Politique de Confidentialité

SAS Mon Assistant Kiné
Siège social : 7 Rue des Filatures, 50300 Saint-Senier-sous-Avranches
SIRET : 38936059900017
Email : monassistantkine.team@gmail.com

Périmètre de cette Politique : La présente Politique de Confidentialité concerne les données personnelles du kinésithérapeute (compte, facturation, données techniques), pour lesquelles Mon Assistant Kiné est Responsable de Traitement. Pour les données patients, Mon Assistant Kiné agit en qualité de Sous-traitant au sens de l'article 28 du RGPD. Le traitement de ces données est encadré par le Contrat de Sous-traitance (DPA).

Délégué à la Protection des Données (DPO)

Nom : Valentin JEAN
Email : monassistantkine@gmail.com
Désignation CNIL : 31/07/2025

Principes Fondamentaux

Engagement de Confidentialité

Mon Assistant Kiné s'engage à protéger la confidentialité et la sécurité de vos données personnelles et de celles de vos patients, conformément au RGPD et aux exigences spécifiques du secteur de la santé.

Nos 6 principes clés :

Transparence : Information claire sur l'utilisation de vos données
Minimisation : Collecte uniquement des données nécessaires
Sécurité : Chiffrement et protection renforcée
Pseudonymisation : Données patients pseudonymisées pour l'IA
Contrôle : Vous gardez le contrôle de vos données
Conformité HDS : Hébergement sur infrastructure certifiée HDS (Clever Cloud, France)

Données Collectées

1. Données du Kinésithérapeute

Données d'Identification

Identité : Nom, prénom, email
Professionnelles : Numéro RPPS, adresse du cabinet
Compte : Mot de passe chiffré, préférences
Abonnement : Plan choisi, historique de paiement

Finalité : Authentification, facturation, personnalisation du service

Base légale : Exécution du contrat (Art. 6.1.b RGPD)

2. Données Patients

Données traitées pour le compte du kinésithérapeute : Mon Assistant Kiné traite les données patients (identification, données de santé, suivi thérapeutique, communications) en qualité de Sous-traitant au sens de l'article 28 du RGPD. Le kinésithérapeute demeure Responsable de Traitement de ces données.

Les conditions de ce traitement, les mesures de sécurité, les sous-traitants ultérieurs et les garanties applicables sont détaillés dans le Contrat de Sous-traitance (DPA).

3. Données Techniques

Données de Connexion

Connexion : Adresse IP (anonymisée), horodatage
Navigation : Pages visitées, durée de session
Appareil : Type de navigateur, système d'exploitation
Performances : Temps de réponse, erreurs techniques

Finalité : Sécurité, amélioration du service, support technique

Base légale : Intérêts légitimes (Art. 6.1.f RGPD)

Utilisation des Données

Traitement par Intelligence Artificielle

Pseudonymisation Rigoureuse

Toutes les données patients transmises à nos systèmes d'IA (OpenAI) font l'objet d'une pseudonymisation rigoureuse préalable :

Suppression des noms, prénoms, adresses et identifiants directs
Seules les informations strictement nécessaires sont transmises (âge, pathologie, objectifs)
Aucune donnée directement identifiante dans les prompts IA
Données non utilisées pour l'entraînement des modèles, non stockées au-delà du traitement de la requête

Note : la pseudonymisation n'est pas une anonymisation au sens du RGPD. Les données pseudonymisées restent des données personnelles. Voir le DPA pour le détail des garanties.

Finalités du Traitement

Service principal : Gestion de la pratique professionnelle pour les kinésithérapeutes
Assistance professionnelle : 4 IA spécialisées pour accompagnement kiné
Suivi thérapeutique : Historique des séances, évaluation des progrès
Communication : Chat sécurisé entre kiné et patient
Facturation : Gestion des abonnements et paiements
Amélioration : Analyse statistique anonymisée (optionnelle)
Support : Assistance technique et maintenance
Conformité : Respect des obligations légales

Partage des Données

Destinataires Autorisés

Principe de Minimisation

Vos données ne sont partagées qu'avec les destinataires strictement nécessaires :

Destinataire	Données Concernées	Finalité	Base Légale
OpenAI	Données patients pseudonymisées	Génération IA	Contrat + DPA
Stripe	Données facturation	Paiements	Contrat
Clever Cloud	Toutes données (hébergement)	Infrastructure HDS (France)	Contrat
Vercel	Frontend statique uniquement	Interface web	Contrat
Firebase (Google)	Données authentification	Connexion sécurisée	Contrat

Aucun Partage Commercial

Nous ne vendons, ne louons, ni ne partageons vos données à des fins commerciales ou publicitaires.

Sécurité et Protection

Mesures Techniques

Protection Multicouche

Chiffrement : HTTPS/TLS pour tous les échanges
Authentification : Firebase avec tokens JWT sécurisés
Hébergement HDS : Infrastructure certifiée HDS (Clever Cloud, France)
Accès restreint : Principe du moindre privilège
Surveillance : Logs de sécurité et détection d'intrusion
Sauvegarde : Backups chiffrés quotidiens
Rate Limiting : Protection contre les attaques par déni de service

Mesures Organisationnelles

Formation : Personnel sensibilisé à la protection des données
Accès contrôlé : Identification unique pour chaque utilisateur
Audit : Révisions régulières des procédures
Incident : Procédure de notification sous 72h

Conservation des Données

Suppression Automatique

Type de Données	Durée de Conservation	Fondement
Compte kinésithérapeute	Durée de l'abonnement + 3 ans	Obligations comptables
Données patients	20 ans après dernière consultation	Code de santé publique (Art. R.1112-7)
Programmes d'exercices	Durée du traitement + 20 ans	Dossier médical
Historique chat	Durée du programme + 20 ans	Suivi thérapeutique
Données facturation	10 ans	Code de commerce
Logs techniques	1 an	Sécurité système
Cookies	13 mois maximum	CNIL

Archivage Intelligent

Notre système procède automatiquement :

Archivage des programmes terminés après 30 jours d'inactivité
Pseudonymisation progressive des données anciennes
Suppression définitive selon les délais légaux
Notifications préalables avant suppression

Vos Droits RGPD

Liste Complète de vos Droits

Droit d'accès (Art. 15) : Obtenir une copie de vos données
Droit de rectification (Art. 16) : Corriger les données inexactes
Droit à l'effacement (Art. 17) : Suppression sous conditions
Droit à la limitation (Art. 18) : Restreindre certains traitements
Droit à la portabilité (Art. 20) : Récupérer vos données dans un format standard
Droit d'opposition (Art. 21) : S'opposer à certains traitements
Droit de retrait du consentement : Révoquer votre accord à tout moment

Comment Exercer vos Droits

Demande de Droits RGPD

Email : monassistantkine@gmail.com
Objet : "Demande d'exercice de droits RGPD"

Informations à fournir :

Nom, prénom et email du compte
Nature de la demande (accès, rectification, etc.)
Justificatif d'identité (si nécessaire)

Délai de réponse : 1 mois maximum

Droit de Réclamation

Autorité de Contrôle

Vous avez le droit de déposer une réclamation auprès de la CNIL :

CNIL
3 Place de Fontenoy - TSA 80715
75334 Paris Cedex 07
https://www.cnil.fr

Cookies et Traceurs

Types de Cookies Utilisés

Approche Minimale

Nous utilisons des cookies strictement nécessaires au fonctionnement de la plateforme, ainsi qu'un cookie de mesure d'audience soumis à votre consentement explicite :

Cookie	Finalité	Durée	Obligatoire
Auth Firebase	Authentification utilisateur	Session	Oui
Stripe Session	Paiement sécurisé	24h	Oui (paiement)
Theme	Préférence visuelle	1 an	Non
cookie_consent	Mémorise votre choix sur les cookies de mesure d'audience	6 mois	Non
_ga, _ga_*	Mesure d'audience (Google Analytics 4) — déposés uniquement après consentement	13 mois	Non — soumis à consentement

Mesure d'audience — Google Analytics 4

Nous utilisons Google Analytics 4 (GA4) pour mesurer la fréquentation de notre site et de notre application, comprendre les parcours utilisateurs et améliorer le service.

Sous-traitant : Google Ireland Limited
Données collectées : identifiant client GA, pages vues, durée de session, événement d'inscription (sign_up), adresse IP anonymisée
Base légale : votre consentement (article 6.1.a du RGPD)
Durée de conservation : 13 mois
Transfert hors UE : données susceptibles d'être transférées aux États-Unis dans le cadre du Data Privacy Framework (DPF), décision d'adéquation de la Commission européenne du 10 juillet 2023
Mesures de protection : anonymisation IP, désactivation du partage avec Google Ads, pas de profilage publicitaire
Retrait du consentement : à tout moment via le lien « Gérer mes cookies » en bas de page (mentions légales)

Ce que nous N'utilisons PAS :

Cookies publicitaires
Traceurs de réseaux sociaux
Cookies de profilage commercial
Partage de données GA4 avec Google Ads ou des annonceurs tiers

Gestion des Cookies

À votre première visite, une bannière vous permet d'accepter ou de refuser le dépôt des cookies de mesure d'audience. Vous pouvez modifier votre choix à tout moment via le lien « Gérer mes cookies » disponible dans les mentions légales. Vous pouvez également contrôler l'ensemble des cookies via les paramètres de votre navigateur. Attention : désactiver les cookies essentiels peut empêcher l'utilisation normale de la plateforme.

Transferts Internationaux

Localisation des Données

Principe : Données hébergées en France (Clever Cloud, certifié HDS)

Exception : OpenAI (États-Unis) pour le traitement IA uniquement, avec données pseudonymisées

Garanties pour les Transferts vers les États-Unis

Pseudonymisation : Aucune donnée directement identifiante transmise
Clauses Contractuelles Types (CCT) : Protection contractuelle renforcée
EU-US Data Privacy Framework : Cadre d'adéquation reconnu par la Commission Européenne (10 juillet 2023)
Minimisation : Seules les données strictement nécessaires
Zero data retention : Rétention des données désactivée sur le compte API OpenAI

Le détail des sous-traitants ultérieurs et des garanties est disponible dans le Contrat de Sous-traitance (DPA).

Mineurs

Protection des Mineurs

Notre service est destiné exclusivement aux professionnels de santé diplômés.

Pour les patients mineurs :

Consentement des parents/tuteurs légaux requis
Respect de l'article 8 du RGPD (mineurs de moins de 16 ans)
Protection renforcée des données sensibles
Accès limité aux fonctionnalités de chat

Évolutions de la Politique

Modifications

Cette politique peut être mise à jour pour :

Refléter les évolutions réglementaires
Améliorer la transparence
Intégrer de nouvelles fonctionnalités

Notification : Vous serez informé par email de toute modification substantielle.

Contact et Support

Pour toute question sur vos données :

DPO : monassistantkine@gmail.com
Support : monassistantkine.team@gmail.com
📍 Adresse : 7 Rue des Filatures, 50300 Saint-Senier-sous-Avranches

Engagement de réponse :
Demandes RGPD : 72h pour accusé réception, 1 mois pour réponse complète
Support général : 48h ouvrées

Politique de confidentialité mise à jour le 4 mai 2026 — Version 3.1
SAS Mon Assistant Kiné - SIRET : 38936059900017

Responsable du Traitement