Cette politique décrit comment My Data My Care collecte, traite et protège vos données. Elle est complémentaire de nos CGU et de nos engagements techniques.
1. Responsable du traitement
My Data My Care, [[SIRET + adresse]], est responsable du traitement de vos données personnelles au sens du RGPD (Règlement UE 2016/679) et de la loi « Informatique et Libertés » modifiée.
2. Données collectées
2.1 Données d'identification
- Nom, prénom, date de naissance
- Identifiant National de Santé (INS), après vérification auprès du téléservice INSi
- Adresse email, numéro de téléphone
- Clé publique cryptographique de votre appareil (WebAuthn / passkey)
2.2 Données de santé (données sensibles)
- Antécédents médicaux, allergies, traitements
- Résultats d'analyses, imagerie, comptes rendus
- Ordonnances, vaccinations, constantes physiologiques
- Données issues d'objets connectés de santé (avec votre consentement)
Chiffrement de bout en bout. Vos données de santé sont chiffrées sur votre appareil avant transmission. Nous hébergeons des blobs chiffrés opaques. Même nos équipes techniques ne peuvent pas y accéder sans votre autorisation cryptographique explicite.
2.3 Données de journalisation
- Dates et heures d'accès, adresses IP, type d'appareil (à des fins de sécurité)
- Journal des partages et révocations (inscrit sur chaîne d'audit immuable)
3. Finalités des traitements
- Fourniture du service : création et gestion de votre passeport santé (base légale : exécution du contrat)
- Conformité réglementaire : obligations légales Ségur, Mon Espace Santé, INS (base légale : obligation légale)
- Sécurité : détection de fraude, audit, traçabilité des accès (intérêt légitime)
- Communication : information produit, support (base légale : consentement)
Nous ne revendons ni ne cédons jamais vos données à des tiers à des fins commerciales, publicitaires ou de recherche marketing. Aucune exception, aucune condition.
4. Destinataires
- Vous et vos ayants droit (proches aidants, tuteurs légaux)
- Les professionnels de santé que vous invitez, pour la durée que vous définissez
- Notre hébergeur HDS certifié, sous contrat de sous-traitance RGPD
- Aucune autorité étrangère. Nos serveurs étant en France chez un hébergeur français certifié, aucune juridiction hors UE ne peut contraindre un accès
5. Durée de conservation
- Données de santé : 20 ans après votre dernier accès, conformément au Code de la santé publique (R. 1111-1)
- Données de compte : durée de votre inscription + 3 ans après inactivité
- Journaux de connexion : 12 mois maximum (obligation LCEN)
- À la suppression du compte : effacement complet sous 30 jours, hors obligations légales de conservation
6. Vos droits
Conformément au RGPD, vous disposez des droits suivants, exerçables à tout moment :
- Droit d'accès (article 15)
- Droit de rectification (article 16)
- Droit à l'effacement / droit à l'oubli (article 17)
- Droit à la limitation du traitement (article 18)
- Droit à la portabilité (article 20) — export FHIR R4 complet disponible en 1 clic
- Droit d'opposition (article 21)
- Directives post-mortem — vous pouvez désigner un tiers de confiance
Pour exercer ces droits : dpo@mydatamycare.com.
Réponse sous 1 mois. Recours possible auprès de la CNIL.
7. Cookies
Voir notre politique cookies dédiée.
8. Modifications
Cette politique peut être mise à jour. Toute modification substantielle vous sera notifiée par email et via l'application, avec un délai de préavis de 30 jours avant entrée en vigueur.