Politique de confidentialité
Dernière mise à jour : avril 2026
1. Responsable du traitement
Le responsable du traitement est le Dr Pierre Serveille, fondateur et directeur de publication de MonBilanSommeil.
- Email : contact@monbilansommeil.fr
- Site : monbilansommeil.fr
Délégué à la protection des données (DPO) : En l'absence de DPO désigné séparément, le responsable du traitement assume provisoirement ce rôle conformément aux recommandations de la CNIL pour les structures de taille modeste. Toute demande relative à la protection des données peut être adressée à contact@monbilansommeil.fr.
2. Données collectées
Données d'identité
Adresse email, mot de passe (haché bcrypt — jamais stocké en clair), prénom, nom, numéro RPPS pour les professionnels de santé.
Données de santé
Réponses aux questionnaires médicaux, avis médicaux, ordonnances, résultats d'explorations nocturnes (polygraphie ventilatoire, oxymétrie). Ces données sont classifiées comme données de santé au sens de l'article 9 du RGPD. Elles sont chiffrées (AES-256-GCM) et hébergées exclusivement chez un prestataire certifié Hébergeur de Données de Santé (HDS), conformément à l'article L.1111-8 du Code de la santé publique.
Données de vérification d'identité
Pour certaines demandes médicales, une photo de pièce d'identité et un selfie peuvent être requis. Ces documents sont chiffrés, hébergés en environnement HDS et supprimés dans les 30 jours suivant leur vérification.
Données de paiement
Les paiements sont traités par Stripe (sous-traitant). MonBilanSommeil ne stocke aucun numéro de carte bancaire. Seuls les identifiants de transaction sont conservés. Les tarifs des avis médicaux sont librement fixés par chaque praticien conformément à l'article R.4127-53 du Code de déontologie médicale.
Données de navigation
Journaux d'accès aux fins de sécurité et de traçabilité des consultations médicales (obligation légale). Aucun cookie de traçage ou publicitaire n'est utilisé. Consultez notre politique de cookies pour le détail des cookies déposés.
3. Bases légales des traitements
| Finalité | Base légale |
|---|---|
| Fourniture du service de téléexpertise | Exécution du contrat |
| Traitement des données de santé | Consentement explicite (art. 9.2.a RGPD) |
| Authentification et sécurité | Intérêt légitime |
| Traitement des paiements | Exécution du contrat |
| Suivi longitudinal des symptômes | Consentement |
| Traçabilité des accès médicaux | Obligation légale |
| Amélioration du service (données agrégées anonymisées) | Intérêt légitime |
4. Destinataires des données
- Médecins experts — uniquement les données nécessaires à l'établissement de l'avis
- Professionnels de santé adresseurs — dans le cadre de la relation de soin existante
- Stripe — traitement des paiements (DPA en vigueur)
- Hébergeur HDS — stockage des données de santé (contrat DPA + certification HDS)
- Prestataire email transactionnel — envoi de notifications uniquement
Aucune donnée n'est vendue à des tiers ni utilisée à des fins publicitaires ou commerciales.
5. Durée de conservation
| Catégorie | Durée | Base légale |
|---|---|---|
| Données médicales — bilans, avis | 20 ans après le dernier acte (28 ans si mineur) | Art. R.1112-7 CSP |
| Données de compte utilisateur | Durée du compte + 3 ans après suppression | Intérêt légitime |
| Photos de vérification d'identité | Suppression dès vérification ou 30 jours max | Consentement |
| Logs d'accès aux données de santé | 3 ans | Obligation légale HDS |
| Logs de connexion / déconnexion | 12 mois | Intérêt légitime (sécurité) |
| Données de paiement et facturation | 10 ans | Obligation comptable légale |
| Suivi longitudinal post-avis | 20 ans | Art. R.1112-7 CSP |
6. Vos droits
Conformément au RGPD, vous disposez des droits suivants et des modalités d'exercice correspondantes :
Droit d'accès (art. 15)
Obtenir une copie de vos données personnelles. Modalité : connectez-vous à votre espace patient → Mon profil → « Télécharger toutes mes données ».
Droit de rectification (art. 16)
Corriger des données inexactes. Modalité : espace patient → Mon profil → modifier vos informations.
Droit à l'effacement (art. 17)
Demander la suppression de votre compte. Modalité : espace patient → Mon profil → Supprimer mon compte. Limite légale : les données médicales (bilans, avis) ne peuvent pas être supprimées avant l'échéance légale de conservation (20 ans, art. R.1112-7 CSP).
Droit à la portabilité (art. 20)
Recevoir vos données dans un format structuré (JSON) et lisible par machine. Modalité : espace patient → Mon profil → « Télécharger toutes mes données (RGPD) ».
Droit d'opposition (art. 21)
Vous opposer à certains traitements fondés sur l'intérêt légitime. Modalité : contact@monbilansommeil.fr
Droit de retrait du consentement
À tout moment pour les traitements fondés sur le consentement, sans affecter la licéité du traitement antérieur. Modalité : contact@monbilansommeil.fr
Droit de réclamation
Si vous estimez que vos droits ne sont pas respectés, vous pouvez saisir la CNIL (www.cnil.fr).
Contact pour l'exercice de vos droits : contact@monbilansommeil.fr — Réponse sous 30 jours conformément à l'art. 12 RGPD.
7. Sécurité des données
MonBilanSommeil met en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement AES-256-GCM de toutes les données de santé au repos
- Transport chiffré TLS 1.3 pour toutes les communications
- Cookies httpOnly, Secure, SameSite — pas d'exposition des tokens JWT au JavaScript
- Authentification à deux facteurs (TOTP — RFC 6238) obligatoire pour les professionnels de santé
- Hébergement exclusif chez un prestataire certifié HDS (Hébergeur de Données de Santé) en France
- Journalisation de chaque accès aux dossiers médicaux (traçabilité HDS)
- Limitation du débit des requêtes (rate limiting) sur les endpoints sensibles
- Politique de conservation des logs conforme aux durées légales (voir section 5)
Hébergeur des données de santé : prestataire certifié HDS, France (nom de l'hébergeur à compléter au déploiement).
Pour signaler une faille de sécurité : contact@monbilansommeil.fr
8. Transferts hors UE
Les données de santé sont hébergées exclusivement sur des serveurs situés dans l'Union Européenne. Stripe opère sous les clauses contractuelles types de la Commission européenne pour les éventuels transferts hors UE.