Scribiaa
Se connecterCréer un compte
← Retour à l'accueil

Politique de confidentialité

Dernière mise à jour : 19 juin 2026

La présente politique décrit comment Scribiaa (« nous ») collecte, utilise et protège les données personnelles des médecins utilisateurs (« vous ») et de leurs patients dans le cadre de l'utilisation du service.

1. Responsable de traitement

Le responsable de traitement est l'éditeur de Scribiaa, dont les coordonnées figurent dans les mentions légales. Pour toute question relative aux données personnelles, vous pouvez contacter le délégué à la protection des données (DPO) à l'adresse : dpo@scribiaa.com.

2. Données collectées

Données du praticien

  • Identité : nom, prénom, email, numéro RPPS, spécialité, téléphone
  • Données techniques : adresse IP, journal de connexion, type d'appareil
  • Données d'utilisation : nombre de consultations, documents générés

Données patients

Dans le cadre de votre utilisation de Scribiaa, vous saisissez ou enregistrez des données concernant vos patients (identité, motif de consultation, antécédents, examen, diagnostic, prescriptions, enregistrement audio de la consultation). Ces données sont des données de santé à caractère personnel au sens de l'article 9 du RGPD.

3. Finalités et bases légales

  • Exécution du contrat (art. 6.1.b RGPD) : fournir le service de transcription et de structuration de notes médicales.
  • Mission d'intérêt public dans le domaine de la santé (art. 9.2.h RGPD) : traitement des données de santé pour permettre au praticien d'exercer son activité de soin.
  • Obligations légales et comptables : conservation des factures pendant 10 ans (art. 6.1.c RGPD).
  • Intérêt légitime (art. 6.1.f RGPD) : amélioration et sécurisation du service, prévention des abus.

4. Statut juridique du traitement

Pour les données patients, vous (le praticien) êtes responsable de traitement et Scribiaa agit en qualité de sous-traitant au sens de l'article 28 du RGPD. Un contrat de sous-traitance régit cette relation et est accessible sur demande.

5. Destinataires

Les données sont transmises uniquement aux sous-traitants techniques suivants :

  • Supabase Inc. (hébergement bêta, UE — Francfort) — base de données et stockage audio
  • Vercel Inc. (UE — Paris) — exécution du site et des API
  • OpenAI Ireland — transcription audio via Whisper
  • Anthropic PBC — structuration des notes médicales via Claude
  • Stripe Payments Europe — traitement des paiements (le cas échéant)

Tous ces sous-traitants sont liés par un accord de traitement de données (DPA) compatible RGPD. Aucune donnée n'est revendue ni utilisée à des fins commerciales tierces.

6. Hébergement — version bêta

⚠️ Version bêta : Scribiaa est actuellement en phase de test avec un hébergement Supabase (UE) qui n'est pas certifié HDS (Hébergeur de Données de Santé). Cette version bêta est réservée à des tests sans données réelles de patients identifiables. Pour la version commerciale, une migration vers une infrastructure HDS certifiée est planifiée avant ouverture publique.

7. Durée de conservation

  • Données du praticien : pendant la durée du compte + 1 an après suppression
  • Données patients : sous la responsabilité du praticien, qui peut les exporter ou supprimer à tout moment
  • Audio des consultations : supprimé automatiquement 30 jours après la consultation
  • Logs techniques : 12 mois maximum
  • Factures : 10 ans (obligation comptable)

8. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès, de rectification, d'effacement
  • Droit à la portabilité de vos données
  • Droit d'opposition, droit à la limitation du traitement
  • Droit de retirer votre consentement à tout moment
  • Droit d'introduire une réclamation auprès de la CNIL (cnil.fr)

Pour exercer ces droits, contactez-nous à dpo@scribiaa.com ou utilisez directement les fonctions d'export et de suppression dans la page Paramètres de votre compte.

9. Sécurité

  • Chiffrement TLS de tous les échanges
  • Chiffrement au repos des données sensibles (NIR, audio)
  • Cloisonnement strict des données par cabinet (Row Level Security)
  • Authentification forte recommandée (MFA disponible)
  • Audit log de toutes les actions sensibles
  • Sessions courtes, déconnexion automatique en cas d'inactivité

10. Cookies

Scribiaa n'utilise que des cookies strictement nécessaires au fonctionnement (authentification, session). Aucun cookie analytique ou publicitaire n'est déposé. La bannière de consentement s'affiche à la première visite.

11. Modifications

Cette politique peut être mise à jour. La date de dernière mise à jour figure en haut du document. En cas de changement substantiel, vous serez informé par email.