Politique de Confidentialité

Dernière mise à jour : 31/10/2025

1. Objet de la Politique

La présente Politique de Confidentialité a pour objet d’informer les utilisateurs professionnels (ci-après « Utilisateurs ») du service Prejudices.fr édité par l’Association AIBC, ainsi que, indirectement, les personnes dont les données sont traitées par leur intermédiaire (patients, clients, victimes), des modalités selon lesquelles leurs données à caractère personnel sont traitées conformément :

  • au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD),
  • à la Loi Informatique et Libertés modifiée,
  • aux référentiels applicables aux données de santé,
  • et aux exigences liées à l’hébergement HDS et SecNumCloud.

Cette Politique constitue un document d’information et complète les CGU, CGV, le Contrat de Sous-Traitance (DPA) et la Charte Éthique IA.

2. Identité du Responsable de traitement et du Délégué à la Protection des Données

AIBC a désigné un Délégué à la Protection des Données (DPO).

Responsable du traitement :
AIBC
142 rue de Rivoli
75001 Paris

Contact RGPD : dpo@prejudices.fr

Rôle dans le cadre des dossiers transmis par les Utilisateurs

Pour les données relatives aux patients / victimes transmises dans le cadre du service :

  • AIBC agit exclusivement en qualité de sous-traitant, au sens de l’article 4.8 et 28 RGPD.
  • L’Utilisateur (avocat ou médecin) agit en qualité de Responsable du traitement.

AIBC n’entretient aucune relation contractuelle avec les victimes et ne devient jamais Responsable du traitement des données les concernant.

3. Catégories de données collectées

3.1. Données collectées auprès des Utilisateurs lors de la création du compte

  • Civilité
  • Nom, prénom
  • Profession (avocat / médecin)
  • Numéro RPPS ou CNBF
  • Adresse email professionnelle
  • Numéro de téléphone fixe et mobile
  • Adresse professionnelle (cabinet) ou adresse de l’EI
  • Identifiants de connexion

3.2. Données traitées dans les dossiers confiés par les Utilisateurs

Les données transmises peuvent inclure, selon les dossiers :

  • Données administratives
  • Identité, coordonnées, situation personnelle ou familiale
  • Informations financières (perte de revenus, justificatifs)
  • Données juridiques
  • Pièces de procédure, constats, expertises judiciaires
  • Décisions, échanges avec assureurs, procès-verbaux
  • Données de santé (catégorie particulière – art. 9 RGPD)
  • Comptes-rendus médicaux
  • Examens (IRM, scanners, analyses, bilans)
  • Hospitalisations
  • Historique de soins et traitements
  • Date de consolidation et évaluations médicales
  • Accidents, lésions, séquelles, facteurs médicaux pertinents

AIBC ne collecte aucune donnée directement auprès des victimes.

Toutes les données sont fournies sous l’entière responsabilité de l’Utilisateur.

4. Finalités du traitement

Les traitements mis en œuvre poursuivent les finalités suivantes :

4.1. Gestion du compte Utilisateur

  • Création, authentification, gestion et administration du compte.
  • Vérification professionnelle (RPPS / CNBF).

4.2. Exécution du service

  • Réception, transfert, stockage et classement des documents transmis.
  • Renommage, tri et indexation des pièces.
  • Génération automatisée de documents (IA) :
    • pré-rapport d’analyse médicale,
    • bordereau de pièces,
    • rapport de liquidation du préjudice.
  • Supervision humaine et contrôle de cohérence.
  • Mise à disposition dans l’Espace Client.

4.3. Sécurité, traçabilité et conformité HDS / SecNumCloud

  • Traçabilité des actions et accès.
  • Gestion des incidents et alertes de sécurité.
  • Journalisation obligatoire.

4.4. Facturation et comptabilité

  • Gestion administrative et financière des prestations.
  • Paiements via CRM / Stripe.

4.5. Statistiques anonymisées

  • Production de statistiques agrégées internes destinées à l’amélioration du service.

4.6. Support et assistance

  • Réponse aux demandes des Utilisateurs.

4.7. Prospection commerciale

  • Envoi d’informations, nouveautés, offres professionnelles.

Aucune finalité n’excède le cadre contractuel et opérationnel du service.

5. Bases légales

5.1. Données des Utilisateurs

Les traitements reposent sur :

  • l’exécution du contrat (art. 6.1.b RGPD),
  • l’intérêt légitime pour la sécurité du service (art. 6.1.f),
  • le respect d’obligations légales (sécurité, HDS – art. 6.1.c).

5.2. Données des victimes

Les données sont traitées exclusivement pour le compte de l’Utilisateur, conformément à l’article 28 RGPD.

La base légale applicable relève uniquement du Responsable du traitement, à savoir l’Utilisateur :

  • consentement explicite (art. 9.2.a RGPD),
  • traitement nécessaire à la défense d’un droit en justice (art. 9.2.f RGPD),
  • exécution d’un mandat confié au professionnel.

AIBC ne détermine ni la finalité ni la base légale et ne peut être tenu responsable du fondement juridique invoqué par l’Utilisateur.

6. Absence de relation contractuelle avec les victimes

AIBC n’est pas en relation avec les victimes, patients ou tiers dont les données apparaissent dans les dossiers transmis.

AIBC n’intervient qu’en exécution du contrat conclu avec l’Utilisateur, et n’acquiert jamais la qualité de Responsable du traitement.

7. Sous-traitants et destinataires des données

Les données peuvent être traitées par les sous-traitants strictement nécessaires au fonctionnement du service :

7.1. Hébergement des dossiers médicaux et juridiques

Les documents transmis par les Utilisateurs dans le cadre du traitement des dossiers (pièces médicales, pièces juridiques, rapports, bordereaux, pré-rapports) sont hébergés exclusivement :

  • chez OVH SAS,
  • sur des infrastructures situées uniquement en France,
  • certifiées HDS et SecNumCloud.

Aucun transfert hors Union européenne n’est réalisé pour ces données.

7.2. Métadonnées techniques, emailing et CRM

Certaines catégories de données, ne comprenant aucune donnée issue des dossiers médicaux ou juridiques, peuvent être traitées par des prestataires opérant, en tout ou partie, hors Union européenne :

  • Mailgun (emails transactionnels)
  • SendGrid (emailing marketing professionnel)
  • SuiteDash (CRM et gestion de la relation client)
  • Stripe Payments Europe (paiement et facturation)

Lorsque des transferts vers des pays tiers interviennent, ceux-ci sont :

  • strictement limités aux métadonnées techniques,
  • encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne,
  • assortis de garanties supplémentaires mises en œuvre par les prestataires concernés.

Lorsque cela est possible, les services sont configurés pour utiliser exclusivement les régions de traitement situées dans l’Union européenne.

AIBC ne transfère aucune donnée des dossiers médicaux ou juridiques vers des pays tiers.

8. Transferts hors Union européenne

AIBC distingue strictement deux catégories de données :

8.1. Données des dossiers médicaux et juridiques

Les documents transmis par les Utilisateurs (données de santé, pièces de procédure, rapports médicaux, expertises, analyses, preuves, éléments de préjudice) sont hébergés :

  • exclusivement sur des serveurs HDS / SecNumCloud situés en France,
  • sans aucun transfert hors Union européenne.

Il n’existe aucun flux sortant vers un pays tiers pour ces données.

8.2. Métadonnées techniques, emailing, CRM et facturation

Certaines données techniques ou administratives (informations de facturation, emails, métadonnées non sensibles) peuvent faire l’objet de transferts hors Union européenne via certains prestataires.

Ces transferts sont :

  • limités aux données strictement nécessaires,
  • encadrés par les Clauses Contractuelles Types (CCT) de la Commission européenne,
  • accompagnés de garanties contractuelles et organisationnelles élevées,/li>
  • et n’impliquent jamais les documents médicaux ou juridiques confiés dans le cadre de l’exécution du service.

9. Traitements impliquant de l’Intelligence Artificielle

Les traitements automatisés mis en œuvre par IA répondent aux principes suivants :

  • pseudonymisation systématique des données avant traitement,
  • absence totale d’entraînement des modèles sur les données des Utilisateurs,
  • contrôle humain obligatoire,
  • interdiction de réutilisation des données,
  • sécurisation du pipeline IA,
  • conservation limitée aux stricts besoins du service.

Les fournisseurs de solutions d’intelligence artificielle utilisés dans le cadre des traitements sont configurés pour ne pas réutiliser les données traitées afin d’entraîner ou d’améliorer leurs modèles, conformément à leurs engagements contractuels.

Aucune donnée médicale, juridique ou personnelle traitée dans le cadre du service n’est utilisée pour l’entraînement ou la réutilisation statistique des modèles IA.

Aucun traitement automatisé ne produit d’effet juridique ou similaire concernant l’Utilisateur ou les victimes (art. 22 RGPD).

10. Mesures de sécurité

AIBC met en œuvre les mesures techniques et organisationnelles suivantes :

  • hébergement HDS / SecNumCloud,
  • chiffrement en transit et au repos,
  • journalisation complète des accès,
  • cloisonnement des environnements,
  • revue régulière des accès,
  • supervision continue,
  • tests de sécurité internes,
  • contrôles annuels conformité HDS / SecNumCloud,
  • confidentialité contractuelle renforcée pour les administrateurs,
  • politique stricte de conservation et de suppression.

11. Durées de conservation

Catégorie de données Durée
Dossiers médicaux / juridiques 90 jours après livraison du rapport
Compte utilisateur Suppression après 24 mois d’inactivité
Logs de connexion 12 mois
Données de facturation Durée légale comptable (10 ans)
Statistiques anonymisées Conservation illimitée (données non identifiantes)

Une suppression anticipée peut être demandée à tout moment.

12. Droits des personnes concernées

Pour les données des Utilisateurs, AIBC garantit l’exercice :

  • droit d’accès,
  • droit de rectification,
  • droit d’opposition,
  • droit à la limitation,
  • droit à l’effacement,
  • droit à la portabilité,
  • droit de définir des directives post-mortem.

Les demandes doivent être adressées à : dpo@prejudices.fr

Délai de réponse : 30 jours.

Pour les données des victimes, les demandes doivent être adressées au Responsable du traitement, soit l’Utilisateur (avocat ou médecin), conformément à l’article 28 RGPD.

13. Procédure en cas de violation de données

AIBC s’engage à :

  • notifier la CNIL sous 72 heures (art. 33 RGPD),
  • informer l’Utilisateur sans délai injustifié,
  • notifier les personnes concernées en cas de risque élevé (art. 34 RGPD),
  • délivrer une information complète :
    • nature de la violation,
    • données impliquées,
    • conséquences potentielles,
    • mesures prises et actions correctives,
    • droits et recommandations.

La notification est effectuée par email individuel pour garantir la traçabilité.

14. Prospection commerciale

AIBC peut adresser aux Utilisateurs :

  • newsletters professionnelles,/li>
  • informations relatives aux évolutions du service,/li>
  • offres commerciales.

Les Utilisateurs peuvent se désinscrire à tout moment via les liens prévus ou par demande à : dpo@prejudices.fr

15. Mise à jour de la Politique

AIBC se réserve le droit de modifier à tout moment la présente Politique pour tenir compte :

  • des évolutions légales,
  • des exigences de conformité,
  • des modifications techniques du service.

Toute modification substantielle fera l’objet d’une information préalable.

16. Contact

Pour toute demande relative à la présente Politique :

AIBC
142 rue de Rivoli
75001 Paris

Email : dpo@prejudices.fr