Politique de confidentialité

Dernière mise à jour : 6 mai 2026

La présente politique a pour objet d’informer les utilisateurs du Service Praxis et leurs patients sur les traitements de données personnelles mis en œuvre, conformément au Règlement (UE) 2016/679 (« RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »).

1. Responsable de traitement

Le responsable de traitement est :

• [À COMPLÉTER : nom de l’éditeur]
• [À COMPLÉTER : adresse postale]
• Email : [À COMPLÉTER : ex. privacy@praxis-sante.fr]

En l’absence de traitement à grande échelle de données de santé sur ses serveurs, l’Éditeur n’est pas tenu de désigner un Délégué à la Protection des Données (DPO). Toute question relative à la protection des données peut être adressée à l’email ci-dessus.

2. Catégories de personnes concernées

• Praticiens : ostéopathes et masseurs- kinésithérapeutes utilisateurs du Service ;
• Patients : personnes recevant par email un compte-rendu et une fiche d’exercices, à la suite d’une séance auprès d’un praticien utilisateur.

3. Données traitées et finalités

3.1 Compte praticien

Données : nom, prénom, email, profession, signature et identifiants de connexion (mot de passe haché).

Finalités : création et gestion du compte, authentification, fourniture du Service, support et facturation.

Bases légales :exécution du contrat (CGU/CGV), intérêt légitime de l’Éditeur (sécurité), obligation légale (conservation des factures).

Conservation :pendant la durée d’activité du compte, puis archivage des données de facturation pendant dix (10) ans conformément aux obligations comptables. Les autres données sont supprimées dans un délai raisonnable suivant la clôture du compte (en pratique sous trois (3) mois).

3.2 Dictée vocale et transcription

Données : enregistrement audio de la dictée post-séance et transcription textuelle qui en résulte.

Finalités :permettre la rédaction assistée d’un compte-rendu de séance.

Base légale : exécution du contrat avec le praticien.

Conservation :l’audio est traité en mémoire, transmis au sous-traitant Mistral AI pour transcription, puis supprimé immédiatementsans persistance serveur. La transcription textuelle n’est pas non plus persistée en base : elle existe le temps de la session côté navigateur du praticien.

3.3 Compte-rendu de séance et fiche d’exercices

Données :compte-rendu textuel généré automatiquement (version praticien et version patient), sélection d’exercices associés.

Finalités :permettre la rédaction assistée d’un compte-rendu de séance et l’envoi par email d’une version accessible au patient.

Base légale : exécution du contrat avec le praticien, dans le cadre de la prestation de soin assurée par ce dernier.

Conservation : ces contenus sont générés à la demande puis renvoyés directement au navigateur du praticien. Aucune persistance sur nos serveurs— pas de base de données, pas de fichier temporaire conservé. L’archivage ultérieur du compte-rendu, à des fins de consultation par le praticien, est réalisé exclusivement dans le navigateur de ce dernier (stockage local).

3.4 Liste des fiches patient

Données : identifiant interne, référence, email, nom, téléphone, date de naissance, notes libres saisies par le praticien.

Stockage : ces informations sont stockées exclusivement dans le navigateur du praticien (stockage local). Elles ne sont jamais transmises ni hébergées sur les serveurs de Praxis. Le praticien en est, à ce titre, le responsable de traitement et l’unique détenteur. La fonction d’export intégrée au Service lui permet d’en réaliser une sauvegarde.

3.5 Email du patient destinataire

Données :adresse email du patient, contenu du message envoyé (compte-rendu version patient, fiche d’exercices).

Finalités : envoyer au patient le suivi de sa séance.

Base légale :exécution du contrat avec le praticien et intérêt légitime, le patient ayant été informé par son praticien de l’envoi de ce courriel et l’ayant accepté.

Conservation :l’email du patient n’est pas conservé par l’Éditeur — il transite uniquement le temps de la requête d’envoi. Le sous-traitant Resend conserve, pour ses propres finalités d’exploitation (logs de délivrabilité), les métadonnées d’envoi pour une durée limitée précisée dans sa politique.

3.6 Facturation et paiement

Données : identifiant client Stripe, formule souscrite, dates et montants de paiement, derniers chiffres de la carte, factures.

Finalités : traitement des paiements, lutte contre la fraude, comptabilité.

Base légale : exécution du contrat, obligations légales (comptables et fiscales).

Conservation : dix (10) ans pour les pièces comptables.

Les données bancaires complètes ne sont jamais reçues ni stockées par Praxis : elles sont exclusivement traitées par Stripe, prestataire de services de paiement certifié PCI-DSS niveau 1.

3.7 Logs techniques et journaux d’usage

Données :identifiant praticien, type d’appel API, durée, nombre de tokens consommés, horodatage. Ces logs ne contiennent ni audio, ni transcription, ni contenu de compte-rendu.

Finalités :sécurité, suivi des coûts, détection d’anomalies.

Base légale :intérêt légitime de l’Éditeur.

Conservation : douze (12) mois maximum.

4. Sous-traitants et destinataires

Pour fournir le Service, l’Éditeur a recours aux sous-traitants ci-dessous. Chacun a signé ou est en cours de signature d’un accord de traitement (DPA) au sens de l’article 28 du RGPD.

• Mistral AI (France) — transcription audio (Voxtral) et génération du compte-rendu (modèle Mistral Medium). Données traitées en zone Union européenne.
• Supabase Inc.(États-Unis, infrastructure Union européenne) — authentification et hébergement de la base d’exercices et des comptes praticiens, région eu-west-3 (Paris).
• Vercel Inc.(États-Unis, infrastructure Union européenne) — hébergement de l’application Web, région principale Irlande (eu-west-1).
• Resend, Inc.(États-Unis), traitement opéré depuis l’Irlande (UE) — envoi des emails transactionnels au patient.
• Stripe Payments Europe, Ltd (Irlande) — traitement des paiements.

5. Transferts hors Union européenne

Les données sont, dans toute la mesure du possible, hébergées et traitées au sein de l’Union européenne. Pour les sous-traitants dont la maison-mère est établie aux États-Unis (Supabase, Vercel, Resend, Stripe), des garanties appropriées sont mises en place, notamment au moyen des clauses contractuelles types adoptées par la Commission européenne et, le cas échéant, de leur certification au Data Privacy Framework UE — États-Unis.

6. Sécurité

L’Éditeur met en œuvre des mesures techniques et organisationnelles destinées à protéger les données : chiffrement HTTPS de bout en bout, séparation stricte entre traitements client et serveur, suppression immédiate des audios après transcription, absence de persistance serveur des comptes-rendus générés, hachage des mots de passe, journalisation des accès. Le détail figure sur la page Sécurité & HDS.

7. Cookies et traceurs

Le Service utilise uniquement des cookies strictement nécessaires à son fonctionnement (maintien de la session authentifiée). Aucun cookie publicitaire ni de mesure d’audience non proportionnée n’est déposé sans consentement préalable. Si une solution d’analyse statistique respectueuse de la vie privée venait à être ajoutée, l’information serait mise à jour ici.

8. Droits des personnes

Conformément au RGPD, toute personne concernée dispose des droits suivants :

• droit d’accès (art. 15) ;
• droit de rectification (art. 16) ;
• droit à l’effacement (art. 17) ;
• droit à la limitation du traitement (art. 18) ;
• droit à la portabilité (art. 20) ;
• droit d’opposition (art. 21) ;
• droit de définir des directives relatives au sort des données après le décès.

Ces droits peuvent être exercés en écrivant à [À COMPLÉTER : email de contact], accompagné de tout justificatif d’identité utile. Une réponse sera apportée dans un délai d’un (1) mois.

S’agissant des données stockées localement dans le navigateur du praticien (liste des fiches patient), seul ce dernier dispose des moyens techniques d’accès, de modification et de suppression via l’interface du Service.

9. Réclamation

Toute personne estimant que ses droits ne sont pas respectés peut introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, cnil.fr).

10. Mises à jour

La présente politique peut faire l’objet de modifications. La date de dernière mise à jour figure en tête de page. Les modifications substantielles seront signalées dans l’application.