Politique de confidentialité

Conforme RGPD (UE 2016/679) — Dernière mise à jour : février 2026

Vos données de santé sont considérées comme sensibles (RGPD Art. 9). Elles sont chiffrées AES-256-GCM dès la saisie et hébergées exclusivement chez un hébergeur français certifié HDS.

1. Qui collecte vos données ?

Le responsable de traitement est le praticien de santé intégrative qui vous a invité(e). Le site est accessible uniquement aux patients invités par lien personnel.

2. Quelles données sont collectées ?

Données d'identité (pseudonymisées)

Prénom, nom, date de naissance, email, téléphone, sexe biologique (pour l'adaptation du questionnaire médical).

Données de santé (chiffrées, accès praticien uniquement)

Réponses au questionnaire (6 axes : thyroïde, surrénales, hormones, nutrition, santé mentale, sommeil), bilans biologiques (PDF), notes de suivi praticien.

Données holistiques (optionnelles, consentement séparé)

Heure et lieu de naissance (thème astral / Human Design). Stockées dans un schéma de base de données isolé.

Données techniques

Journaux d'accès anonymisés (IP haché, horodatage), tokens JWT (15 min accès, 7 jours refresh).

3. Bases légales du traitement

Questionnaire de santé et bilans biologiques : consentement explicite (RGPD Art. 9). Données holistiques : consentement explicite séparé. Journaux d'audit : obligation légale (sécurité HDS). Conservation des consentements : 5 ans minimum (obligation légale).

4. Conservation des données

Données de santé actives : pendant la relation de soin. Après suppression du compte : effacement immédiat des données de santé. Journaux d'audit : 6 ans (anonymisés). Preuves de consentement : 5 ans. Bilans biologiques : suppression physique à la suppression du compte.

5. Chiffrement et sécurité

Transit : TLS 1.3. Au repos : AES-256-GCM pour tous les champs sensibles. Fichiers biologiques : chiffrés avant écriture sur disque, renommés en UUID. Mots de passe : hachage bcrypt (coût 12). Pseudonymisation : identité et santé dans des schémas PostgreSQL séparés. Hébergement : infrastructure certifiée HDS en France.

6. Accès aux données

Votre praticien : accès complet à votre profil de santé. Aucun tiers : jamais vendues, louées ou partagées avec des partenaires commerciaux. Sous-traitants techniques : uniquement hébergeur certifié HDS avec obligations contractuelles de confidentialité.

7. Vos droits

• Accès & portabilité (Art. 15, 20) : téléchargez toutes vos données en JSON + PDF
• Suppression (Art. 17) : effacement immédiat des données de santé
• Retrait du consentement : à tout moment, sans préjudice de la licéité antérieure
• Rectification (Art. 16) : contactez votre praticien
• Opposition (Art. 21) : contactez votre praticien
• Réclamation : CNIL — www.cnil.fr

8. Cookies

Aucun cookie de traçage ni publicitaire. Cookie sécurisé httpOnly pour le maintien de session (token JWT). Essentiel au fonctionnement, pas de consentement cookie requis.