Politique de confidentialité

Date d’entrée en vigueur : 25 mars 2026.

Introduction à notre politique de confidentialité

Bienvenue sur AI DiagMe ! Smart Medical Care SAS (« nous », « notre », « nos ») s’engage à protéger la vie privée et la sécurité des données personnelles de ses utilisateurs (« vous », « votre »). AI DiagMe est une marque commerciale de Smart Medical Care SAS. Cette Politique de Confidentialité explique comment nous collectons, utilisons, partageons, conservons et protégeons vos données personnelles lorsque vous utilisez notre site web aidiagme.fr (le « Site ») et nos services de vulgarisation et d’explication de résultats d’analyses de laboratoire via l’intelligence artificielle (les « Services »). Elle vous informe également de vos droits en matière de protection des données et des recours possibles. Nous vous encourageons à lire attentivement cette politique. En utilisant nos Services, vous reconnaissez avoir pris connaissance de cette politique. Le traitement de vos données de santé repose sur votre consentement explicite recueilli séparément.

2. Responsable du traitement

Le responsable du traitement de vos données personnelles est :

  • Smart Medical Care SAS
  • Société par actions simplifiée (SAS) de droit français
  • Siège social : 37 Avenue Maréchal Foch, 06000 Nice, France
  • RCS Nice : 932 924 194
  • Email de contact : contact@aidiagme.com

3. Votre contact vie privée

Pour toute question relative à cette politique, à vos données personnelles ou pour exercer vos droits, vous pouvez contacter notre référent vie privée :

  • Nom : Julien P.
  • Email : contact@aidiagme.com

4. Les données personnelles que nous collectons

Nous collectons différentes catégories de données personnelles pour vous fournir et améliorer nos Services :

  • Données d’Identification et de Contact : Nom, prénom, adresse email. Nous utilisons votre nom et prénom pour faciliter le processus de pseudonymisation (désidentification) de votre rapport d’analyse avant son traitement par l’IA. Nous utilisons votre adresse email pour vous envoyer le rapport IA généré.
  • Données de Santé et de Contexte (Catégories Particulières de
  • Données) :
    • Le fichier de votre rapport d’analyses de laboratoire (sang, urine, selles) que vous chargez (au format PDF).
    • Les informations de contexte que vous nous fournissez via notre formulaire en ligne pour nous aider à générer une explication plus pertinente : âge, sexe, taille, poids, antécédents médicaux personnels et familiaux, allergies, mode de vie, etc.
  • Données de Transaction : Informations relatives à votre achat du Service, traitées directement par notre prestataire de paiement Stripe (nous ne stockons pas vos informations de carte bancaire complètes). L’historique de vos transactions avec nous.
  • Données d’Utilisation Technique et d’Interaction : Informations sur la manière dont vous interagissez avec notre Site et nos Services, collectées via des outils d’analyse comme Google Analytics (sous réserve de votre consentement via notre bannière cookies). Cela peut inclure votre adresse IP (anonymisée lorsque possible), type de navigateur, pages visitées, temps passé, clics, parcours utilisateur.
  • Données issues des Cookies et Technologies Similaires : Informations collectées via les cookies lorsque vous naviguez sur notre Site, conformément à notre Politique des Cookies et à vos choix de consentement. Cela inclut des données pour l’analyse d’audience et potentiellement pour l’analyse de performance de campagnes publicitaires (Google Ads).
  • Données de Communication : Toute information que vous nous fournissez lorsque vous contactez notre support client ou nous donnez votre avis.

5. Comment nous utilisons vos données personnelles (finalités et bases légales)

Nous traitons vos données personnelles pour des finalités spécifiques et uniquement lorsque nous disposons d’une base légale appropriée conformément au RGPD (UK et EU). Voici comment nous utilisons vos données et sur quelles bases légales nous nous appuyons :

Traitement de votre rapport et génération de l’analyse IA

  • Pour Fournir le Service AI DiagMe : Nous utilisons vos Données d’Identification, vos Données de Santé et de Contexte, ainsi que le Rapport PDF que vous chargez, afin d’analyser votre rapport et de générer l’explication IA demandée. La base légale principale pour ce traitement est votre Consentement Explicite (conformément à l’Art. 6(1)(a) et Art. 9(2)(a) du RGPD), que nous recueillons via une case à cocher obligatoire avant que le traitement de votre rapport ne commence.
  • Pour Faciliter la Pseudonymisation du Rapport PDF : Nous utilisons votre Nom, Prénom et le Rapport PDF pour permettre la suppression de vos identifiants directs du document avant l’analyse IA. Ce processus constitue une pseudonymisation au sens de l’article 4(5) du RGPD : vos données de santé ne peuvent plus être directement rattachées à votre identité sans informations supplémentaires (votre adresse email), conservées séparément. Ce traitement est nécessaire à l’exécution du contrat (Art. 6(1)(b) du RGPD) et s’inscrit dans le cadre du traitement global basé sur votre consentement explicite (Art. 9(2)(a) du RGPD).
  • Pour Envoyer le Rapport IA Généré : Nous utilisons votre Adresse Email et le Rapport généré pour vous délivrer le résultat de notre Service. La base légale est la nécessité pour l’exécution du contrat (Art. 6(1)(b) du RGPD).

Gestion de votre compte et amélioration de nos services

  • Pour Gérer Votre Compte Utilisateur (si applicable) et la Relation Client : Nous utilisons vos Données d’Identification, de Contact et de Transaction pour gérer votre compte et notre relation commerciale. La base légale est la nécessité pour l’exécution du contrat (Art. 6(1)(b) du RGPD).
  • Pour Traiter les Paiements : Nous utilisons vos Données d’Identification, de Contact et de Transaction pour permettre le traitement sécurisé de votre paiement via notre prestataire Stripe. La base légale est la nécessité pour l’exécution du contrat (Art. 6(1)(b) du RGPD).
  • Pour Analyser l’Utilisation du Site et des Services afin de les Améliorer et de les Sécuriser : Nous utilisons les Données d’Utilisation et les données issues des Cookies (Analytics comme Google Analytics). La base légale pour l’utilisation des cookies non essentiels est votre Consentement (Art. 6(1)(a) du RGPD), recueilli via la bannière cookies.Pour les aspects liés à la sécurité du service, la base légale est notre Intérêt Légitime (Art. 6(1)(f) du RGPD).
  • Pour Améliorer nos Modèles d’IA (Potentiel, avec données pseudonymisées puis agrégées) : Nous pourrons utiliser les Données de Santé préalablement pseudonymisées (issues de vos rapports après suppression de vos identifiants directs) pour améliorer la qualité et la pertinence de nos services. Avant toute utilisation à des fins d’amélioration, ces données font l’objet d’un processus d’agrégation visant à les rendre véritablement anonymes (au sens du RGPD). La base légale pour le traitement de données pseudonymisées en amont de l’agrégation est notre Intérêt Légitime (Art. 6(1)(f) du RGPD), sous réserve de votre droit d’opposition (opt-out).

Communications, support et obligations légales

  • Pour Analyser l’Efficacité des Campagnes Marketing : Nous utilisons les données issues des Cookies (Publicitaires/Marketing comme ceux de Google Ads). La base légale est votre Consentement (Art. 6(1)(a) du RGPD), recueilli via la bannière cookies.
  • Pour Répondre à Vos Demandes : Nous utilisons vos Données d’Identification, de Contact et de Communication lorsque vous contactez le support client ou nous posez des questions. La base légale est la nécessité pour l’exécution du contrat (Art. 6(1)(b) du RGPD) ou notre Intérêt Légitime (Art. 6(1)(f) du RGPD) à répondre à vos sollicitations.
  • Pour Envoyer des Communications Marketing (Newsletters, offres – si mis en place) : Si nous mettons en place ce type de communication, nous utiliserons votre Adresse Email uniquement sur la base de votre Consentement spécifique (opt-in) (Art. 6(1)(a) du RGPD). Ce consentement sera demandé séparément et ne sera jamais présumé par votre utilisation du Service principal.
  • Pour Respecter nos Obligations Légales et Réglementaires : Nous pouvons traiter toutes données personnelles pertinentes si cela est nécessaire pour nous conformer à une obligation légale (Art. 6(1)(c) du RGPD).

Pseudonymisation et Amélioration de l’IA

Notre outil interne supprime vos identifiants directs (nom et prénom) de votre rapport PDF avant toute analyse par l’IA. Ce processus constitue une pseudonymisation : vos données de santé ne sont plus directement identifiantes, mais restent des données personnelles au sens du RGPD tant qu’elles peuvent être reliées à vous via votre adresse email.

Nous pourrons utiliser ces données, après un processus d’agrégation les rendant véritablement anonymes, pour entraîner et améliorer nos modèles d’IA afin de rendre nos explications plus précises et utiles. Ce traitement est fondé sur notre intérêt légitime.

Vous avez le droit de vous opposer (« opt-out ») à cette utilisation de vos données pour l’amélioration de nos modèles en nous envoyant un email à contact@aidiagme.com, comme mentionné dans nos Conditions d’Utilisation.

6. Partage de vos données personnelles

Nous ne vendons pas vos données personnelles mais nous pouvons être amener à partager vos données personnelles avec des tiers uniquement dans les cas suivants et avec des garanties appropriées :

  • Prestataires de Services (Sous-traitants) :
    • Hébergement : Microsoft Azure (Microsoft Ireland Operations Limited) pour l’hébergement sécurisé (HDS en France) de nos systèmes et de vos données.
    • Traitement des Paiements : Stripe, Inc. pour traiter vos paiements de manière sécurisée. Stripe peut collecter vos données de paiement directement.
    • Envoi d’emails transactionnels : Nous utilisons un prestataire de services externe (tel que SendGrid, Mailgun ou un service équivalent) pour assurer l’envoi de nos communications essentielles, et notamment pour vous livrer votre rapport IA généré par email. Ce prestataire agit en tant que sous-traitant et traite temporairement votre adresse email ainsi que le contenu de votre rapport (qui est une donnée de santé) à des fins strictes de routage et de livraison technique.
    • Analyse d’audience et d’interaction : Google (pour Google Analytics, Google Ads), sous réserve de votre consentement aux cookies.
    • Envoi d’emails transactionnels : Nous utilisons SendGrid (Twilio Inc.) pour assurer l’envoi de nos communications essentielles, et notamment pour vous livrer votre rapport IA généré par email. Ce prestataire agit en tant que sous-traitant et traite temporairement votre adresse email ainsi que le contenu de votre rapport (à des fins strictes de routage et de livraison technique).
    • Fournisseurs d’Infrastructure IA : Nous utilisons des services de routage spécialisés, tels qu’OpenRouter, pour faire l’interface de manière sécurisée avec les modèles d’IA tiers. Il est important de noter que seules des données rigoureusement pseudonymisées (expurgées de vos identifiants directs) sont envoyées à ces prestataires afin de générer votre rapport.
  • Obligations Légales : Si la loi l’exige, nous pouvons divulguer vos données aux autorités compétentes (tribunaux, régulateurs, forces de l’ordre).
  • Transfert d’Activité : En cas de fusion, acquisition ou vente de tout ou partie de nos actifs, vos données pourraient être transférées à l’entité acquéreuse, sous réserve qu’elle respecte des engagements de confidentialité similaires.

Nous exigeons de tous nos sous-traitants qu’ils respectent la sécurité de vos données personnelles et les traitent conformément à la loi. Ils ne sont autorisés à traiter vos données que pour les finalités spécifiées et selon nos instructions.

7. Transferts internationaux de données

Certains de nos prestataires de services (Stripe, Google, Microsoft, etc) sont basés ou opèrent en dehors de l’Espace Économique Européen (EEE), principalement aux États-Unis.

Lorsque nous transférons des données personnelles en dehors du UK/EEE, nous nous assurons qu’un niveau de protection adéquat est garanti par l’une des mesures suivantes :

  • Le pays destinataire bénéficie d’une décision d’adéquation de la part de la Commission Européenne ou du gouvernement britannique (par exemple, le Cadre de Protection des Données UE-USA pour les entreprises certifiées comme Stripe, Google, Microsoft).
  • Nous mettons en place des garanties appropriées, telles que les Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne, accompagnées d’évaluations d’impact sur les transferts si nécessaire.

Veuillez noter que les données envoyées aux fournisseurs d’IA tiers sont préalablement pseudonymisées par nos soins (suppression de vos identifiants directs) avant le transfert.

8. Sécurité des données

Nous avons mis en place des mesures de sécurité techniques et organisationnelles appropriées pour prévenir la perte accidentelle, l’utilisation ou l’accès non autorisé, la modification ou la divulgation de vos données personnelles. Celles-ci incluent :

  • Hébergement sur des serveurs certifiés HDS (Microsoft Azure en France).
  • Pseudonymisation des rapports (suppression de vos identifiants directs) avant traitement par l’IA.
  • Chiffrement des données en transit et au repos lorsque cela est approprié.
  • Contrôles d’accès stricts pour limiter l’accès aux données personnelles aux seules personnes ayant besoin d’y accéder pour leurs missions.
  • Procédures en cas de violation de données présumée.

9. Durée de conservation des données

Nous conservons vos données personnelles uniquement pendant la durée nécessaire pour atteindre les finalités pour lesquelles nous les avons collectées, y compris pour satisfaire aux exigences légales, comptables ou de reporting. 

Note importante concernant les comptes utilisateurs : Actuellement, notre service fonctionne sans création de compte formel. Vos données d’historique (informations et rapports IA) sont simplement associées à votre adresse email et conservées pour une durée maximale de 3 ans après votre dernière utilisation, dans l’attente du déploiement de notre portail patient sécurisé.

Dès le lancement officiel de ce portail, les dispositions suivantes entreront pleinement en vigueur et la durée de conservation de vos données personnelles principales dépendra du statut de votre compte :

  • Données de Compte (si le compte est ACTIF) : Vos données de compte, de contact, de contexte ainsi que vos rapports IA générés sont conservés tant que votre compte est actif pour vous permettre d’utiliser nos services et d’accéder à votre historique via le portail patient.
  • Données de Compte (si le compte est DÉSACTIVÉ) : Après désactivation de votre compte, nous conservons vos données (compte, contact, contexte, rapports IA) pour une durée maximale de 3 ans. Cette durée vous permet de réactiver votre compte. À l’issue de ce délai, et en l’absence de réactivation, ces données seront définitivement supprimées.
  • Rapport d’Analyse PDF Original : Conformément au principe de minimisation, nous conservons votre analyse de laboratoire pour une durée maximale de 90 jours pour résoudre d’éventuels problèmes de livraisonnous et fournir du support client. Il est ensuite supprimé de manière sécurisée.
  • Données de Transaction : Conservées pendant la durée requise par les obligations légales et comptables. Cela inclut une conservation de 6 ans pour des raisons fiscales au Royaume-Uni, ainsi qu’une durée de 10 ans pour les factures et pièces comptables à compter de leur date d’émission, conformément aux obligations du Code de commerce français (Art. L123-22).
  • Données Agrégées et Anonymisées pour l’Amélioration de l’IA : Les données qui ont été préalablement pseudonymisées puis rendues véritablement anonymes par un processus d’agrégation irréversible (ne permettant plus de vous ré-identifier, même par recoupement) ne sont plus considérées comme des données personnelles au sens du RGPD et peuvent être conservées plus longtemps, voire indéfiniment, à des fins de recherche et d’amélioration de nos modèles.

La demande de suppression définitive de votre compte entraîne l’effacement de toutes les données listées ci-dessus, à l’exception de celles pour lesquelles nous avons une obligation légale de conservation (comme les données de transaction) ou celles qui ont déjà été rendues irréversiblement anonymes.

10. Vos droits en matière de protection des données

Selon le RGPD (UK et EU), vous disposez des droits suivants concernant vos données personnelles :

  • Droit d’accès : Demander une copie des données que nous détenons sur vous.
  • Droit de rectification : Demander la correction des données inexactes ou incomplètes.
  • Droit à la limitation du traitement : Demander de restreindre le traitement de vos données, sous certaines conditions.
  • Droit d’opposition : Vous opposer au traitement de vos données basé sur notre intérêt légitime (y compris l’utilisation de vos données pseudonymisées pour l’amélioration de l’IA via l’opt-out). Vous opposer au marketing direct.
  • Droit à la portabilité des données : Demander à recevoir les données que vous nous avez fournies dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement, sous certaines conditions.
  • Droit de retirer votre consentement : Si le traitement est basé sur votre consentement (notamment pour les données de santé et le marketing), vous pouvez le retirer à tout moment, sans affecter la licéité du traitement antérieur.
  • Droit à l’effacement (Droit à l’oubli) et Gestion de votre compte

Vous avez le droit de demander la suppression de vos données. Avec le lancement de notre portail patient, nous vous offrons deux options distinctes pour gérer votre compte et vos données directement depuis votre interface personnelle :

  1. Désactiver votre compte : Cette option vous permet de faire une pause. Votre compte et vos données personnelles (profil, rapports IA générés, etc.) ne seront plus activement accessibles, mais ils seront conservés de manière sécurisée pendant une durée de 3 ans. Cela vous permet de réactiver votre compte et de retrouver votre historique à tout moment durant cette période. Si vous ne réactivez pas votre compte dans les 3 ans, celui-ci et toutes les données personnelles associées seront supprimés de manière définitive, à l’exception des données soumises à une obligation légale de conservation.
  2. Supprimer votre compte définitivement : Cette option correspond à l’exercice de votre droit à l’effacement. Elle entraîne la suppression irréversible et sans délai de votre compte et de toutes vos données personnelles (profil, documents chargés, rapports IA générés), sous réserve de nos obligations légales de conservation (notamment pour les données de transaction ). Une fois cette action effectuée, il ne sera plus possible de récupérer vos données.

Comment exercer vos droits : Dans l’attente du lancement officiel du portail patient, vous pouvez exercer votre droit à l’effacement et demander la suppression définitive de vos données (liées à votre email) à tout moment en nous contactant directement à contact@aidiagme.com. Dès que le portail sera disponible, les options de désactivation et de suppression définitive y seront directement accessibles depuis vos paramètres en ligne..

11. Enfants / mineurs

Nos Services ne sont pas destinés aux personnes âgées de moins de 18 ans. Nous mettons en place une vérification de l’âge (confirmation d’avoir au moins 18 ans) avant le paiement. Nous ne collectons pas sciemment de données personnelles auprès de personnes de moins de 18 ans.

12. Cookies

Nous utilisons des cookies et technologies similaires sur notre Site. Pour plus d’informations sur les cookies que nous utilisons, les finalités et comment gérer vos préférences, veuillez consulter notre Politique des Cookies.

13. Modifications de cette politique de confidentialité

Nous pouvons mettre à jour cette politique de temps à autre. La date de dernière mise à jour sera indiquée en haut de cette page. Nous vous encourageons à consulter cette page régulièrement pour rester informé de la manière dont nous protégeons vos données.

14. Droit d’introduire une réclamation

Si vous avez des préoccupations concernant la manière dont nous traitons vos données personnelles, nous vous encourageons à contacter d’abord notre référent vie privée à l’adresse contact@aidiagme.com.

Vous avez également le droit d’introduire une réclamation auprès de l’autorité de contrôle compétente :

  • En France, l’autorité compétente est la Commission Nationale de l’Informatique et des Libertés (CNIL) — www.cnil.fr.
  • Si vous résidez dans un autre État membre de l’Union Européenne, vous pouvez introduire une réclamation auprès de l’autorité de protection des données de votre pays de résidence.