PraxisPraxisSe connecter

Sécurité & HDS

Dernière mise à jour : 6 mai 2026

Praxis a été conçu autour d’un parti pris architectural fort : ne jamais héberger sur ses serveurs de données de santé identifiantes. C’est ce qui garantit une conformité simple, durable et vérifiable au cadre français de protection des données de santé.

Pourquoi nous ne sommes pas hébergeur HDS

L’agrément ou la certification « Hébergeur de Données de Santé » (HDS), encadré par l’article L.1111-8 du Code de la santé publique, vise les acteurs qui hébergent pour le compte de tiers des données de santé à caractère personnel. Praxis ne se trouve dans aucune de ces situations :

  • nous ne stockons pas de dossier patient ;
  • nous ne stockons pas d’antécédents médicaux, ni de diagnostics, ni de plans de traitement nominatifs ;
  • nous ne stockons pas le contenu des comptes-rendus de séance générés — ils sont renvoyés directement au navigateur du praticien sans aucune persistance serveur.

L’hébergement d’une telle donnée nécessiterait un prestataire HDS certifié. À l’inverse, la donnée ne quitte pas le poste du praticien : aucune contrainte HDS ne s’applique à Praxis pour cette part-là.

Comment c’est techniquement garanti

1. La dictée audio est éphémère

L’enregistrement audio de la séance est transmis directement au prestataire de transcription Mistral AI(modèle Voxtral, infrastructure Union européenne). Une fois la transcription textuelle obtenue, l’audio est supprimé : ni Praxis, ni notre infrastructure cloud, ne le persiste.

2. Le compte-rendu n’est jamais persisté côté serveur

Le compte-rendu généré et la fiche d’exercices sont directement renvoyés au navigateur du praticien dans la réponse de l’API, sans être écrits en base ou en fichier temporaire. Le praticien le relit, le corrige, puis l’envoie par email — à aucun moment Praxis ne conserve une copie côté serveur. Aucune base de comptes-rendus n’existe.

3. L’archivage du compte-rendu reste sur votre poste

Si le praticien souhaite consulter ses comptes-rendus passés, l’archive est conservée uniquement dans son navigateur (stockage local). Elle ne transite jamais par nos serveurs et reste sous son contrôle exclusif.

4. La liste des fiches patient reste sur votre poste

L’annuaire patient — emails, noms, téléphones, dates de naissance, notes — est stocké exclusivement dans le navigateur du praticien (stockage local, localStorage). Il n’est jamais transmis à nos serveurs. Vous gardez la main entière : l’application propose un export JSON, et vous pouvez à tout moment effacer la liste depuis votre navigateur.

Sous-traitants techniques

Le détail des sous-traitants, des données qu’ils traitent et des bases légales associées figure dans la politique de confidentialité. En synthèse :

  • Mistral AI(FR/UE) — transcription et génération assistée du compte-rendu ;
  • Supabase— authentification et base d’exercices, région Paris (eu-west-3) ;
  • Vercel— hébergement applicatif, région Irlande (eu-west-1) ;
  • Resend(UE, Irlande) — envoi d’emails transactionnels au patient ;
  • Stripe — traitement des paiements (entité européenne en Irlande, certification PCI-DSS niveau 1).

Mesures de sécurité techniques

  • chiffrement HTTPS/TLSobligatoire pour tout échange entre le navigateur et nos services ;
  • authentification gérée par Supabase Auth, mots de passe hachés(bcrypt) et jamais stockés en clair ;
  • séparation stricte entre traitements client (navigateur du praticien) et serveur, sans donnée patient identifiante côté serveur ;
  • journalisation technique limitée aux métadonnées d’appel (sans contenu) pour la sécurité et le suivi des coûts ;
  • revue régulière des dépendances et des vulnérabilités via les outils de l’écosystème Node.js et Vercel.

Continuité et réversibilité

En cas d’interruption du Service, ou si vous souhaitez quitter Praxis, votre annuaire patient est exportable à tout moment au format JSON depuis l’onglet « Patients ». Cet export constitue la sauvegarde complète et autonome de vos données — il ne dépend en rien d’une exportation côté serveur.

Évolution prévue

À mesure que la base de praticiens utilisateurs croît et que de nouvelles fonctionnalités le justifient, Praxis pourra envisager une migration vers un hébergeur HDS certifié (par exemple Scaleway) afin d’ouvrir des fonctionnalités complémentaires nécessitant la persistance de données patient identifiantes côté serveur. Toute évolution de cette nature serait précédée d’une information claire des praticiens et d’une mise à jour des présents documents.

Signaler une vulnérabilité

Si vous identifiez une vulnérabilité de sécurité, merci de nous l’adresser confidentiellement à [À COMPLÉTER : ex. security@praxis-sante.fr]. Nous nous engageons à étudier chaque signalement de bonne foi et à ne pas engager de poursuites contre les chercheurs respectant un cadre raisonnable de divulgation responsable.