RGPD
Politique de confidentialité
Dernière mise à jour : 2 juillet 2026
My PAP Journey traite des données de santé, considérées comme sensibles au sens de l'article 9 du RGPD. Nous appliquons les mesures techniques et organisationnelles renforcées pour garantir leur confidentialité, leur intégrité et leur sécurité.
Cette politique décrit, en toute transparence, quelles données nous collectons, pourquoi, sur quelle base légale, combien de temps elles sont conservées et comment exercer vos droits.
1. Responsable du traitement
Le responsable du traitement des données personnelles collectées via My PAP Journey est [Nom de l'éditeur], dont le siège social est situé [adresse complète].
Délégué à la protection des données (DPO) : contact@mypapjourney.app
2. Données collectées
Nous collectons uniquement les données strictement nécessaires au service :
- Données d'identification : adresse e-mail, prénom (facultatif), mot de passe (chiffré et jamais stocké en clair).
- Données médicales liées à la machine CPAP : marque et modèle de l'appareil, mode et valeurs de pression, type de masque, date d'appareillage.
- Données de suivi (journal) : heures d'utilisation quotidiennes, ressenti, fuites, sécheresse, qualité du sommeil, notes personnelles.
- Données issues de l'OCR : données extraites des captures MyAir / OSCAR / ordonnances que vous téléversez volontairement (IAH, fuites, durée d'utilisation).
- Interactions avec le coach IA : messages que vous envoyez et réponses générées dans la rubrique Discussion.
- Données techniques : adresse IP, type de navigateur, date et heure de connexion (logs de sécurité).
Nous ne collectons jamais : numéro de sécurité sociale, données bancaires en clair, données de géolocalisation précises, contacts de votre téléphone.
3. Finalités du traitement
Vos données sont traitées exclusivement pour les finalités suivantes :
- Vous fournir un parcours d'accompagnement personnalisé à votre CPAP.
- Générer des conseils adaptés à votre machine et à votre ressenti via l'IA.
- Suivre votre progression et votre observance dans votre journal personnel.
- Sécuriser votre compte et prévenir les usages frauduleux.
- Améliorer le service à partir de données agrégées et anonymisées (statistiques d'usage uniquement).
- Vous envoyer des e-mails techniques liés à votre compte (jamais de marketing sans consentement).
4. Base légale (article 6 et 9 du RGPD)
- Exécution du contrat (art. 6.1.b) : création et fonctionnement de votre compte, accès aux fonctionnalités d'accompagnement.
- Consentement explicite (art. 9.2.a) : traitement de vos données de santé (réglages CPAP, journal de suivi, données OCR), recueilli lors de l'inscription et révocable à tout moment.
- Intérêt légitime (art. 6.1.f) : sécurité de la plateforme, prévention des fraudes, journaux techniques.
- Obligation légale (art. 6.1.c) : conservation de certaines traces techniques imposée par la loi.
5. Durée de conservation
- Données du compte : conservées tant que votre compte est actif.
- Données de santé (machine, journal, OCR) : conservées tant que votre compte est actif, puis supprimées dans un délai maximal de 12 mois après la fermeture du compte.
- Échanges avec le coach IA : 12 mois glissants, supprimés automatiquement au-delà.
- Logs techniques et de sécurité : 12 mois (obligation légale).
- Données comptables (si abonnement) : 10 ans (Code de commerce).
6. Vos droits
Conformément au RGPD, vous disposez à tout moment des droits suivants :
- Droit d'accès (art. 15) : obtenir une copie de toutes vos données.
- Droit de rectification (art. 16) : corriger des données inexactes.
- Droit à l'effacement / « droit à l'oubli » (art. 17) : demander la suppression complète de votre compte et de vos données.
- Droit à la limitation (art. 18) : suspendre temporairement le traitement.
- Droit à la portabilité (art. 20) : récupérer vos données dans un format structuré (JSON, CSV).
- Droit d'opposition (art. 21) : vous opposer à un traitement fondé sur l'intérêt légitime.
- Droit de retirer votre consentement à tout moment, sans affecter la licéité des traitements antérieurs.
- Droit de définir des directives post-mortem sur le sort de vos données après votre décès (loi Informatique et Libertés).
Exercer vos droits en quelques clics
Connectez-vous puis soumettez votre demande depuis votre espace patient. Vous pourrez suivre son statut en temps réel.
Accéder au formulaire RGPD →Vous pouvez également écrire à contact@mypapjourney.app. Nous vous répondrons dans un délai maximal d'un mois. Une pièce d'identité pourra vous être demandée en cas de doute raisonnable sur votre identité.
Vous pouvez également déposer une réclamation auprès de la CNIL : www.cnil.fr/fr/plaintes.
7. Destinataires et sous-traitants
Vos données ne sont jamais vendues ni cédées à des tiers à des fins commerciales. Elles peuvent être traitées par les sous-traitants suivants, tous engagés contractuellement au respect du RGPD :
- Hébergement et base de données : Supabase (UE), Cloudflare (UE).
- Modèles d'IA : Google (Gemini) et OpenAI (GPT), via une passerelle sécurisée. Les conversations sont transmises sans données identifiantes directes lorsque c'est techniquement possible.
- Envoi d'e-mails transactionnels : Resend / Supabase Auth.
8. Transferts hors Union européenne
Certains sous-traitants (notamment les fournisseurs de modèles d'IA) peuvent être situés hors UE. Ces transferts sont encadrés par les clauses contractuelles types de la Commission européenne et, le cas échéant, par des mesures supplémentaires (chiffrement, pseudonymisation).
9. Sécurité
Nous mettons en œuvre des mesures de sécurité conformes à l'état de l'art :
- Chiffrement TLS 1.3 pour toutes les communications.
- Chiffrement au repos des bases de données.
- Politiques de sécurité au niveau ligne (Row Level Security) garantissant qu'un utilisateur ne peut accéder qu'à ses propres données.
- Mots de passe hachés (bcrypt / argon2).
- Journalisation des accès et détection des comportements anormaux.
- Revue régulière du code et des dépendances.
10. Cookies
My PAP Journey utilise uniquement des cookies strictement nécessaires au fonctionnement du service (session d'authentification). Aucun cookie publicitaire, aucun traceur tiers à des fins marketing.
11. Mineurs
My PAP Journey n'est pas destiné aux personnes de moins de 16 ans. Si vous êtes un parent ou tuteur et constatez que votre enfant a créé un compte sans votre consentement, contactez-nous afin que nous procédions à sa suppression.
12. Modifications et contact
Cette politique peut être mise à jour pour refléter des évolutions légales, techniques ou fonctionnelles. Toute modification substantielle vous sera notifiée par e-mail ou dans l'application.
Pour toute question : contact@mypapjourney.app