Protection des données
Politique de confidentialité
Dernière mise à jour : 22 avril 2026
Introduction
La présente politique décrit comment MINDFUEL, exploité par Gevorgyan Harutyun (ci-après « nous » ou « Orthonie »), collecte, utilise et protège vos données personnelles dans le cadre du service orthonie.fr, conformément au Règlement Général sur la Protection des Données (RGPD), à la loi belge du 30 juillet 2018 et aux dispositions du Code de la santé publique applicables aux données de santé.
Orthonie est une plateforme d'assistance à la rédaction de comptes-rendus de bilan orthophonique destinée aux orthophonistes libéraux. Elle traite à ce titre des données de santé (art. 9 RGPD) et applique les obligations renforcées correspondantes.
1. Rôles — responsable de traitement et sous-traitant
Il convient de distinguer deux types de traitement :
Compte professionnel (vous en tant qu'utilisateur)
Pour les données relatives à votre compte et à votre cabinet (email, nom, informations professionnelles, facturation), Orthonie est responsable de traitement. Nos coordonnées figurent à la section 12.
Données de patients (traitement clinique)
Pour les données de vos patients (fiches patients, CRBO, documents joints, notes cliniques), vous êtes responsable de traitement au sens du RGPD, dans le cadre de votre exercice professionnel et du secret médical (art. L.1110-4 du Code de la santé publique). Orthonie agit en tant que sous-traitant (art. 28 RGPD), traitant ces données selon vos instructions et dans le strict cadre du contrat de service.
2. Données collectées
2.1 Données que vous nous fournissez
- Données de compte : nom, prénom, adresse email, mot de passe (haché bcrypt).
- Informations professionnelles : nom du cabinet, adresse, téléphone, numéros ADELI, RPPS, AM, signature manuscrite (image).
- Données de patients (données de santé) : nom, prénom, date de naissance, sexe, niveau scolaire, prescripteur, notes cliniques, scores de tests normés, contenu des CRBO, documents joints (PDF, Word, images).
- Données de paiement : traitées directement par notre prestataire Stripe, certifié PCI-DSS. Orthonie ne stocke aucune donnée bancaire.
2.2 Données collectées automatiquement
- Données techniques de connexion : adresse IP, type de navigateur (user-agent), système d'exploitation.
- Données d'utilisation : pages visitées, actions effectuées, dates de connexion, dans un objectif de sécurité et d'amélioration continue.
- Cookies strictement nécessaires au fonctionnement (voir section 7).
3. Finalités et bases légales
| Finalité | Base légale | Durée |
|---|---|---|
| Création et gestion du compte | Exécution du contrat | Durée d'abonnement + 3 ans |
| Rédaction et stockage des CRBO | Exécution du contrat (sous-traitance) | Selon vos instructions (voir 5) |
| Facturation et paiement | Obligation légale | 10 ans (obligation comptable) |
| Sécurité et prévention des fraudes | Intérêt légitime | 12 mois (logs) |
| Amélioration du service (agrégats anonymisés) | Intérêt légitime | 24 mois |
| Réponse aux demandes de support | Exécution du contrat | 3 ans |
4. Pseudonymisation avant intelligence artificielle
Avant tout envoi à nos modèles d'intelligence artificielle (génération de CRBO, OCR de documents, transcription vocale), l'identité des patients (prénom, nom) est automatiquement remplacée par un pseudonyme neutre (par exemple « Patient »). Le vrai prénom n'est réinjecté qu'après réception de la réponse, côté serveur Orthonie.
Ainsi, aucune donnée directement identifiante de patient ne quitte notre infrastructure vers les modèles d'IA. Les autres éléments cliniques (âge, scores, diagnostics, observations) restent indispensables à la génération et sont transmis après cette pseudonymisation.
5. Conservation et suppression
5.1 Données du compte
Conservées pendant toute la durée de l'abonnement. En cas de résiliation, votre compte et vos données professionnelles restent accessibles pendant 30 jours, puis sont archivés pendant 3 ans pour répondre aux éventuelles demandes (support, litiges) avant suppression définitive.
5.2 Données de vos patients
Les données de patients sont conservées selon vos instructions en tant que responsable de traitement. Par défaut, elles restent accessibles tant que votre abonnement est actif. Vous pouvez à tout moment archiver (soft delete) ou supprimer un patient et l'ensemble de ses CRBO depuis votre espace.
Nous vous rappelons que la réglementation française impose la conservation du dossier médical pour une durée minimale de 20 ans à compter de la dernière intervention (art. R.1112-7 du Code de la santé publique). Cette obligation relève de votre responsabilité professionnelle ; nous vous fournissons les outils (export PDF, archivage) pour la satisfaire.
5.3 Documents joints
Les binaires des documents que vous joignez à un CRBO (PDF, Word, images) ne sont pas persistés: seul le texte extrait automatiquement est conservé. Cela réduit drastiquement la surface d'exposition en cas d'incident.
6. Destinataires et sous-traitants
Vos données peuvent être transmises aux sous-traitants suivants, chacun encadré par un accord de sous-traitance conforme à l'article 28 du RGPD :
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Scalingo SAS | Hébergement application + base de données · certifié HDS | France (Strasbourg) |
| OpenAI | Génération IA et transcription vocale (données pseudonymisées) | États-Unis¹ |
| Stripe | Traitement des paiements (certifié PCI-DSS) | États-Unis¹ |
| Brevo (ex-Sendinblue) | Emails transactionnels (vérification, notifications) | France |
¹ Les transferts hors UE sont encadrés par les Clauses Contractuelles Types (CCT) de la Commission Européenne, complétées de mesures techniques supplémentaires (pseudonymisation, chiffrement).
Nous ne vendons, ne louons et ne cédons jamais vos données à des tiers à des fins commerciales ou publicitaires.
Une migration vers un hébergeur d'IA basé en Europe (par exemple Azure OpenAI France) est prévue dès que le volume de traitement le justifie.
7. Cookies
7.1 Qu'est-ce qu'un cookie ?
Un cookie est un petit fichier texte stocké sur votre appareil lors de votre visite sur notre site.
7.2 Cookies utilisés
| Type | Nom | Finalité | Durée |
|---|---|---|---|
| Essentiel | better-auth.session_token | Maintien de la session authentifiée | 30 jours |
| Essentiel | orthonie:* | Préférences d'interface (position bulle feedback, etc.) | 1 an |
7.3 Gestion
Tous nos cookies sont strictement nécessaires au fonctionnement du service. Vous pouvez les bloquer depuis les paramètres de votre navigateur, mais le service ne pourra alors plus vous authentifier.
8. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :
- Hébergement chez un prestataire certifié HDS en France ;
- Chiffrement des données en transit (HTTPS / TLS 1.3) ;
- Chiffrement des données au repos au niveau de la base de données ;
- Mots de passe hachés avec bcrypt ;
- Pseudonymisation systématique avant tout envoi aux modèles d'IA ;
- Accès restreint aux données selon le principe du moindre privilège, authentification à deux facteurs pour l'administration ;
- Journalisation des accès, sauvegardes régulières, plans de reprise d'activité.
9. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
9.1 Droit d'accès
Vous pouvez demander une copie de vos données personnelles.
9.2 Droit de rectification
Vous pouvez corriger vos données directement depuis votre espace ou en nous contactant.
9.3 Droit à l'effacement
Vous pouvez supprimer votre compte à tout moment depuis la page paramètres. Cette action déclenche la suppression progressive de vos données personnelles et professionnelles, sous réserve de nos obligations légales de conservation (facturation, sécurité).
9.4 Droit à la portabilité
Vous pouvez recevoir vos données dans un format structuré et lisible par machine (JSON) sur simple demande.
9.5 Droit d'opposition, de limitation, de retrait du consentement
Vous pouvez vous opposer à certains traitements fondés sur l'intérêt légitime, demander la limitation du traitement dans certains cas, et retirer à tout moment votre consentement lorsqu'il est la base légale du traitement.
Pour exercer vos droits, contactez-nous à info@orthonie.fr. Nous répondons dans un délai maximum de 30 jours.
10. Violation de données
En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour vos droits et libertés, nous vous notifierons dans les meilleurs délais et informerons l'autorité de contrôle compétente dans les 72 heures, conformément aux articles 33 et 34 du RGPD.
11. Réclamation auprès d'une autorité
Si vous estimez que le traitement de vos données n'est pas conforme à la réglementation, vous pouvez introduire une réclamation auprès de :
Autorité française
CNIL — Commission Nationale de l'Informatique et des Libertés
3 place de Fontenoy
75007 Paris, France
Autorité belge (chef de file)
APD — Autorité de Protection des Données
Rue de la Presse 35
1000 Bruxelles, Belgique
12. Modifications
Cette politique peut évoluer. Toute modification substantielle vous sera notifiée par email et via une notification dans l'application, au moins 30 jours avant son entrée en vigueur.
13. Contact
Pour toute question relative à cette politique :
MINDFUEL
Exploité par Gevorgyan Harutyun (entrepreneur individuel)
Email : info@orthonie.fr
Téléphone : +32 4 265 98 23
Adresse : Rue Léon Theodor 202, 1090 Jette, Belgique
Voir également nos mentions légales et nos conditions générales.