Politique de confidentialité
Dernière mise à jour · juin 2026
La présente politique décrit le traitement des données personnelles dans le cadre du service psy-eval.fr, conformément au règlement (UE) 2016/679 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »).
1. Répartition des rôles (point essentiel)
Psy-Eval distingue deux situations :
| Données | Responsable de traitement | Rôle de l'éditeur Psy-Eval |
|---|---|---|
| Données des patients (réponses, scores) | Le praticien qui assigne les questionnaires | Sous-traitant (RGPD art. 28) — voir DPA |
| Données du compte praticien (identifiant, courriel, facturation) | L'éditeur Psy-Eval | Responsable de traitement |
Cette politique couvre les deux. Pour les données patients, le praticien reste l'interlocuteur de premier rang (information, exercice des droits) ; l'éditeur l'assiste en qualité de sous-traitant.
2. Données de santé — base légale (RGPD art. 9)
Les réponses aux questionnaires psychométriques sont des données concernant la santé (RGPD art. 4, point 15), catégorie particulière dont le traitement est interdit par principe (art. 9-1) sauf exception. L'exception applicable est, selon le contexte d'exercice du praticien :
- art. 9-2-h : traitement nécessaire aux fins de médecine préventive, de diagnostic, de prise en charge par un professionnel soumis au secret professionnel (art. 226-13 du Code pénal) ; et/ou
- art. 9-2-a : consentement explicite de la personne concernée, recueilli par le praticien.
3. Données traitées
Données patients (pour le compte du praticien) :
- Code anonyme
PAT-XXXXXX, mot de passe haché (bcrypt) ; - Réponses aux questionnaires et scores — chiffrés au repos (AES-256-GCM) ;
- Variables cliniques non identifiantes : âge en années, sexe, temps de mesure (T0/J7…) ;
- Horodatages, journaux d'audit (consultations, exports).
Aucune donnée nominative directe du patient (nom, date de naissance complète, adresse, n° de sécurité sociale, etc.) n'est collectée — un audit automatique détecte et bloque ces champs à l'import. Liste exhaustive au DPA art. 5.
Données du praticien (responsable = éditeur) : identifiant, courriel, mot de passe haché, secret 2FA (chiffré), identifiants Stripe, journaux de connexion.
4. Finalités et bases légales (données du praticien)
| Finalité | Base légale (RGPD art. 6) |
|---|---|
| Fourniture du service (compte, authentification) | Exécution du contrat (art. 6-1-b) |
| Facturation de l'abonnement | Exécution du contrat + obligation légale (art. 6-1-b et c) |
| Sécurité, prévention de la fraude, journaux | Intérêt légitime (art. 6-1-f) |
| Notifications de service par courriel | Exécution du contrat (art. 6-1-b) |
5. Hébergement et localisation
Les données de santé sont hébergées en France chez Scalingo (certifié HDS, art. L.1111-8 du Code de la santé publique ; infrastructure Outscale, datacenters France). Elles ne quittent pas l'Union européenne, à la seule exception encadrée ci-après.
Transfert hors UE — fonction d'import par IA (RGPD chapitre V)
Lorsqu'un praticien utilise l'import assisté par IA, le texte du questionnaire (et non des données de patients) est transmis à Anthropic PBC (États-Unis). Ce transfert est encadré par les clauses contractuelles types de la Commission européenne (art. 46-2-c RGPD) figurant au DPA d'Anthropic, et ne porte sur aucune donnée de patient. Détail au DPA art. 10.
5 bis. Destinataires et sous-traitants (RGPD art. 13-1-e)
Les données ne sont ni vendues, ni cédées, ni utilisées à des fins publicitaires. Les seuls destinataires sont des sous-traitants strictement nécessaires au service, encadrés par des accords conformes à l'art. 28 RGPD :
| Sous-traitant | Rôle | Localisation | Données concernées |
|---|---|---|---|
| Scalingo SAS (Outscale) | Hébergement HDS | France (UE) | Toutes (hébergement) |
| Brevo | Envoi d'emails transactionnels | UE | Adresse email (praticien) ; jamais de donnée de santé |
| Stripe | Paiement de l'abonnement | UE (Stripe Payments Europe) + flux USA | Données de facturation (praticien) |
| Anthropic PBC | IA d'import (texte du questionnaire) | États-Unis (CCT) | Texte d'instruments ; jamais de donnée de patient |
La liste détaillée et à jour figure au DPA, annexe 2.
5 ter. Absence de décision automatisée
Aucune décision produisant des effets juridiques ou significatifs n'est prise de manière automatisée (RGPD art. 22) : la plateforme calcule des scores par application d'un barème publié, mais toute interprétation et toute décision relèvent du praticien. Aucun profilage n'est réalisé.
6. Durées de conservation
- Données patients : conservées tant que le praticien (responsable) maintient le compte ; à la clôture, restitution ou suppression selon son choix (DPA art. 7.6). Le praticien fixe la durée conforme à ses obligations (dossier du psychologue).
- Données de compte praticien : durée de la relation contractuelle + durées légales (facturation : 10 ans, art. L.123-22 C. com.).
- Journaux de connexion : 12 mois maximum.
7. Droits des personnes (RGPD art. 15 à 22)
Toute personne dispose des droits d'accès, rectification, effacement, limitation, opposition, portabilité, et du droit de retirer son consentement.
- Patients : s'adressent à leur praticien (responsable de traitement). L'éditeur, sous-traitant, transmet sans délai toute demande reçue et assiste le praticien.
- Praticiens :
privacy@psy-eval.fr. - Réclamation : CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — cnil.fr.
8. Sécurité (RGPD art. 32)
Chiffrement au repos (AES-256-GCM) des données cliniques, mots de passe hachés (bcrypt), TLS 1.2+ / HSTS, 2FA TOTP disponible, cloisonnement multi-locataire, sauvegardes chiffrées, journal d'audit, hébergement HDS. Détail au DPA annexe 1.
9. Violation de données (RGPD art. 33-34)
En cas de violation, l'éditeur (sous-traitant) notifie sans délai le praticien concerné. Il appartient au praticien (responsable) d'apprécier la notification à la CNIL sous 72 h (art. 33) et, le cas échéant, aux personnes concernées (art. 34). L'éditeur fournit l'assistance et tient un registre des violations.
10. Analyse d'impact (RGPD art. 35)
Le traitement de données de santé peut requérir une analyse d'impact relative à la protection des données (AIPD/DPIA). L'éditeur met à disposition un modèle/éléments techniques pour aider chaque praticien à conduire l'AIPD de son traitement.
11. Délégué à la protection des données
Point de contact protection des données : privacy@psy-eval.fr.
12. Représentant dans l'UE
Le représentant de l'éditeur dans l'Union européenne (RGPD art. 27) est Nadine Béatrice Hoarau, établie à 97430 Le Tampon (La Réunion, France) — 1nadine.h24@gmail.com. Coordonnées complètes dans les mentions légales §1.