Politique de Confidentialité
ABD Santé – Protection des données personnelles et de santé | Version en vigueur au 30 mars 2026
ABD Santé traite des données de santé à caractère personnel, catégorie sensible soumise à un régime renforcé (art. 9 RGPD et art. L.1111-8 CSP). La présente politique décrit de manière transparente l'ensemble des traitements mis en œuvre.
1. Responsable du traitement
ABD SANTE, SAS au capital de 15 000 €
Siège social : 1 Impasse de la Fontasse, 3 Avenue de la Fontasse, 34690 Fabrègues – France
RCS Montpellier : 989 600 366
DPO / Référent RGPD : contact@abdsante.net
ABD SANTE est en cours de désignation formelle d'un DPO. Toute demande est traitée par le dirigeant Abidi Rayhan à l'adresse contact@abdsante.net.
2. Données collectées
2.1 Données des professionnels de santé
- Identité professionnelle : nom, prénom, spécialité, numéro RPPS/ADELI, adresse professionnelle
- Coordonnées professionnelles : e-mail, téléphone
- Données d'authentification : identifiant, mot de passe haché, journaux de connexion
- Données d'usage : horodatage des actions, fonctionnalités utilisées
2.2 Données de santé des patients
Ces données constituent des données de santé au sens de l'article 9 RGPD. Elles bénéficient d'un niveau de protection renforcé et sont hébergées sur infrastructure certifiée HDS v2.0.
- Identité : nom, prénom, date de naissance, numéro de sécurité sociale (NIR)
- Données médicales : diagnostics, prescriptions, ordonnances, comptes rendus, antécédents, résultats d'examens
- Données biologiques, physiologiques et pathologiques propres à influencer la réaction à la prise en charge
- Photographies, données audio et vidéo dans le cadre de la prise en charge ou de téléconsultations
- Situation familiale et professionnelle dans la mesure où ces informations sont nécessaires au suivi
- Habitudes de vie pertinentes pour le diagnostic et les soins (dépendance, alimentation, exercice, etc.)
- Coordonnées de l'entourage et de la personne de confiance
- Noms et coordonnées des professionnels de santé impliqués dans la prise en charge
- Dates, durées et modalités de rendez-vous et hospitalisations
- Données de paiement des actes médicaux (module en cours de déploiement)
2.3 Données techniques
- Adresses IP, cookies techniques strictement nécessaires au fonctionnement
- Type d'appareil, système d'exploitation, version de l'application
- Journaux d'erreurs et de performance (sans données de santé identifiantes)
3. Finalités et bases légales
3.1 Gestion des comptes professionnels
Finalité : Création, gestion et sécurisation des accès.
Base légale : Exécution du contrat (art. 6.1.b RGPD).
3.2 Coordination des soins et partage de données de santé
Finalité : Partage d'informations entre professionnels autorisés.
Base légale : Nécessité pour des soins de santé, par des professionnels soumis au secret médical (art. 9.2.h RGPD et art. L.1110-4 CSP).
Le patient est informé du partage de ses données dans le cadre de sa prise en charge (art. L.1111-2 CSP).
3.3 Téléconsultation (en cours de déploiement)
Finalité : Réalisation de consultations médicales à distance.
Base légale : Consentement explicite du patient (art. 9.2.a RGPD) et nécessité pour des soins de santé (art. 9.2.h RGPD), conformément au décret n°2018-788.
3.4 Paiement des actes médicaux (en cours de déploiement)
Finalité : Permettre le règlement par les patients des actes via la plateforme.
Base légale : Exécution du contrat de soins (art. 6.1.b RGPD). Données bancaires traitées exclusivement par le prestataire de paiement agréé DSP2.
3.5 Recherche en santé (ambition future)
Finalité : Contribution à l'amélioration des pratiques via l'analyse de données anonymisées.
Base légale : Consentement explicite et spécifique (art. 9.2.a RGPD) ou intérêt public dans le domaine de la santé (art. 9.2.j RGPD).
Cadre réglementaire : Méthodologie de référence MR-001 de la CNIL ou autorisation CNIL spécifique, et le cas échéant loi Jardé n°2012-300.
Les données utilisées à des fins de recherche seront anonymisées de manière irréversible. Aucune donnée identifiante ne sera transmise à des partenaires de recherche.
3.6 Amélioration du service
Finalité : Analyse anonymisée des usages.
Base légale : Intérêt légitime (art. 6.1.f RGPD), données anonymisées avant traitement.
3.7 Obligations légales
Finalité : Conservation des journaux d'accès, traçabilité des actions sur les données de santé.
Base légale : Obligation légale (art. 6.1.c RGPD – art. R.1110-1 et s. CSP).
4. Hébergement et transfert des données
Données de santé hébergées exclusivement sur Google Cloud Platform (GCP), certifié HDS v2.0 (art. L.1111-8 CSP), dans des centres de données situés dans l'EEE (région europe-west). Un avenant HDS est en vigueur entre ABD SANTE et Google Cloud.
Aucun transfert de données de santé en dehors de l'EEE. Les données techniques de monitoring peuvent faire l'objet de traitements encadrés par des clauses contractuelles types (CCT) approuvées par la Commission européenne.
5. Durées de conservation
- Comptes professionnels actifs : durée de la relation contractuelle + 5 ans après résiliation
- Données de santé des patients : 20 ans à compter de la dernière prise en charge, ou jusqu'aux 28 ans du patient si mineur lors de la prise en charge (art. R.1112-7 CSP)
- Journaux d'accès et de traçabilité : 6 mois à 2 ans selon la nature (recommandations CNIL)
- Données de facturation : 10 ans (obligation comptable)
- Données de recherche : anonymisées avant usage – les données anonymisées ne sont plus soumises aux durées RGPD
6. Droits des personnes concernées
6.1 Droits des professionnels de santé
Conformément aux articles 15 à 22 du RGPD :
- Droit d'accès, rectification, effacement, portabilité, opposition, limitation du traitement
6.2 Droits des patients
Les droits des patients s'exercent principalement auprès des professionnels de santé. ABD SANTE peut être contactée pour toute demande d'effacement ou de portabilité : contact@abdsante.net
Les patients ayant consenti à un projet de recherche disposent d'un droit d'opposition spécifique à ce traitement, sans impact sur leur prise en charge.
6.3 Modalités d'exercice
Demande écrite avec justificatif d'identité à contact@abdsante.net. Délai de réponse : 1 mois maximum (art. 12.3 RGPD).
Autorité de contrôle :
CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
☎️ 01 53 73 22 22 | 🌐 www.cnil.fr
Vous disposez du droit d'introduire une réclamation auprès de la CNIL.
7. Sécurité des données
- Chiffrement en transit (TLS 1.2+) et au repos
- Authentification sécurisée (Firebase Authentication – HDS v2.0)
- Contrôle d'accès basé sur les rôles (RBAC)
- Journalisation et traçabilité de tous les accès aux données de santé
- Hébergement dans des centres de données certifiés ISO 27001 et HDS v2.0
8. Sous-traitants
- Google Cloud Platform – hébergement des données de santé – certifié HDS v2.0 – EEE
- Firebase Authentication (Google) – gestion de l'authentification – périmètre HDS
- Prestataire de paiement (à désigner) – traitement des paiements des actes – conforme DSP2 et PCI DSS
- Partenaires de recherche (à désigner) – uniquement sur données anonymisées – cadre MR-001 ou autorisation CNIL
9. Cookies
Uniquement des cookies strictement nécessaires au fonctionnement. Aucun cookie publicitaire sans consentement (délibération CNIL n°2020-091).
10. Modification de la politique
Toute modification substantielle sera notifiée aux Utilisateurs par e-mail au moins 30 jours avant son entrée en vigueur.
En particulier, le déploiement de la téléconsultation, du module de paiement des actes et du programme de recherche en santé donneront chacun lieu à une mise à jour de la présente politique et à une notification aux Utilisateurs.
ABD Santé – ABD SANTE, SAS | RCS Montpellier 989 600 366 | Contact : contact@abdsante.net