Politique de Confidentialité

SAS Mon Assistant Kiné
Siège social : 7 Rue des Filatures, 50300 Saint-Senier-sous-Avranches
SIRET : 38936059900017
Email : monassistantkine.team@gmail.com

Périmètre de cette Politique : La présente Politique de Confidentialité concerne les données personnelles du kinésithérapeute (compte, facturation, données techniques), pour lesquelles Mon Assistant Kiné est Responsable de Traitement. Pour les données patients et les données du Module Contrats, Mon Assistant Kiné agit en qualité de Sous-traitant au sens de l'article 28 du RGPD, pour le compte du kinésithérapeute qui demeure Responsable de Traitement. Le traitement des données patients est encadré par le Contrat de Sous-traitance (DPA).

Délégué à la Protection des Données (DPO)

Nom : Valentin JEAN
Email : monassistantkine@gmail.com
Désignation CNIL : 31/07/2025

Principes Fondamentaux

Engagement de Confidentialité

Mon Assistant Kiné s'engage à protéger la confidentialité et la sécurité de vos données personnelles et de celles de vos patients, conformément au RGPD et aux exigences spécifiques du secteur de la santé.

Nos 6 principes clés :

Transparence : Information claire sur l'utilisation de vos données
Minimisation : Collecte uniquement des données nécessaires
Sécurité : Chiffrement et protection renforcée
Pseudonymisation : Données patients pseudonymisées pour l'IA
Contrôle : Vous gardez le contrôle de vos données
Conformité HDS : Hébergement sur infrastructure certifiée HDS (Clever Cloud, France)

Données Collectées

1. Données du Kinésithérapeute

Données d'Identification

Identité : Nom, prénom, email
Professionnelles : Numéro RPPS, adresse du cabinet
Compte : Mot de passe chiffré, préférences
Abonnement : Plan choisi, historique de paiement
Données complémentaires Module Contrats (collectées lors de la rédaction du premier contrat) : civilité, date et lieu de naissance, département de l'Ordre, numéro d'inscription à l'Ordre, numéro URSSAF, adresse du domicile

Finalité : Authentification, facturation, personnalisation du service, rédaction et signature des contrats de remplacement et d'assistanat libéral

Base légale : Exécution du contrat (Art. 6.1.b RGPD)

2. Données Patients

Données traitées pour le compte du kinésithérapeute : Mon Assistant Kiné traite les données patients (identification, données de santé, suivi thérapeutique, communications) en qualité de Sous-traitant au sens de l'article 28 du RGPD. Le kinésithérapeute demeure Responsable de Traitement de ces données.

Les conditions de ce traitement, les mesures de sécurité, les sous-traitants ultérieurs et les garanties applicables sont détaillés dans le Contrat de Sous-traitance (DPA).

3. Données Techniques

Données de Connexion

Connexion : Adresse IP (anonymisée), horodatage
Navigation : Pages visitées, durée de session
Appareil : Type de navigateur, système d'exploitation
Performances : Temps de réponse, erreurs techniques

Finalité : Sécurité, amélioration du service, support technique

Base légale : Intérêts légitimes (Art. 6.1.f RGPD)

4. Données du Module Contrats

Pour ces données, Mon Assistant Kiné agit en qualité de Sous-traitant au sens de l'article 28 du RGPD, pour le compte du kinésithérapeute initiateur du contrat qui demeure Responsable de Traitement.

Carnet d'adresses kinés

Prénom, nom, email, téléphone et notes de confrères saisis par l'utilisateur

Finalité : Identification des destinataires de contrats

Base légale : Intérêt légitime du kinésithérapeute initiateur (Art. 6.1.f RGPD)

Le confrère concerné est informé de l'existence du traitement à l'envoi de la première invitation de signature (email mentionnant l'expéditeur). Il peut exercer son droit d'opposition ou de suppression auprès du kinésithérapeute initiateur ou directement auprès de Mon Assistant Kiné.

Contenu du contrat et signataire

État civil des deux signataires (civilité, date et lieu de naissance, département de l'Ordre, numéro d'inscription à l'Ordre, numéro URSSAF, adresses)
Conditions du contrat (dates, taux de rétrocession, indemnités, lieu de signature, etc.)
PDF final scellé du contrat signé

Finalité : Rédaction, signature, archivage et déclaration du contrat au Conseil départemental de l'Ordre

Base légale : Exécution du contrat (Art. 6.1.b RGPD) et obligation légale du titulaire (Art. 6.1.c RGPD, art. R.4321-128 CSP)

Preuves de signature

Texte de signature et mention « Lu et approuvé »
Horodatage, adresse IP et user-agent de chaque signataire
Empreinte cryptographique (SHA-256) du PDF final, garantissant son intégrité
Journal d'audit retraçant les étapes du contrat

Finalité : Force probante de la signature électronique (eIDAS, art. 1366-1367 Code civil)

Base légale : Exécution du contrat et intérêt légitime (constitution d'un faisceau de preuves)

Signataire en mode invité

Un kinésithérapeute peut signer un contrat sans disposer d'un compte Mon Assistant Kiné. Dans ce cas, il saisit ses données d'état civil uniquement pour les besoins de la signature ; ces données sont conservées avec le contrat selon les durées indiquées plus bas. Le signataire invité peut exercer ses droits RGPD directement auprès de Mon Assistant Kiné en précisant l'identifiant du contrat concerné.

Utilisation des Données

Traitement par Intelligence Artificielle

Pseudonymisation Rigoureuse

Toutes les données patients transmises à nos systèmes d'IA (OpenAI, Mistral AI) font l'objet d'une pseudonymisation rigoureuse préalable :

Suppression des noms, prénoms, adresses et identifiants directs
Seules les informations strictement nécessaires sont transmises (âge, pathologie, objectifs)
Aucune donnée directement identifiante dans les prompts IA
Données non utilisées pour l'entraînement des modèles, non stockées au-delà du traitement de la requête

Note : la pseudonymisation n'est pas une anonymisation au sens du RGPD. Les données pseudonymisées restent des données personnelles. Voir le DPA pour le détail des garanties.

Finalités du Traitement

Service principal : Gestion de la pratique professionnelle pour les kinésithérapeutes
Assistance professionnelle : Assistant IA et rédaction de bilans pour les kinésithérapeutes
Suivi thérapeutique : Historique des séances, évaluation des progrès
Communication : Chat sécurisé entre kiné et patient
Module Contrats : Rédaction, signature électronique, archivage et déclaration au CDO des contrats de remplacement et d'assistanat libéral
Facturation : Gestion des abonnements et paiements
Amélioration : Analyse statistique anonymisée (optionnelle)
Support : Assistance technique et maintenance
Conformité : Respect des obligations légales

Partage des Données

Destinataires Autorisés

Principe de Minimisation

Vos données ne sont partagées qu'avec les destinataires strictement nécessaires :

Destinataire	Données Concernées	Finalité	Base Légale
OpenAI	Données patients pseudonymisées	Génération IA	Contrat + DPA
Mistral AI	Données patients pseudonymisées	Génération IA	Contrat + DPA
Stripe	Données facturation	Paiements	Contrat
Clever Cloud	Bases de données et serveurs applicatifs	Infrastructure HDS (France)	Contrat
Vercel	Frontend statique uniquement	Interface web	Contrat
Firebase (Google)	Données authentification	Connexion sécurisée	Contrat
Google Cloud Storage	Fichiers utilisateurs (avatars, GIFs d'exercices, PDFs de contrats signés)	Stockage privé chiffré	Contrat
Brevo (Sib SA, France)	Email, nom des signataires, PDF du contrat en pièce jointe	Envoi des invitations à signer et déclaration au CDO	Contrat
Conseils départementaux de l'Ordre des MK	Contrat signé complet (état civil, n° RPPS, n° ordinal, conditions)	Déclaration déontologique (art. R.4321-128 CSP)	Obligation légale

Aucun Partage Commercial

Nous ne vendons, ne louons, ni ne partageons vos données à des fins commerciales ou publicitaires.

Sécurité et Protection

Mesures Techniques

Protection Multicouche

Chiffrement : HTTPS/TLS pour tous les échanges
Authentification : Firebase avec tokens JWT sécurisés
Hébergement HDS : Infrastructure certifiée HDS (Clever Cloud, France)
Accès restreint : Principe du moindre privilège
Surveillance : Logs de sécurité et détection d'intrusion
Sauvegarde : Backups chiffrés quotidiens
Rate Limiting : Protection contre les attaques par déni de service

Mesures Organisationnelles

Formation : Personnel sensibilisé à la protection des données
Accès contrôlé : Identification unique pour chaque utilisateur
Audit : Révisions régulières des procédures
Incident : Procédure de notification sous 72h

Conservation des Données

Suppression Automatique

Type de Données	Durée de Conservation	Fondement
Compte kinésithérapeute	Durée de l'abonnement + 3 ans	Obligations comptables
Données patients	20 ans après dernière consultation	Code de santé publique (Art. R.1112-7)
Programmes d'exercices	Durée du traitement + 20 ans	Dossier médical
Historique chat	Durée du programme + 20 ans	Suivi thérapeutique
Données facturation	10 ans	Code de commerce
Logs techniques	1 an	Sécurité système
Cookies	13 mois maximum	CNIL
Contrat signé (PDF + métadonnées)	10 ans après la fin du contrat	Prescription civile (art. 2224 Code civil) et obligation déontologique
Preuves de signature (IP, user-agent, empreinte, audit log)	Identique au contrat signé	Force probante (eIDAS, art. 1366-1367 Code civil)
Carnet d'adresses kinés	Durée du compte du kinésithérapeute initiateur	Intérêt légitime

Archivage Intelligent

Notre système procède automatiquement :

Archivage des programmes terminés après 30 jours d'inactivité
Pseudonymisation progressive des données anciennes
Suppression définitive selon les délais légaux
Notifications préalables avant suppression

Vos Droits RGPD

Liste Complète de vos Droits

Droit d'accès (Art. 15) : Obtenir une copie de vos données
Droit de rectification (Art. 16) : Corriger les données inexactes
Droit à l'effacement (Art. 17) : Suppression sous conditions
Droit à la limitation (Art. 18) : Restreindre certains traitements
Droit à la portabilité (Art. 20) : Récupérer vos données dans un format standard
Droit d'opposition (Art. 21) : S'opposer à certains traitements
Droit de retrait du consentement : Révoquer votre accord à tout moment

Comment Exercer vos Droits

Demande de Droits RGPD

Email : monassistantkine@gmail.com
Objet : "Demande d'exercice de droits RGPD"

Informations à fournir :

Nom, prénom et email du compte
Nature de la demande (accès, rectification, etc.)
Justificatif d'identité (si nécessaire)

Délai de réponse : 1 mois maximum

Droit de Réclamation

Autorité de Contrôle

Vous avez le droit de déposer une réclamation auprès de la CNIL :

CNIL
3 Place de Fontenoy - TSA 80715
75334 Paris Cedex 07
https://www.cnil.fr

Cookies et Traceurs

Types de Cookies Utilisés

Approche Minimale

Nous utilisons des cookies strictement nécessaires au fonctionnement de la plateforme, ainsi qu'un cookie de mesure d'audience soumis à votre consentement explicite :

Cookie	Finalité	Durée	Obligatoire
Auth Firebase	Authentification utilisateur	Session	Oui
Stripe Session	Paiement sécurisé	24h	Oui (paiement)
Theme	Préférence visuelle	1 an	Non
cookie_consent	Mémorise votre choix sur les cookies de mesure d'audience	6 mois	Non
_ga, _ga_*	Mesure d'audience (Google Analytics 4) — déposés uniquement après consentement	13 mois	Non — soumis à consentement

Mesure d'audience — Google Analytics 4

Nous utilisons Google Analytics 4 (GA4) pour mesurer la fréquentation de notre site et de notre application, comprendre les parcours utilisateurs et améliorer le service.

Sous-traitant : Google Ireland Limited
Données collectées : identifiant client GA, pages vues, durée de session, événement d'inscription (sign_up), adresse IP anonymisée
Base légale : votre consentement (article 6.1.a du RGPD)
Durée de conservation : 13 mois
Transfert hors UE : données susceptibles d'être transférées aux États-Unis dans le cadre du Data Privacy Framework (DPF), décision d'adéquation de la Commission européenne du 10 juillet 2023
Mesures de protection : anonymisation IP, désactivation du partage avec Google Ads, pas de profilage publicitaire
Retrait du consentement : à tout moment via le lien « Gérer mes cookies » en bas de page (mentions légales)

Ce que nous N'utilisons PAS :

Cookies publicitaires
Traceurs de réseaux sociaux
Cookies de profilage commercial
Partage de données GA4 avec Google Ads ou des annonceurs tiers

Gestion des Cookies

À votre première visite, une bannière vous permet d'accepter ou de refuser le dépôt des cookies de mesure d'audience. Vous pouvez modifier votre choix à tout moment via le lien « Gérer mes cookies » disponible dans les mentions légales. Vous pouvez également contrôler l'ensemble des cookies via les paramètres de votre navigateur. Attention : désactiver les cookies essentiels peut empêcher l'utilisation normale de la plateforme.

Transferts Internationaux

Localisation des Données

Principe : Données hébergées en France — bases de données et serveurs applicatifs sur Clever Cloud (certifié HDS), fichiers utilisateurs sur Google Cloud Storage (région europe-west9, Paris). Le traitement IA réalisé par Mistral AI est hébergé dans l'Union Européenne.

Exception : OpenAI (États-Unis) pour le traitement IA uniquement, avec données pseudonymisées

Garanties pour les Transferts vers les États-Unis

Pseudonymisation : Aucune donnée directement identifiante transmise
Clauses Contractuelles Types (CCT) : Protection contractuelle renforcée
EU-US Data Privacy Framework : Cadre d'adéquation reconnu par la Commission Européenne (10 juillet 2023)
Minimisation : Seules les données strictement nécessaires
Zero data retention : Rétention des données désactivée sur le compte API OpenAI

Le détail des sous-traitants ultérieurs et des garanties est disponible dans le Contrat de Sous-traitance (DPA).

Mineurs

Protection des Mineurs

Notre service est destiné exclusivement aux professionnels de santé diplômés.

Pour les patients mineurs :

Consentement des parents/tuteurs légaux requis
Respect de l'article 8 du RGPD (mineurs de moins de 16 ans)
Protection renforcée des données sensibles
Accès limité aux fonctionnalités de chat

Évolutions de la Politique

Modifications

Cette politique peut être mise à jour pour :

Refléter les évolutions réglementaires
Améliorer la transparence
Intégrer de nouvelles fonctionnalités

Notification : Vous serez informé par email de toute modification substantielle.

Contact et Support

Pour toute question sur vos données :

DPO : monassistantkine@gmail.com
Support : monassistantkine.team@gmail.com
📍 Adresse : 7 Rue des Filatures, 50300 Saint-Senier-sous-Avranches

Engagement de réponse :
Demandes RGPD : 72h pour accusé réception, 1 mois pour réponse complète
Support général : 48h ouvrées

Politique de confidentialité mise à jour le 7 juin 2026 — Version 3.3
SAS Mon Assistant Kiné - SIRET : 38936059900017

Responsable du Traitement