Politique de confidentialité
Dernière mise à jour : 9 juin 2026
1. Introduction
Replik.care (exploité par Seb Digital, le « Service ») est une plateforme de partage de connaissances entre médecins, où des professionnels de santé qualifiés créent des avatars IA entraînés sur leur propre corpus documentaire. La présente politique décrit ce que nous collectons, comment nous l'utilisons, et vos droits au titre du Règlement Général sur la Protection des Données (RGPD).
2. Qui sommes-nous
Le responsable de traitement du Service est Seb Digital. Contact : info@sebdigital.io. Les coordonnées légales détaillées figurent dans nos Mentions légales.
3. Données collectées
Nous collectons les catégories de données suivantes :
- Données de compte : nom complet, email, mot de passe haché (bcrypt), rôle professionnel et toute information de profil que vous choisissez de partager.
- Corpus du médecin : documents, URL, notes et enregistrements audio que vous téléversez pour entraîner votre avatar. Vous décidez de ce que vous téléversez.
- Contenus dérivés : fragments (chunks) et vecteurs (embeddings) issus de votre corpus, transcriptions de conversations, réponses générées par l'IA et citations.
- Données d'usage : pages vues, adresse IP, empreinte du navigateur/appareil à des fins de sécurité, journaux d'erreurs.
- Données marketing : si vous vous inscrivez à la newsletter ou à la plateforme, votre email et votre nom sont envoyés à Zoho CRM (centre de données UE) comme CRM.
4. Finalités du traitement
Nous traitons vos données pour : (a) fournir le Service — entraîner et servir votre avatar, afficher les citations, persister les conversations ; (b) sécuriser la plateforme — limitation du débit (rate limiting), détection d'intrusion, journaux d'audit ; (c) communiquer avec vous — emails de service, réinitialisation de mot de passe, newsletter optionnelle ; (d) améliorer le Service — statistiques d'usage agrégées, sans vente de données personnelles.
5. Traitement par IA et localisation des données
Certaines étapes du pipeline de génération augmentée par recherche (RAG) sollicitent des services d'IA tiers. En utilisant le Service, vous acceptez que les opérations suivantes transmettent du texte ou de l'audio à ces fournisseurs, selon leurs propres politiques de confidentialité :
- OpenAI (USA, signataire du Data Privacy Framework UE–USA) : génération de réponses (gpt-4.1-mini), vecteurs (text-embedding-3-large), OCR d'images (gpt-4o), transcription audio (whisper-1), décomposition de requêtes (gpt-4o-mini). L'audio envoyé pour transcription quitte l'UE.
- Jina AI (Berlin, UE) : reclassement (rerank) optionnel des résultats de recherche. Données conservées dans l'UE.
- Scaleway (France) : hébergement, base de données, stockage objet, emails transactionnels. Tout en UE.
- Zoho CRM (centre de données UE) : CRM pour la newsletter et le suivi des inscriptions. Email + nom uniquement.
- Vercel : non utilisé actuellement — nous hébergeons chez Scaleway.
6. Enregistrements audio et consentement
Lorsque vous utilisez la fonctionnalité Notes audio, l'enregistrement est téléversé sur Scaleway (UE) puis envoyé à OpenAI Whisper (USA) pour transcription. La première fois que vous activez cette fonctionnalité sur un appareil, vous devez acquitter explicitement un bandeau de consentement qui rappelle votre obligation d'obtenir le consentement explicite de toute personne identifiable avant de l'enregistrer. Le Service ne peut pas vérifier que vous avez obtenu ce consentement — il s'agit de votre responsabilité de professionnel de santé.
7. Stockage et sécurité des données
Vos données sont stockées sur Scaleway Managed PostgreSQL et Scaleway Object Storage à fr-par (Paris). Les mots de passe sont hachés avec bcrypt (work factor 12). Les sessions reposent sur des cookies HTTP-only côté web et des JWT signés (HS256) côté mobile, avec des refresh tokens stockés sous forme de hashs SHA-256 en base. Nous ne disposons pas actuellement de la certification HDS (Hébergeur de Données de Santé) ; vous ne devez donc pas téléverser de dossiers patient identifiables sur le Service.
8. Partage avec des tiers
Nous ne vendons pas vos données personnelles. En dehors des fournisseurs d'IA listés en section 5 et de notre CRM marketing, nous ne partageons vos données qu'en cas d'obligation légale (décision judiciaire, demande d'autorité réglementaire) ou sur votre instruction explicite (par exemple, publier votre avatar sur /d/votre-slug rend son nom, sa bio et ses réponses publiques).
9. Cookies
Nous utilisons uniquement des cookies strictement nécessaires à l'authentification (cookie de session NextAuth) et à la préférence de langue. Pas de cookies publicitaires tiers. Les événements d'analytique sont first-party et agrégés.
10. Vos droits RGPD
Vous disposez des droits suivants :
- Accéder aux données personnelles que nous détenons sur vous.
- Rectifier les données inexactes — la plupart des champs sont modifiables depuis Paramètres.
- Effacer votre compte et toutes les données associées (« droit à l'oubli »). Via Paramètres → Supprimer le compte ou par email à info@sebdigital.io.
- Limiter le traitement ou vous y opposer.
- Portabilité des données — recevoir vos données dans un format lisible par machine sur demande.
- Déposer une plainte auprès de la CNIL (Commission nationale de l'informatique et des libertés) ou de votre autorité de contrôle locale.
11. Durée de conservation
Nous conservons vos données de compte et votre corpus tant que votre compte est actif. À la suppression de votre compte, nous supprimons les données personnelles et le corpus dans un délai de 30 jours, hors journaux que la loi nous oblige à conserver. Des statistiques agrégées et anonymisées peuvent être conservées sans limite.
12. Mineurs
Le Service est réservé aux professionnels de santé qualifiés et ne s'adresse pas aux mineurs de moins de 16 ans. Nous ne collectons pas sciemment de données auprès de mineurs.
13. Modifications
Cette politique peut évoluer avec le Service. Toute modification substantielle sera notifiée par email aux utilisateurs actifs au moins 30 jours avant son entrée en vigueur. La date de « Dernière mise à jour » en haut reflète la dernière révision.
14. Contact
Pour toute question relative à la vie privée, à un droit RGPD ou à une demande de données : info@sebdigital.io. Nous n'avons pas actuellement de Délégué à la Protection des Données désigné ; cet email atteint le responsable du traitement.