Politique de Confidentialité

Dernière mise à jour : 30/05/2025

1. Objet de la Politique

La présente Politique de Confidentialité a pour objet d’informer les utilisateurs professionnels (ci-après « Utilisateurs ») du service Prejudices.fr édité par l’Association AIBC, ainsi que, indirectement, les personnes dont les données sont traitées par leur intermédiaire (patients, clients, victimes), des modalités selon lesquelles leurs données à caractère personnel sont traitées conformément :

  • au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD),
  • à la Loi Informatique et Libertés modifiée,
  • aux référentiels applicables aux données de santé,
  • et aux exigences liées à l’hébergement HDS.

Cette Politique constitue un document d’information et complète les CGU, CGV, le Contrat de Sous-Traitance (DPA) et la Charte Éthique IA.

2. Identité du Responsable de traitement et du Délégué à la Protection des Données

AIBC a désigné un Délégué à la Protection des Données (DPO).

Responsable du traitement :
AIBC
142 rue de Rivoli
75001 Paris

Contact RGPD : dpo@prejudices.fr

Rôle dans le cadre des dossiers transmis par les Utilisateurs

Pour les données relatives aux patients / victimes transmises dans le cadre du service :

  • AIBC agit exclusivement en qualité de sous-traitant, au sens de l’article 4.8 et 28 RGPD.
  • L’Utilisateur (avocat ou médecin) agit en qualité de Responsable du traitement.

AIBC n’entretient aucune relation contractuelle avec les victimes et ne devient jamais Responsable du traitement des données les concernant.

3. Catégories de données collectées

3.1. Données collectées auprès des Utilisateurs lors de la création du compte

  • Civilité
  • Nom, prénom
  • Profession (avocat / médecin)
  • Numéro RPPS pour les médecins
  • Adresse email professionnelle
  • Numéro de téléphone fixe et mobile
  • Adresse professionnelle (cabinet) ou adresse de l’EI
  • Identifiants de connexion

3.2. Données traitées dans les dossiers confiés par les Utilisateurs

Les données transmises peuvent inclure, selon les dossiers :

  • Données administratives
  • Identité, coordonnées, situation personnelle ou familiale
  • Informations financières (perte de revenus, justificatifs)
  • Données juridiques
  • Pièces de procédure, constats, expertises judiciaires
  • Décisions, échanges avec assureurs, procès-verbaux
  • Données de santé (catégorie particulière – art. 9 RGPD)
  • Comptes-rendus médicaux
  • Examens (IRM, scanners, analyses, bilans)
  • Hospitalisations
  • Historique de soins et traitements
  • Date de consolidation et évaluations médicales
  • Accidents, lésions, séquelles, facteurs médicaux pertinents

AIBC ne collecte aucune donnée directement auprès des victimes.

Toutes les données sont fournies sous l’entière responsabilité de l’Utilisateur.

4. Finalités du traitement

Les traitements mis en œuvre poursuivent les finalités suivantes :

4.1. Gestion du compte Utilisateur

  • Création, authentification, gestion et administration du compte.
  • Vérification professionnelle (RPPS / CNBF).

4.2. Exécution du service

  • Réception, transfert, stockage et classement des documents transmis.
  • Renommage, tri et indexation des pièces.
  • Pseudonymisation du dossier médical.
  • Supervision humaine et contrôle de cohérence.
  • Mise à disposition dans l’Espace Client.

4.3. Sécurité, traçabilité et conformité HDS

  • Traçabilité des actions et accès.
  • Gestion des incidents et alertes de sécurité.
  • Journalisation.

4.4. Facturation et comptabilité

  • Gestion administrative et financière des prestations.
  • Paiements via CRM / Stripe.

4.5. Statistiques anonymisées

  • Production de statistiques agrégées internes destinées à l’amélioration du service.

4.6. Support et assistance

  • Réponse aux demandes des Utilisateurs.

4.7. Prospection commerciale

  • Envoi d’informations, nouveautés, offres professionnelles.

Aucune finalité n’excède le cadre contractuel et opérationnel du service.

5. Bases légales

5.1. Données des Utilisateurs

Les traitements reposent sur :

  • l’exécution du contrat (art. 6.1.b RGPD),
  • l’intérêt légitime pour la sécurité du service (art. 6.1.f),
  • le respect d’obligations légales (sécurité, HDS – art. 6.1.c).

5.2. Données des victimes

Les données sont traitées exclusivement pour le compte de l’Utilisateur, conformément à l’article 28 RGPD.

La base légale applicable relève uniquement du Responsable du traitement, à savoir l’Utilisateur :

  • consentement explicite (art. 9.2.a RGPD),
  • traitement nécessaire à la défense d’un droit en justice (art. 9.2.f RGPD),
  • exécution d’un mandat confié au professionnel.

AIBC ne détermine ni la finalité ni la base légale et ne peut être tenu responsable du fondement juridique invoqué par l’Utilisateur.

6. Absence de relation contractuelle avec les victimes

AIBC n’est pas en relation avec les victimes, patients ou tiers dont les données apparaissent dans les dossiers transmis.

AIBC n’intervient qu’en exécution du contrat conclu avec l’Utilisateur, et n’acquiert jamais la qualité de Responsable du traitement.

7. Sous-traitants et destinataires des données

Les données personnelles collectées sont traitées exclusivement par des sous-traitants sélectionnés pour leurs garanties en matière de sécurité, de confidentialité et de conformité au Règlement général sur la protection des données (RGPD), et strictement nécessaires au fonctionnement du service.

7.1. Hébergement des dossiers médicaux et juridiques – France

Les documents transmis par les Utilisateurs dans le cadre du traitement des dossiers (notamment pièces médicales, pièces juridiques, rapports, bordereaux et pré-rapports) font l’objet d’un hébergement sécurisé répondant à des exigences élevées de confidentialité.

Ces données sont hébergées :

  • chez OVH SAS,
  • sur des infrastructures situées exclusivement sur le territoire français,
  • au sein d’environnements certifiés Hébergement de Données de Santé (HDS).

Aucun transfert de ces données vers un pays situé hors de l’Union européenne n’est réalisé.

Les dossiers médicaux et juridiques ne font l’objet d’aucun traitement, accès ou stockage hors de France.

7.2. Données de gestion, emailing et relation client – Union européenne

Certaines catégories de données, strictement dissociées des dossiers médicaux et juridiques, peuvent être traitées par des prestataires établis ou opérant principalement au sein de l’Union européenne.

Ces données concernent notamment :

  • les coordonnées professionnelles,
  • les échanges administratifs,
  • les données de facturation,
  • les métadonnées liées aux communications électroniques.

Les prestataires concernés sont notamment :

  • Microsoft (logiciel bureautique et collaboratif),
  • Mailgun (emails transactionnels),
  • SendGrid (emailing professionnel),
  • Odoo (CRM et gestion de la relation client),
  • Stripe Payments Europe (paiement et facturation)

7.3. Métadonnées techniques

À titre résiduel, certaines métadonnées techniques, strictement dissociées des dossiers médicaux et juridiques, peuvent être traitées par certains prestataires, notamment Microsoft et Stripe Payments Europe, dans le cadre du fonctionnement, de la sécurité ou de l’assistance des services.

Les modalités et garanties applicables aux éventuels transferts hors Union européenne sont précisées à l’article 8.

8. Transferts hors Union européenne

AIBC porte une attention particulière à la localisation des traitements et distingue strictement les catégories de données concernées.

8.1. Données des dossiers médicaux et juridiques

Les données issues des dossiers médicaux et juridiques confiés par les Utilisateurs ne font l’objet d’aucun transfert hors de l’Union européenne.

Elles sont hébergées exclusivement sur des infrastructures certifiées HDS situées en France et ne sont accessibles depuis aucun pays tiers.

8.2. Métadonnées techniques et données de fonctionnement

Certaines métadonnées techniques, strictement nécessaires au fonctionnement, à la sécurité ou à l’assistance des services, peuvent faire l’objet de transferts vers des pays situés hors de l’Union européenne via certains prestataires.

Ces transferts sont :

  • limités aux données strictement nécessaires,
  • encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne,
  • assortis de garanties techniques et organisationnelles appropriées,
  • et n’impliquent en aucun cas les données ou documents médicaux ou juridiques.

9. Mesures de sécurité

AIBC met en œuvre les mesures techniques et organisationnelles suivantes :

  • hébergement HDS,
  • chiffrement en transit et au repos,
  • journalisation complète des accès,
  • cloisonnement des environnements,
  • revue régulière des accès,
  • supervision continue,
  • tests de sécurité internes,
  • contrôles annuels conformité HDS,
  • confidentialité contractuelle renforcée pour les administrateurs,
  • politique stricte de conservation et de suppression.

10. Durées de conservation des données

AIBC conserve les données personnelles uniquement pendant la durée strictement nécessaire aux finalités pour lesquelles elles sont traitées, conformément aux exigences légales et réglementaires applicables.

10.1. Tableau récapitulatif

Catégorie de données Durée de conservation
Dossiers médicaux et juridiques 90 jours à compter de la livraison du rapport final
Compte utilisateur Suppression après 24 mois d’inactivité
Données de connexion (logs) 12 mois
Données de facturation Durée légale de conservation comptable (10 ans)
Statistiques anonymisées Conservation sans limitation de durée (données non identifiantes)

10.2. Suppression anticipée

Une suppression anticipée peut être demandée à tout moment, sous réserve des obligations légales de conservation
imposées à AIBC.

11. Droits des personnes concernées

Pour les données des Utilisateurs, AIBC garantit l’exercice :

  • droit d’accès,
  • droit de rectification,
  • droit d’opposition,
  • droit à la limitation,
  • droit à l’effacement,
  • droit à la portabilité,
  • droit de définir des directives post-mortem.

Les demandes doivent être adressées à : dpo@prejudices.fr

Délai de réponse : 30 jours.

Pour les données des victimes, les demandes doivent être adressées au Responsable du traitement, soit l’Utilisateur (avocat ou médecin), conformément à l’article 28 RGPD.

12. Procédure en cas de violation de données

AIBC s’engage à :

  • notifier la CNIL sous 72 heures (art. 33 RGPD),
  • informer l’Utilisateur sans délai injustifié,
  • notifier les personnes concernées en cas de risque élevé (art. 34 RGPD),
  • délivrer une information complète :
    • nature de la violation,
    • données impliquées,
    • conséquences potentielles,
    • mesures prises et actions correctives,
    • droits et recommandations.

La notification est effectuée par email individuel pour garantir la traçabilité.

13. Prospection commerciale

AIBC peut adresser aux Utilisateurs :

  • newsletters professionnelles,
  • informations relatives aux évolutions du service,
  • offres commerciales.

Les Utilisateurs peuvent se désinscrire à tout moment via les liens prévus ou par demande à : dpo@prejudices.fr

14. Mise à jour de la Politique

AIBC se réserve le droit de modifier à tout moment la présente Politique pour tenir compte :

  • des évolutions légales,
  • des exigences de conformité,
  • des modifications techniques du service.

Toute modification substantielle fera l’objet d’une information préalable.

15. Contact

Pour toute demande relative à la présente Politique :

AIBC
142 rue de Rivoli
75001 Paris

Email : dpo@prejudices.fr