Informations légales
Politique de confidentialité
Dernière mise à jour : 7 juin 2026 — Version 3.3
Responsable du traitement
SAS Mon Assistant Kiné
Siège social : 7 Rue des Filatures, 50300 Saint-Senier-sous-Avranches
SIRET : 38936059900017
Email : monassistantkine.team@gmail.com
La plateforme agit comme Responsable de Traitement pour les données du kinésithérapeute et comme Sous-traitantpour les données patients, conformément à l'article 28 du RGPD.
Délégué à la protection des données (DPO)
- Nom : Valentin JEAN
- Email : monassistantkine@gmail.com
- Désignation CNIL : 31/07/2025
Principes fondamentaux
Mon Assistant Kiné protège les données conformément au RGPD et aux exigences du secteur sanitaire, autour de six principes clés :
- Transparence — information claire sur l'utilisation des données
- Minimisation — collecte limitée aux données nécessaires
- Sécurité — chiffrement renforcé
- Pseudonymisation — données patients pseudonymisées avant transmission à l'IA
- Contrôle — maîtrise par l'utilisateur de ses données
- Conformité HDS — hébergement certifié HDS sur Clever Cloud (France)
Données collectées
1. Données du kinésithérapeute
Identité (nom, prénom, email), données professionnelles (numéro RPPS, adresse cabinet), données de compte (mot de passe chiffré, préférences), données d'abonnement (plan choisi, historique paiement) et, pour le module Contrats, civilité, date et lieu de naissance, département de l'Ordre, numéro d'inscription à l'Ordre, numéro URSSAF et adresse de domicile.
Finalité : authentification, facturation, personnalisation, rédaction des contrats de remplacement et d'assistanat libéral. Base légale : exécution du contrat (article 6.1.b du RGPD).
2. Données patients
Le service traite les données patients en qualité de Sous-traitant selon l'article 28 du RGPD. Le kinésithérapeute demeure Responsable de Traitement. Les conditions détaillées figurent dans le Contrat de Sous-traitance (DPA).
3. Données techniques
Données de connexion (adresse IP anonymisée, horodatage), navigation (pages visitées, durée de session), appareil (type de navigateur, système d'exploitation) et performances (temps de réponse, erreurs techniques).
Finalité : sécurité, amélioration du service, support technique. Base légale : intérêts légitimes (article 6.1.f du RGPD).
4. Données du module Contrats
Le service agit en qualité de Sous-traitant pour ces données selon l'article 28 du RGPD, pour le compte du kinésithérapeute initiateur.
Carnet d'adresses kinés— prénom, nom, email, téléphone et notes concernant les confrères. Finalité : identification des destinataires de contrats. Base légale : intérêt légitime (article 6.1.f du RGPD). Le confrère est informé à l'envoi de la première invitation et peut exercer ses droits d'opposition ou de suppression auprès du kinésithérapeute initiateur ou directement auprès de Mon Assistant Kiné.
Contenu du contrat et signataire— état civil des signataires (civilité, date et lieu de naissance, département de l'Ordre, numéro d'inscription à l'Ordre, numéro URSSAF, adresses), conditions du contrat (dates, taux de rétrocession, indemnités, lieu de signature) et PDF final scellé du contrat signé. Finalité : rédaction, signature, archivage et déclaration du contrat au Conseil départemental de l'Ordre. Base légale : exécution du contrat (article 6.1.b du RGPD) et obligation légale (article 6.1.c du RGPD, article R.4321-128 du Code de la santé publique).
Preuves de signature— texte de signature et mention « Lu et approuvé », horodatage, adresse IP et user-agent de chaque signataire, empreinte cryptographique SHA-256 du PDF final, journal d'audit du contrat. Finalité : force probante de la signature électronique (règlement eIDAS, articles 1366-1367 du Code civil).
Signataire en mode invité— un kinésithérapeute peut signer sans compte Mon Assistant Kiné. Les données d'état civil sont conservées avec le contrat selon les durées légales. Le signataire invité peut exercer ses droits RGPD directement auprès de Mon Assistant Kiné avec l'identifiant du contrat.
Utilisation des données
Traitement par intelligence artificielle
Toutes les données patients transmises aux systèmes d'IA (OpenAI, Mistral AI) font l'objet d'une pseudonymisation rigoureuse préalable : suppression des noms, prénoms, adresses et identifiants directs ; seules les informations strictement nécessaires sont transmises ; aucune donnée directement identifiante ne figure dans les prompts IA ; les données ne sont pas utilisées pour l'entraînement des modèles ni stockées au-delà du traitement.
La pseudonymisation n'est pas une anonymisation au sens du RGPD : les données pseudonymisées restent des données personnelles.
Finalités du traitement
- Service principal : gestion de la pratique professionnelle des kinésithérapeutes
- Assistance professionnelle : assistant IA et rédaction de bilans
- Suivi thérapeutique : historique des séances, évaluation des progrès
- Communication : chat sécurisé kiné-patient
- Module Contrats : rédaction, signature électronique, archivage, déclaration au CDO
- Facturation : gestion des abonnements et paiements
- Amélioration : analyse statistique anonymisée (optionnelle)
- Support : assistance technique et maintenance
- Conformité : respect des obligations légales
Partage des données
Les données sont partagées uniquement avec les destinataires strictement nécessaires, selon le principe de minimisation :
| Destinataire | Données concernées | Finalité | Base légale |
|---|---|---|---|
| OpenAI | Données patients pseudonymisées | Génération IA | Contrat + DPA |
| Mistral AI | Données patients pseudonymisées | Génération IA | Contrat + DPA |
| Stripe | Données de facturation | Paiements | Contrat |
| Clever Cloud | Bases de données et serveurs applicatifs | Infrastructure HDS (France) | Contrat |
| Vercel | Frontend statique uniquement | Interface web | Contrat |
| Firebase (Google) | Données d'authentification | Connexion sécurisée | Contrat |
| Google Cloud Storage | Fichiers utilisateurs (avatars, GIFs d'exercices, PDFs de contrats signés) | Stockage privé chiffré | Contrat |
| Brevo (Sib SA, France) | Email, nom des signataires, PDF du contrat en pièce jointe | Envoi des invitations à signer et déclaration au CDO | Contrat |
| Conseils départementaux de l'Ordre des MK | Contrat signé complet (état civil, n° RPPS, n° ordinal, conditions) | Déclaration déontologique (article R.4321-128 du Code de la santé publique) | Obligation légale |
Les données ne sont jamais vendues, louées, ni partagées à des fins commerciales ou publicitaires.
Sécurité et protection
Mesures techniques
- Chiffrement HTTPS/TLS pour tous les échanges
- Authentification Firebase avec tokens JWT sécurisés
- Hébergement certifié HDS (Clever Cloud, France)
- Accès restreint selon le principe du moindre privilège
- Surveillance, logs de sécurité et détection d'intrusion
- Sauvegardes chiffrées quotidiennes
- Rate limiting contre les attaques par déni de service
Mesures organisationnelles
- Formation du personnel à la protection des données
- Accès contrôlé avec identification unique par utilisateur
- Audits et révisions régulières des procédures
- Procédure de notification d'incident sous 72h
Conservation des données
| Type de données | Durée de conservation | Fondement |
|---|---|---|
| Compte kinésithérapeute | Durée de l'abonnement + 3 ans | Obligations comptables |
| Données patients | 20 ans après la dernière consultation | Code de la santé publique (art. R.1112-7) |
| Programmes d'exercices | Durée du traitement + 20 ans | Dossier médical |
| Historique de chat | Durée du programme + 20 ans | Suivi thérapeutique |
| Données de facturation | 10 ans | Code de commerce |
| Logs techniques | 1 an | Sécurité du système |
| Cookies | 13 mois maximum | CNIL |
| Contrat signé (PDF + métadonnées) | 10 ans après la fin du contrat | Prescription civile (art. 2224 Code civil) et obligation déontologique |
| Preuves de signature (IP, user-agent, empreinte, journal d'audit) | Identique au contrat signé | Force probante (eIDAS, art. 1366-1367 Code civil) |
| Carnet d'adresses kinés | Durée du compte du kinésithérapeute initiateur | Intérêt légitime |
Le système procède automatiquement à l'archivage des programmes terminés après 30 jours d'inactivité, à la pseudonymisation progressive des données anciennes, à la suppression définitive selon les délais légaux, avec notification préalable avant suppression.
Vos droits RGPD
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (article 15) — obtenir une copie de vos données
- Droit de rectification (article 16) — corriger des données inexactes
- Droit à l'effacement (article 17) — suppression sous conditions
- Droit à la limitation (article 18) — restreindre certains traitements
- Droit à la portabilité (article 20) — récupérer vos données dans un format standard
- Droit d'opposition (article 21) — vous opposer à certains traitements
- Droit de retrait du consentement — révoquer votre accord à tout moment
Pour exercer ces droits, écrivez à monassistantkine@gmail.com avec pour objet « Demande d'exercice de droits RGPD », en indiquant votre nom, prénom et email de compte, la nature de votre demande et, si nécessaire, un justificatif d'identité. Délai de réponse : 1 mois maximum.
Vous disposez également du droit de déposer une réclamation auprès de la CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr.
Cookies et traceurs
Mon Assistant Kiné utilise des cookies strictement nécessaires au fonctionnement de la plateforme, ainsi qu'un cookie de mesure d'audience soumis à consentement explicite :
| Cookie | Finalité | Durée | Obligatoire |
|---|---|---|---|
| Auth Firebase | Authentification utilisateur | Session | Oui |
| Stripe Session | Paiement sécurisé | 24h | Oui (paiement) |
| Theme | Préférence visuelle | 1 an | Non |
| cookie_consent | Mémorise le choix sur les cookies de mesure d'audience | 6 mois | Non |
| _ga, _ga_* | Mesure d'audience (Google Analytics 4) — déposés uniquement après consentement | 13 mois | Non — soumis à consentement |
Mesure d'audience — Google Analytics 4 :sous-traitant Google Ireland Limited. Données collectées : identifiant client GA, pages vues, durée de session, événement d'inscription, adresse IP anonymisée. Base légale : consentement (article 6.1.a du RGPD). Durée de conservation : 13 mois. Les données sont susceptibles d'être transférées aux États-Unis dans le cadre du Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023). Mesures de protection : anonymisation de l'IP, désactivation du partage avec Google Ads, absence de profilage publicitaire. Le consentement peut être retiré à tout moment via le lien « Gérer mes cookies » en bas de page.
Mon Assistant Kiné n'utilise pas de cookies publicitaires, de traceurs de réseaux sociaux, ni de cookies de profilage commercial, et ne partage pas les données GA4 avec Google Ads ou des annonceurs tiers.
Transferts internationaux
Les données sont hébergées en France : bases de données et serveurs applicatifs sur Clever Cloud (certifié HDS), fichiers utilisateurs sur Google Cloud Storage (région europe-west9, Paris). Le traitement IA est réalisé par Mistral AI, hébergé dans l'Union européenne. OpenAI (États-Unis) est utilisé uniquement pour le traitement IA, avec des données pseudonymisées.
Garanties pour les transferts vers les États-Unis : pseudonymisation systématique, Clauses Contractuelles Types (CCT), cadre d'adéquation EU-US Data Privacy Framework (10 juillet 2023), minimisation des données transmises, et rétention des données désactivée sur le compte API OpenAI (zero data retention). Le détail des sous-traitants ultérieurs et des garanties associées est disponible dans le Contrat de Sous-traitance (DPA).
Mineurs
Le service est destiné exclusivement aux professionnels de santé diplômés. Pour les patients mineurs, le consentement des parents ou tuteurs légaux est requis, dans le respect de l'article 8 du RGPD pour les mineurs de moins de 16 ans, avec une protection renforcée des données sensibles et un accès limité aux fonctionnalités de chat.
Évolutions de la politique
Cette politique peut être mise à jour pour refléter les évolutions réglementaires, améliorer la transparence ou intégrer de nouvelles fonctionnalités. Toute modification substantielle sera notifiée par email.
Contact et support
DPO : monassistantkine@gmail.com
Support : monassistantkine.team@gmail.com
Adresse : 7 Rue des Filatures, 50300 Saint-Senier-sous-Avranches
Engagement de réponse : demandes RGPD — 72h pour l'accusé de réception, 1 mois pour la réponse complète. Support général : 48h ouvrées.