← Retour à l'accueil

Politique de confidentialité

Dernière mise à jour : — version projet, en attente de validation DPO

La présente politique de confidentialité décrit comment [À PUBLIER : dénomination sociale](ci-après « Ambugo », « nous », « notre ») collecte, utilise et protège vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi n° 78-17 Informatique et Libertés modifiée.

Ambugo est une plateforme de transport médical traitant des données de santé au sens de l'article 9 RGPD(prescriptions de transport, flags médicaux, numéro NIR/sécurité sociale chiffré). Ces données font l'objet de mesures de protection renforcées décrites ci-après.


1. Responsable du traitement

Dénomination : [À PUBLIER : raison sociale — ex. Ambugo SAS]

Siège social : [À PUBLIER : adresse complète], France

SIREN : [À PUBLIER : 9 chiffres]

Contact général : contact@ambugo.fr


2. Délégué à la Protection des Données (DPO)

Compte tenu du traitement à grande échelle de données de santé (Art. 9 RGPD), Ambugo désigne un Délégué à la Protection des Données conformément à l'article 37 RGPD.

Identité : [À DÉSIGNER : nom et prénom du DPO — désignation obligatoire avant traitement de données de santé réelles en production]

Email DPO : dpo@ambugo.fr

Enregistrement CNIL : [À PUBLIER : référence de déclaration du DPO auprès de la CNIL — Art. 37(7) RGPD]


3. Catégories de données collectées

Dans le cadre de la fourniture du service de transport médical, Ambugo collecte les catégories de données suivantes selon le rôle de l'utilisateur :

Données d'identification et de contact (tous rôles)

  • Nom, prénom, civilité
  • Adresse email et numéro de téléphone
  • Adresse postale (domicile, lieu de soins)
  • Date de naissance (patients)
  • Hash du mot de passe (stocké via Supabase GoTrue bcrypt — jamais en clair)
  • Indicateur de consentement SMS (sms_consent) et horodatage d'acceptation des CGV (gdpr_consent_at)

Données de santé — Article 9 RGPD (patients)

Ces données font l'objet d'un traitement particulièrement sensible et d'une protection renforcée (chiffrement AES-256-GCM, RLS PostgreSQL, accès service_role uniquement pour les mutations).
  • Numéro de sécurité sociale — NIR (15 chiffres, stocké exclusivement sous forme chiffrée AES-256-GCM avec versionnement de clé ; jamais exposé côté client ni journalisé)
  • Matricule INS, OID et date de vérification (optionnel)
  • Prescriptions médicales de transport : contenu, codes AM/volet, dates de validité, statut, hash de scellement HMAC-SHA256, PDF des volets
  • Profil de couverture Assurance Maladie : taux de remboursement, motif (ALD, accident de travail, grossesse, CSS/AME…), exonération franchise, numéro ALD, dates de validité
  • Flags de transport médicaux : AM (ambulance), AISD (aide individuelle soins difficiles), OE (oxygénothérapie), TSM (transport soins médicaux), TPC (transport en position couchée), TPE (transport en position assise équipée), TP (tiers payant) — indicateurs des besoins médicaux du patient
  • Historique des courses et trajets effectués

Données relatives aux transports (tous rôles)

  • Adresses de prise en charge et de destination (latitude/longitude)
  • Horodatages de prise en charge et de retour
  • Statut et source de réservation
  • Notes de transport

Données conducteurs et véhicules (sociétés de transport)

  • Numéro de permis de conduire et date d'expiration
  • Numéro de carte d'identité professionnelle et date d'expiration
  • Scans de documents (URL Supabase Storage, accès restreint)
  • Position GPS en temps réel (current_latitude, current_longitude) — uniquement si le feature flag REALTIME_TRACKING est activé (désactivé par défaut) ; DPIA sous-section requise avant activation

Données de facturation (sociétés de transport)

  • Informations de paiement traitées via Stripe — Ambugo ne stocke pas les numéros de carte bancaire
  • Identifiants Stripe (stripe_customer_id, stripe_subscription_id)
  • SIRET de la société de transport, coordonnées de facturation

Données vocales — Agent IA Nathalie (patients et aidants)

  • Numéro de téléphone appelant
  • Transcription de l'appel (données de santé Art. 9 potentielles selon le motif évoqué oralement)
  • Actions effectuées par l'agent (réservation, modification, annulation)
  • En Phase B (cloud Mistral — non encore déployée en production) : flux audio brut de l'appelant traité par Mistral AI (Voxtral STT/TTS) — voir § 5 sous-traitants

Données techniques

  • Adresse IP, type de navigateur, système d'exploitation
  • Logs de connexion et d'utilisation (12 mois)
  • Cookies fonctionnels (session d'authentification, préférences)
  • Tokens Web Push (endpoint, clé P-256 DH, secret d'authentification — données cryptographiques du navigateur)
  • Logs d'audit admin (actions admin/superadmin sur entités sensibles)

4. Finalités et base légale du traitement

FinalitéBase légale RGPDDonnées de santé Art. 9
Création et gestion des comptes utilisateursArt. 6(1)(b) — exécution du contratNon
Organisation et suivi des transports sanitairesArt. 6(1)(b) — exécution du contratNon
Traitement des prescriptions médicales de transport et des flags médicauxArt. 9(2)(a) — consentement explicite ; Art. 9(2)(h) — finalité de soins de santéOui
Traitement du NIR chiffré et du profil de couverture AMArt. 9(2)(h) — finalité de soins de santé ; Art. 6(1)(b)Oui
Transcription vocale — agent IA Nathalie (Phase A locale)Art. 6(1)(b) — exécution du contrat ; Art. 9(2)(h) — finalité de soins de santéOui (potentiel selon motif oral)
Réservations vocales par aidant/mandataire (proxy booking)Art. 6(1)(b) — exécution du contratIndirect
Facturation et comptabilité (sociétés de transport)Art. 6(1)(c) — obligation légale ; Art. 6(1)(b)Non
Envoi de notifications (SMS, email, push navigateur)Art. 6(1)(b) — exécution du contrat ; Art. 6(1)(f) — intérêt légitimeNon
Logs d'audit de sécurité et traçabilité adminArt. 6(1)(c) — obligation légale ; Art. 6(1)(f) — intérêt légitime (sécurité)Non
Amélioration du service et statistiques (PostHog pseudonymisé)Art. 6(1)(f) — intérêt légitimeNon — données de santé exclues des payloads analytiques
Suivi d'erreurs applicatives (Sentry, avec scrubbing PII)Art. 6(1)(f) — intérêt légitimeScrubbing beforeSend configuré

5. Destinataires et sous-traitants

Vos données sont accessibles aux personnes et entités suivantes, dans la stricte limite de leurs attributions. Ambugo ne vend ni ne loue vos données personnelles à des tiers.

Utilisateurs internes à la plateforme

  • Transporteurs sanitaires (company_admin) — organisation des courses (nom patient, adresses, besoins de transport, flags) ; jamais les prescriptions ni le NIR
  • Conducteurs (driver)— adresses de prise en charge et de dépose uniquement pour l'exécution du trajet
  • Prescripteurs (médecins, hôpitaux) — suivi de leurs propres prescriptions et patients rattachés
  • Admins Ambugo— accès complet aux entités, tracé par logs d'audit

Sous-traitants techniques (Art. 28 RGPD)

Sous-traitantRôleLocalisation donnéesDPA / Mécanisme transfert
Supabase Inc.Base de données PostgreSQL + authentificationUE — Frankfurt (AWS eu-central-1)[hébergeur HDS À CONFIRMER — migration OVHcloud HDS recommandée]
Vercel Inc.Hébergement application web et routes APIUE + hors UE (Edge Network mondial)[DPA Vercel + SCCs à signer avant lancement]
Stripe (Stripe Payments Europe)Paiement en ligne — abonnements sociétés de transportIrlande (UE)[DPA Stripe à signer à l'activation de la facturation]
Twilio Inc.Envoi de SMS et téléphonie (Phase B)USA — SCCsDPA Twilio + révision SCCs annuelle
ResendEmail transactionnel (confirmations, alertes)UE[DPA Resend EU à signer avant lancement]
Google Maps / GCPCartographie, calcul d'itinéraires, géocodage d'adressesUSA — SCCsDPA GCP — adresses uniquement (pas de données de santé identifiantes)
PostHog EUAnalytique produit (données pseudonymisées)UE[DPA PostHog EU à signer]
SentrySuivi d'erreurs applicativesUSA — SCCsDPA Sentry + scrubbing PII (beforeSend configuré)
Upstash RedisLimitation de débit API (IP uniquement)USA — SCCsDPA Upstash — pas de données de santé
Mistral AI — Phase B uniquement(non encore déployé en production)LLM conversationnel (Mistral Agent), STT (Voxtral), TTS (Voxtral / voix clonée) — agent vocal Nathalie cloudUE — résidence EU demandée (à confirmer)[DPA Mistral AI à signer (MIST-1) + Zero-Data-Retention à confirmer (MIST-2) — BLOQUANT avant production Phase B ; aucune donnée réelle traitée jusqu'à signature]

6. Durée de conservation

Catégorie de donnéesDurée de conservationFondement
Données de compte actifDurée d'activité du compteArt. 6(1)(b) — contrat
Données de compte après fermeture3 ans après fermeture (suppression ou anonymisation)Prescription contractuelle art. 2224 C.civ.
Historique de courses et bookings18 mois après la date de prise en charge (cron mensuel — migration 00056)Minimisation des données
Prescriptions médicales de transport[À TRANCHER : 5 ans (prescription civile) ou 10 ans (dossier médical CSP) — voir avertissement ci-dessus]Décision DPO/avocat requise
NIR chiffré et profil de couverture AM[À TRANCHER : aligné sur la décision prescription ci-dessus]Décision DPO/avocat requise
Données de facturation (Stripe, comptabilité)10 ans (obligation comptable)Art. L.123-22 C.com.
Logs de connexion et techniques12 moisRecommandation CNIL / LCEN
Notifications (email, SMS, push)90 jours (cron quotidien — migration 00057)Minimisation des données
Logs d'audit admin36 mois, puis anonymisation (sauf lignes gdpr_anonymize conservées comme preuve Art. 17 RGPD) — cron mensuel migration 00058Art. 6(1)(c) + Art. 6(1)(f)
Transcriptions vocales (serveur local Nathalie — Phase A)[À TRANCHER : proposition 90 jours après l'appel (AMB-VD-3a) — décision DPO requise]Décision DPO requise
Sessions de démonstration7 jours (cron quotidien — migration 00060)Minimisation — aucune donnée de santé réelle

7. Transferts hors Union européenne

Certains sous-traitants (Stripe, Twilio, Google, Sentry, Upstash) peuvent traiter des données hors de l'Union européenne. Ces transferts sont encadrés par des clauses contractuelles types (CCT) approuvées par la Commission européenne ou par une décision d'adéquation.

Pour Supabase (données de santé), les données sont hébergées exclusivement dans un centre de données situé dans l'Union européenne (Frankfurt). Pour Vercel, l'edge network mondial peut traiter les requêtes HTTP hors UE : [DPA Vercel + vérification des routes API contenant des données de santé — action requise avant lancement].

Pour Mistral AI (Phase B uniquement, non encore déployé en production), la résidence européenne des données est en cours de confirmation : [DPA Mistral + Zero-Data-Retention (MIST-1 / MIST-2) — bloquant avant déploiement Phase B].


8. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :

Droit d'accès (Art. 15)

Obtenir une copie de vos données via votre profil ou en contactant le DPO. Export structuré disponible via votre espace personnel.

Droit de rectification (Art. 16)

Corriger des données inexactes ou incomplètes depuis votre profil ou via le DPO.

Droit à l'effacement (Art. 17)

Demander la suppression de vos données. Note : certaines données doivent être conservées pour des obligations légales (comptabilité, dossier médical). Effacement auto-service en cours d'implémentation — contactez le DPO.

Droit à la limitation (Art. 18)

Restreindre temporairement le traitement de vos données, notamment le temps d'une contestation de l'exactitude.

Droit à la portabilité (Art. 20)

Recevoir vos données dans un format structuré lisible par machine (JSON). Disponible via l'export de votre profil.

Droit d'opposition (Art. 21)

Vous opposer au traitement fondé sur l'intérêt légitime (ex. analytique PostHog). Contact DPO requis.

Retrait du consentement (Art. 7)

Retirer à tout moment le consentement SMS ou le consentement aux CGV (gdpr_consent_at). Le retrait ne rend pas illicite le traitement antérieur.

Droit à ne pas faire l'objet d'une décision automatisée (Art. 22)

L'algorithme de matching Ambugo (attribution des courses) est supervisé par les dispatchers ; il ne constitue pas une décision purement automatisée avec effet juridique sur les patients.

Modalités d'exercice de vos droits

Voie principale : Contactez notre DPO à dpo@ambugo.fr

Délai de réponse : 1 mois à compter de la réception de la demande (prolongeable de 2 mois supplémentaires en cas de complexité, avec notification motivée)

Justificatif d'identité : Requis pour les demandes d'accès, d'effacement et de portabilité (copie d'une pièce d'identité)

Réclamation CNIL : En cas de réponse insatisfaisante, vous pouvez introduire une réclamation auprès de la CNIL (3 Place de Fontenoy, 75007 Paris — www.cnil.fr)


9. Sécurité des données

Ambugo met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données, conformément à l'article 32 RGPD, notamment :

  • Chiffrement des données en transit (TLS 1.3)
  • Chiffrement des données sensibles au repos : NIR en AES-256-GCM avec versionnement de clé (migration 00045), numéro ALD en AES-256-GCM (migration 00094)
  • Authentification forte (Supabase GoTrue, bcrypt pour les mots de passe) ; politique de complexité et délai de révocation de session configurés
  • Contrôle d'accès par rôle (Row Level Security PostgreSQL) avec principe du moindre privilège — prescriptions jamais accessibles aux sociétés de transport
  • Journalisation de tous les accès admin aux données sensibles (logs d'audit, migration 00058)
  • Hash de scellement des prescriptions (HMAC-SHA256) pour détecter toute altération
  • Audits de sécurité réguliers (OWASP Top-10 S157 : 3 critiques résolus, migrations 00088-00090 ; scanner CI de routes non protégées)
  • Scrubbing PII dans Sentry (beforeSendconfiguré — S160) pour exclure les données de santé des rapports d'erreur

En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour vos droits et libertés, Ambugo notifiera la CNIL dans un délai de 72 heures conformément à l'article 33 RGPD, et vous en informera sans délai indu si le risque est élevé (art. 34 RGPD).


10. Cookies

Ambugo utilise uniquement des cookies strictement nécessaires au fonctionnement du service (session d'authentification, préférences utilisateur, token UUID de démonstration) et des cookies d'analyse de performance (PostHog EU) sous pseudonyme à des fins d'amélioration du service (intérêt légitime, art. 6(1)(f) RGPD).

Aucun cookie de traçage publicitaire tiers ni cookie permettant d'identifier directement un patient ou une donnée de santé n'est déposé. Vous pouvez configurer votre navigateur pour bloquer les cookies ; cela peut altérer le fonctionnement de la plateforme.


11. Modifications de la présente politique

Ambugo se réserve le droit de modifier cette politique à tout moment pour refléter une évolution réglementaire, technique ou opérationnelle. En cas de modification substantielle (nouveaux traitements, nouveaux sous-traitants, modification des durées de conservation), vous serez informé par email au moins 30 jours avant l'entrée en vigueur des changements. La version en vigueur est toujours accessible sur cette page avec sa date de mise à jour. L'historique des versions est conservé dans le dépôt de code versionné.


    Ambugo n'utilise que des cookies strictement nécessaires au fonctionnement (session, préférences). Aucun cookie de traçage publicitaire. En savoir plus · DPO