Politique de Confidentialité

Dernière mise à jour : 11 juin 2026 — Version 2.0

Conforme RGPD Hébergé France — Azure Chiffrement TLS 1.2+

1. Responsable du traitement des données

GALIMED est responsable du traitement de vos données personnelles au sens du Règlement Général sur la Protection des Données (RGPD — UE 2016/679).

Délégué à la Protection des Données (DPO) :
Email : contact@galimedai.org
Objet du mail : [DPO] suivi de votre demande
Délai de réponse : 30 jours ouvrés maximum

2. Données collectées

Nous collectons uniquement les données nécessaires au fonctionnement de la plateforme :

2.1 Données d'identification

Nom, prénom, adresse email
Rôle (patient, médecin, hôpital, pharmacie, laboratoire)
Mot de passe (stocké sous forme hachée — bcrypt)
Numéro de téléphone (optionnel, 2FA)

2.2 Données médicales (professionnels de santé)

Numéro RPPS / identifiant professionnel
Spécialité médicale
Documents de vérification KYC (diplômes, carte professionnelle) — traités par Stripe Identity

2.3 Données de santé (patients)

Symptômes et résultats d'analyse IA
Prescriptions médicales validées
Historique de consultations
Images médicales uploadées (scans)

2.4 Données techniques

Adresse IP, user-agent (sécurité)
Logs de connexion (durée 90 jours)
Données de facturation (via PayPal / Microsoft Marketplace)

3. Bases légales du traitement

Finalité	Base légale
Création et gestion du compte	Exécution du contrat
Analyse médicale IA	Consentement explicite
Vérification KYC professionnels	Obligation légale (LCB-FT)
Facturation et paiements	Exécution du contrat
Sécurité et lutte anti-fraude	Intérêt légitime
Amélioration du service (anonymisé)	Intérêt légitime
Communications marketing	Consentement (opt-in uniquement)

4. Durées de conservation

Type de données	Durée de conservation
Compte utilisateur actif	Durée de la relation contractuelle
Données médicales	10 ans après le dernier acte (obligation légale santé)
Données de facturation	10 ans (obligation comptable)
Logs de connexion	90 jours
Données KYC (documents)	5 ans après la vérification (Stripe Identity)
Compte inactif	Suppression automatique après 3 ans d'inactivité

5. Vos droits

Conformément au RGPD, vous disposez des droits suivants, exerçables à tout moment à l'adresse contact@galimedai.org :

Droit d'accès (Art. 15) : obtenir une copie de vos données personnelles
Droit de rectification (Art. 16) : corriger vos données inexactes
Droit à l'effacement / "droit à l'oubli" (Art. 17) : demander la suppression de vos données. Délai de traitement : 30 jours. Note : certaines données médicales peuvent être conservées sur obligation légale.
Droit à la limitation (Art. 18) : suspendre temporairement le traitement
Droit à la portabilité (Art. 20) : recevoir vos données dans un format structuré (JSON)
Droit d'opposition (Art. 21) : vous opposer à un traitement basé sur l'intérêt légitime
Droit de retrait du consentement : à tout moment, sans effet sur les traitements antérieurs

Pour exercer vos droits : envoyez un email à contact@galimedai.org avec l'objet [RGPD] Demande d'exercice de droit et une pièce d'identité en cas de demande d'effacement ou de portabilité.

En cas de réponse insatisfaisante, vous pouvez saisir la CNIL : www.cnil.fr/fr/plaintes

6. Hébergement et transferts de données

Les données sont hébergées sur Microsoft Azure — France Central (Paris). Elles ne quittent pas l'Union Européenne.

Infrastructure conforme HDS (Hébergeur de Données de Santé) — certification en cours.

Sous-traitants

Sous-traitant	Rôle	Localisation
Microsoft Azure	Hébergement, BDD, IA	France Central (UE)
Stripe Identity	Vérification KYC	UE — DPA signé
PayPal	Paiements	UE — DPA signé
Azure OpenAI	IA médicale (anonymisé)	France Central (UE)

7. Sécurité des données

Chiffrement en transit : TLS 1.2+ (HTTPS obligatoire)
Chiffrement au repos : Azure Cosmos DB chiffrement natif
Secrets gérés via Azure Key Vault
Mots de passe hachés : bcrypt (coût 10)
Authentification 2FA disponible (TOTP)
KYC obligatoire pour les professionnels de santé (Stripe Identity)
Surveillance via Azure Application Insights

8. Cookies

GALIMED utilise uniquement des cookies fonctionnels strictement nécessaires (session, authentification). Aucun cookie de tracking publicitaire n'est déposé.

Un cookie de consentement est déposé pour mémoriser votre choix (durée : 12 mois).

9. Données des mineurs

La plateforme GALIMED n'est pas destinée aux mineurs de moins de 16 ans. Toute donnée collectée par erreur sera supprimée sur demande adressée à contact@galimedai.org.

10. Modifications

Cette politique peut être mise à jour. En cas de modification substantielle, vous serez informé par email ou notification dans l'application. La version en vigueur est toujours disponible sur cette page.

Contact DPO : contact@galimedai.org
Site : www.galimedai.org