Bilan Pelvi

Politique de confidentialité

Dernière mise à jour : 21 mai 2026

La présente politique est communiquée aux personnes concernées au titre de l'article 13 du Règlement Général sur la Protection des Données (RGPD).

Responsable de traitement

Le responsable du traitement des données personnelles collectées via Bilan Pelvi est Hey Lilie Formation SAS, SIRET 95373234400015, dont le siège social est situé au 59 rue des Prairies, 75020 Paris.

Délégué à la Protection des Données (DPO) : en l'absence d'obligation légale de désignation (Hey Lilie Formation SAS étant une TPE), la fonction de DPO est assumée par le Président, Sam Al Anbari. Contact : sam@hey-lilie.fr.

Données collectées

Deux catégories de données sont collectées :

  • Données du praticien utilisateur : nom, prénom, adresse email, profession (kinésithérapeute, sage-femme, gynécologue), numéro RPPS le cas échéant. Ces données sont nécessaires à la création et à la gestion du compte.
  • Données de santé des patientes : nom, prénom, email, téléphone, date de naissance, ainsi que l'intégralité du bilan pelvi-périnéal (motif de consultation, antécédents, symptômes urinaires, ano-rectaux, sexologiques, examen clinique, scores ICIQ, PFDI-20, POP-Q, Jorge-Wexner, Oxford, diagnostic et plan de traitement). Ces données sont saisies par le praticien dans le cadre de sa pratique clinique.

Finalités et base légale du traitement

Les données sont traitées pour deux finalités distinctes :

  • (a) Traitement du bilan pelvi-périnéal pour soin — permettre au praticien de réaliser, conserver et restituer les bilans pelvi-périnéaux de ses patientes, et d'éditer les comptes rendus cliniques associés.
  • (b) Audit technique et sécurité — journaliser les accès et événements applicatifs (IP, user-agent, codes d'erreur) pour détecter les abus, prévenir les intrusions et garantir la traçabilité exigée par le référentiel HDS et l'article 32 RGPD.

Bases légales :

  • Pour la finalité (a) : article 9.2.h du RGPD (médecine préventive, diagnostic médical et fourniture de soins de santé, sous la responsabilité du praticien) combiné à l'article 6.1.b (exécution du contrat de service entre Hey Lilie et le praticien). Le consentement éclairé de la patiente est recueilli par le praticien avant toute saisie, conformément aux articles 7 et 9.2.a du RGPD.
  • Pour la finalité (b) : article 6.1.f du RGPD (intérêt légitime de Hey Lilie à assurer la sécurité de son infrastructure technique et la traçabilité des accès).

Catégories de destinataires

Vos données sont accessibles uniquement aux destinataires suivants, chacun dans le cadre strict de ses missions :

  • Le praticien Hey Lilie qui a saisi le bilan (responsable de traitement clinique au titre du Code de la santé publique). Aucun autre praticien ne peut accéder aux données, l'isolation étant garantie par Row Level Security PostgreSQL.
  • Supabase (sous-traitant technique) — hébergeur des données applicatives (AWS eu-west-3). Engagé par un accord de traitement (DPA) conforme à l'article 28 du RGPD.
  • Vercel (sous-traitant technique) — diffusion du frontend via CDN edge. Aucune donnée de santé n'est stockée chez Vercel ; uniquement des logs techniques applicatifs (IP, user-agent, code HTTP).
  • Sam Al Anbari en sa qualité de DPO et de responsable d'exploitation, pour les seules opérations d'audit sécurité et de résolution d'incident.

Aucune donnée n'est transmise à des fins commerciales, de recherche, de profilage ou de publicité. Aucun transfert n'est effectué hors Union européenne.

Hébergement des données

Information importante pendant la phase pilote (beta) :

Les données (identifiantes et de santé) sont actuellement hébergées sur l'infrastructure Supabase (AWS, région eu-west-3, France/Irlande). Cet hébergeur est conforme au RGPD mais n'est pas certifié HDS (Hébergeur de Données de Santé, arrêté du 11 juin 2018).

Hey Lilie Formation SAS s'engage à migrer l'ensemble des données de santé vers un hébergeur certifié HDS (type Scaleway HDS, OVH HDS ou Clever Cloud HDS) avant la sortie de la phase pilote. Cette information est portée à la connaissance du praticien dans les CGU beta et doit être communiquée à chaque patiente avant toute saisie, via un consentement écrit.

Le frontend est servi par Vercel Inc. (CDN edge global). Aucune donnée de santé n'est stockée côté Vercel.

Durée de conservation

Données du compte praticien : conservées pendant la durée de son abonnement, puis supprimées dans un délai de 30 jours après résiliation, sauf obligation légale contraire.

Données de santé des patientes : conservées par le praticien conformément aux obligations du Code de la santé publique (article R.1112-7 : 20 ans à compter du dernier passage dans l'établissement, ou jusqu'au 28e anniversaire du patient s'il est mineur). Recommandation HAS pour les dossiers cliniques structurés : conservation minimale 10 ans. Hey Lilie agit ici comme sous-traitant du praticien (responsable de traitement).

Logs techniques d'audit (adresse IP, user-agent, horodatage, code HTTP) : conservés 6 mois maximum. Une tâche planifiée (cron de purge) supprime automatiquement les entrées au-delà de cette durée, conformément au principe de minimisation (article 5.1.c RGPD).

Logs d'audit technique (adresse IP et user-agent)

Pour chaque connexion praticien et chaque soumission de pré-remplissage patient, nous enregistrons :

  • L'adresse IP du navigateur utilisé pour effectuer la requête.
  • L'identifiant du navigateur (user-agent) — version du navigateur, système d'exploitation.
  • L'horodatage de l'événement et le code HTTP retourné.

Finalité : sécurité (détection d'abus, limitation du fraud, audit forensic post-incident éventuel, traçabilité des accès aux données de santé exigée par le référentiel HDS).

Base légale : article 6.1.f du RGPD — intérêt légitime du responsable de traitement à assurer la sécurité de son infrastructure et la traçabilité des accès aux données de santé.

Durée de conservation : 6 mois maximum, conformément à la délibération CNIL n° 2021-122 du 14 octobre 2021 relative aux journaux de connexion.

Vos droits : vous pouvez demander la suppression de ces logs à tout moment (sauf enquête forensic en cours légalement justifiée), en contactant le DPO à sam@hey-lilie.fr.

Vos droits

Conformément au RGPD (articles 15 à 22), toute personne concernée dispose des droits suivants sur ses données :

  • Droit d'accès (article 15)
  • Droit de rectification (article 16)
  • Droit à l'effacement (article 17)
  • Droit à la limitation du traitement (article 18)
  • Droit à la portabilité (article 20)
  • Droit d'opposition (article 21)
  • Droit de retirer le consentement à tout moment (article 7.3)

Pour exercer ces droits, la personne concernée contacte d'abord le praticien qui a saisi ses données (responsable de traitement clinique). Pour toute question complémentaire : sam@hey-lilie.fr. Délai de réponse : 30 jours maximum.

En cas de différend non résolu, toute personne peut introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr/fr/plaintes.

Sécurité des données

Hey Lilie Formation SAS met en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données : authentification par lien magique sur email vérifié, cloisonnement des données entre praticiens par Row Level Security PostgreSQL, chiffrement en transit TLS 1.3, chiffrement au repos par l'hébergeur, journalisation des accès, sauvegardes quotidiennes chiffrées.

Cookies

Ce site utilise uniquement des cookies techniques essentiels au fonctionnement de l'application (authentification, session). Aucun cookie publicitaire ou de suivi tiers n'est utilisé.

Notification d'une violation de données

En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, Hey Lilie Formation SAS s'engage à notifier la CNIL dans un délai de 72 heures (article 33 du RGPD) et à informer les personnes concernées sans délai si le risque est élevé (article 34 du RGPD).

← Retour à l'accueil