HYVIA Santé ← Retour au site

Politique de confidentialité

Dernière mise à jour : 3 mai 2026 — Version 1.0

Le Cabinet HYVIA Santé attache la plus grande importance à la confidentialité de vos données personnelles et au respect du secret médical (Article L.1110-4 du Code de la Santé Publique).

Ce document décrit la manière dont vos données sont collectées, utilisées et protégées, conformément au Règlement Général sur la Protection des Données (RGPD), à la Loi Informatique et Libertés, et au référentiel HDS de l'Agence du Numérique en Santé.

1. Responsable de traitement

Le responsable du traitement de vos données personnelles est :

  • TG INVEST SAS et les SELARL médicales associées
  • 37 rue de l'Hôpital Militaire, 59000 Lille
  • Email : direction@hyvia-sante.fr

Délégué à la Protection des Données (DPO) : en cours de désignation (cabinet externe spécialisé santé). Coordonnées affichées dès finalisation.

2. Données collectées et finalités

Type de traitementDonnées concernéesFinalitéBase légale
Suivi médical Identité, NIR, antécédents, motifs, ordonnances, biologie, imagerie Consultation, soins, suivi Art. 9.2.h RGPD (médecine préventive et soins)
Prise de rendez-vous (sync Doctolib) Identité, motifs, RDV, agenda médecin référent Centralisation gestion agenda Art. 9.2.h + exécution contrat de soins
Pré-qualification téléphonique IA (HYVIA Call) Audio appel, transcript, intent, identité (lookup tel) Faciliter prise de RDV, orientation urgences Art. 6.1.f intérêt légitime + Art. 9.2.h
Pré-admission en ligne Identité, NIR, mutuelle, caisse, adresse, documents Constitution dossier en amont consultation Consentement (Art. 6.1.a et Art. 9.2.a)
Imagerie médicale (PACS) Examens DICOM, comptes-rendus radiologiques Lecture, archivage, partage avec médecins Art. 9.2.h
Facturation Acte, montant, mode paiement, identité Honoraires, comptabilité Obligation légale (Art. 6.1.c)

3. Destinataires

Personnes habilitées en interne (équipe de soins, Art. L1110-12 CSP) :

  • Médecins du cabinet HYVIA
  • Secrétaires médicales
  • Assistantes médicales
  • Infirmières
  • Direction (accès limité aux données nécessaires à la gestion)

Sous-traitants techniques agissant sur instruction du Cabinet HYVIA, encadrés par contrats de sous-traitance (Article 28 RGPD) :

  • Google Cloud / Firebase — hébergement (Paris, certifié HDS)
  • Doctolib — gestion agenda en ligne (France, HDS)
  • Twilio — téléphonie pour HYVIA Call (avec EU Data Residency)
  • Anthropic Claude — modèle d'IA pour pré-qualification téléphonique (avec clause Zero Data Retention)
  • Infomaniak — stockage documents et messagerie (Suisse, KDrive Health HDS-équivalent)
  • Pennylane — comptabilité (France)

Pour toute information complémentaire sur ces sous-traitants, écrivez à direction@hyvia-sante.fr.

4. Durée de conservation

  • Dossier médical : 20 ans après le dernier acte (Article L1142-28 du Code de la Santé Publique)
  • Documents comptables / facturation : 10 ans (Code de commerce L123-22)
  • Audio enregistrements appels : 30 jours puis suppression automatique
  • Transcripts IA pseudonymisés : 30 jours en cache d'apprentissage
  • Logs d'audit accès dossier : 6 ans (référentiel HDS / ANS)
  • Données candidats RH : 2 ans après dernier contact si pas d'embauche

5. Vos droits

Conformément aux articles 12 à 22 du RGPD, vous disposez des droits suivants concernant vos données :

  • Droit d'accès (Art. 15) — connaître les données vous concernant
  • Droit de rectification (Art. 16) — corriger des informations inexactes
  • Droit à l'effacement (Art. 17) — sauf obligation légale de conservation médicale
  • Droit à la limitation (Art. 18) — suspendre certains traitements
  • Droit à la portabilité (Art. 20) — recevoir vos données dans un format structuré
  • Droit d'opposition (Art. 21) — pour traitements à base d'intérêt légitime
  • Droit de retirer votre consentement (Art. 7) — quand le traitement est basé sur consentement
  • Droit de définir des directives sur vos données après votre décès (Loi I&L Art. 85)

Comment exercer vos droits ?

  • Email : direction@hyvia-sante.fr
  • Courrier : HYVIA Santé — Service DPO, 37 rue de l'Hôpital Militaire, 59000 Lille
  • Délai de réponse : 1 mois (extensible 2 mois si demande complexe)
  • Pièce d'identité requise pour vérification (joindre copie recto/verso)

En cas de désaccord, vous pouvez introduire une réclamation auprès de la CNIL : cnil.fr/fr/plaintes

6. Sécurité

Mesures techniques et organisationnelles mises en place pour protéger vos données (Article 32 RGPD) :

  • Chiffrement au repos (Firestore AES-256) et en transit (HTTPS / TLS 1.3)
  • Authentification forte des soignants (Firebase Auth, MFA en cours de généralisation)
  • Cloisonnement des accès par rôle et par établissement
  • Journal d'audit des accès aux dossiers patients (en cours de déploiement)
  • Sauvegardes régulières chiffrées
  • Formation et engagement de confidentialité signés par tous les salariés
  • Procédure de gestion des violations de données (notification CNIL sous 72h)
  • Hébergement HDS certifié pour les données de santé

7. Transferts hors Union Européenne

Vos données médicales sont hébergées en France (Google Cloud Paris, certifié HDS).

Certains services techniques peuvent impliquer des transferts encadrés :

  • Anthropic (USA) pour l'IA conversationnelle — clause Zero Data Retention activée, transferts encadrés par les Clauses Contractuelles Types validées par la Commission européenne
  • Twilio — basculement région UE Irlande
  • Infomaniak (Suisse) — décision d'adéquation européenne

Aucun transfert n'est effectué vers un pays sans garanties appropriées.

8. Cookies et traceurs

Le site hyvia-sante.fr utilise uniquement des cookies techniques nécessaires à son fonctionnement (authentification, session). Aucun cookie publicitaire ou analytique tiers n'est déposé sans votre consentement.

Vous pouvez configurer votre navigateur pour bloquer les cookies, mais certaines fonctionnalités (connexion à votre espace) pourraient ne plus fonctionner.

9. Décisions automatisées et IA

L'IA conversationnelle HYVIA Call peut intervenir pour pré-qualifier vos demandes téléphoniques. Cette IA ne prend aucune décision médicale : elle oriente vers une secrétaire humaine ou un médecin pour toute action sensible.

Vous avez le droit de demander à parler à une personne humaine à tout moment de la conversation (mot-clé "secrétaire", "humain", "personne").

Les transcripts envoyés au modèle sont pseudonymisés (les noms et numéros sont remplacés par des tokens) et le fournisseur a accepté la clause "Zero Data Retention" (aucune conservation au-delà du traitement immédiat).

10. Modification de la politique

La présente politique peut être mise à jour pour refléter des évolutions légales ou techniques. La date de mise à jour est indiquée en haut de la page.

Pour toute modification substantielle, une information sera affichée sur la page d'accueil et envoyée par email aux patients enregistrés.

11. Contact

Pour toute question relative à cette politique ou à vos données :