS (Microsoft Azure en France).
  • Anonymisation des rapports avant traitement par l’IA.
  • Chiffrement des données en transit et au repos lorsque cela est approprié.
  • Contrôles d’accès stricts pour limiter l’accès aux données personnelles aux seules personnes ayant besoin d’y accéder pour leurs missions.
  • Procédures en cas de violation de données présumée.

9. Durée de Conservation des Données

Nous conservons vos données personnelles uniquement pendant la durée nécessaire pour atteindre les finalités pour lesquelles nous les avons collectées, y compris pour satisfaire aux exigences légales, comptables ou de reporting.

  • Données de Compte, de Contact et de Contexte : Conservées tant que votre compte est actif, puis pendant une durée maximale de 3 ans après votre dernière interaction avec nos Services, sauf si vous demandez leur suppression avant.
  • Rapport d’Analyse PDF Original : Conformément au principe de minimisation, nous recommandons de supprimer ce fichier peu de temps après la génération et l’envoi réussi du rapport IA. Nous le conserverons pour une durée maximale de 90 jours pour résoudre d’éventuels problèmes de livraison, puis il sera supprimé de manière sécurisée.
  • Rapport IA Généré (Anonymisé) : Ce rapport, qui ne contient plus vos identifiants directs, est conservé pour vous permettre d’y accéder (par exemple via le futur portail patient) et à des fins d’analyse interne. Nous le conserverons pendant une durée de 3 ans après la dernière activité du compte, ou une durée fixe comme 5 ans, sauf demande de suppression anticipée de votre compte.
  • Données Anonymisées pour l’Amélioration de l’IA : Les données qui ont été rendues anonymes de manière irréversible (ne permettant plus de vous ré-identifier) ne sont plus considérées comme des données personnelles et peuvent être conservées plus longtemps, voire indéfiniment, à des fins de recherche et d’amélioration de nos modèles.
  • Données de Transaction : Conservées pendant la durée requise par les obligations légales et comptables (généralement 6 ans au Royaume-Uni après la fin de l’année fiscale concernée).

10. Vos Droits en Matière de Protection des Données

Selon le RGPD (UK et EU), vous disposez des droits suivants concernant vos données personnelles :

  • Droit d’accès : Demander une copie des données que nous détenons sur vous.
  • Droit de rectification : Demander la correction des données inexactes ou incomplètes.
  • Droit à l’effacement (« droit à l’oubli ») : Demander la suppression de vos données, sous certaines conditions.
  • Droit à la limitation du traitement : Demander de restreindre le traitement de vos données, sous certaines conditions.
  • Droit d’opposition : Vous opposer au traitement de vos données basé sur notre intérêt légitime (y compris l’utilisation de données anonymisées pour l’amélioration de l’IA via l’opt-out). Vous opposer au marketing direct.
  • Droit à la portabilité des données : Demander à recevoir les données que vous nous avez fournies dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement, sous certaines conditions.
  • Droit de retirer votre consentement : Si le traitement est basé sur votre consentement (notamment pour les données de santé et le marketing), vous pouvez le retirer à tout moment, sans affecter la licéité du traitement antérieur.

Comment exercer vos droits : Actuellement, vous pouvez exercer vos droits en contactant notre DPO par email à contact@aidiagme.com. Nous prévoyons de mettre en place un portail utilisateur qui vous permettra également de gérer certaines de vos données et demandes directement. Nous pourrons vous demander de vérifier votre identité avant de répondre à votre demande.

11. Enfants / Mineurs

Nos Services ne sont pas destinés aux personnes âgées de moins de 18 ans. Nous mettons en place une vérification de l’âge (confirmation d’avoir au moins 18 ans) avant le paiement. Nous ne collectons pas sciemment de données personnelles auprès de personnes de moins de 18 ans.

12. Cookies

Nous utilisons des cookies et technologies similaires sur notre Site. Pour plus d’informations sur les cookies que nous utilisons, les finalités et comment gérer vos préférences, veuillez consulter notre Politique des Cookies.

13. Modifications de cette Politique de Confidentialité

Nous pouvons mettre à jour cette politique de temps à autre. La date de dernière mise à jour sera indiquée en haut de cette page. Nous vous encourageons à consulter cette page régulièrement pour rester informé de la manière dont nous protégeons vos données.

14. Droit d’Introduire une Réclamation

Si vous avez des préoccupations concernant la manière dont nous traitons vos données personnelles, nous vous encourageons à contacter d’abord notre DPO.

Vous avez également le droit d’introduire une réclamation auprès de l’autorité de contrôle compétente :

  • Au Royaume-Uni, l’autorité est l’Information Commissioner’s Office (ICO) (www.ico.org.uk).
  • Si vous résidez dans un pays de l’Union Européenne, vous pouvez introduire une réclamation auprès de l’autorité de protection des données de votre pays (par exemple, la CNIL en France, www.cnil.fr).