Politique de confidentialité
Dernière mise à jour : — version projet, en attente de validation DPO
La présente politique de confidentialité décrit comment [À PUBLIER : dénomination sociale](ci-après « Ambugo », « nous », « notre ») collecte, utilise et protège vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi n° 78-17 Informatique et Libertés modifiée.
Ambugo est une plateforme de transport médical traitant des données de santé au sens de l'article 9 RGPD(prescriptions de transport, flags médicaux, numéro NIR/sécurité sociale chiffré). Ces données font l'objet de mesures de protection renforcées décrites ci-après.
1. Responsable du traitement
Dénomination : [À PUBLIER : raison sociale — ex. Ambugo SAS]
Siège social : [À PUBLIER : adresse complète], France
SIREN : [À PUBLIER : 9 chiffres]
Contact général : contact@ambugo.fr
2. Délégué à la Protection des Données (DPO)
Compte tenu du traitement à grande échelle de données de santé (Art. 9 RGPD), Ambugo désigne un Délégué à la Protection des Données conformément à l'article 37 RGPD.
Identité : [À DÉSIGNER : nom et prénom du DPO — désignation obligatoire avant traitement de données de santé réelles en production]
Email DPO : dpo@ambugo.fr
Enregistrement CNIL : [À PUBLIER : référence de déclaration du DPO auprès de la CNIL — Art. 37(7) RGPD]
3. Catégories de données collectées
Dans le cadre de la fourniture du service de transport médical, Ambugo collecte les catégories de données suivantes selon le rôle de l'utilisateur :
Données d'identification et de contact (tous rôles)
- Nom, prénom, civilité
- Adresse email et numéro de téléphone
- Adresse postale (domicile, lieu de soins)
- Date de naissance (patients)
- Hash du mot de passe (stocké via Supabase GoTrue bcrypt — jamais en clair)
- Indicateur de consentement SMS (
sms_consent) et horodatage d'acceptation des CGV (gdpr_consent_at)
Données de santé — Article 9 RGPD (patients)
- Numéro de sécurité sociale — NIR (15 chiffres, stocké exclusivement sous forme chiffrée AES-256-GCM avec versionnement de clé ; jamais exposé côté client ni journalisé)
- Matricule INS, OID et date de vérification (optionnel)
- Prescriptions médicales de transport : contenu, codes AM/volet, dates de validité, statut, hash de scellement HMAC-SHA256, PDF des volets
- Profil de couverture Assurance Maladie : taux de remboursement, motif (ALD, accident de travail, grossesse, CSS/AME…), exonération franchise, numéro ALD, dates de validité
- Flags de transport médicaux : AM (ambulance), AISD (aide individuelle soins difficiles), OE (oxygénothérapie), TSM (transport soins médicaux), TPC (transport en position couchée), TPE (transport en position assise équipée), TP (tiers payant) — indicateurs des besoins médicaux du patient
- Historique des courses et trajets effectués
Données relatives aux transports (tous rôles)
- Adresses de prise en charge et de destination (latitude/longitude)
- Horodatages de prise en charge et de retour
- Statut et source de réservation
- Notes de transport
Données conducteurs et véhicules (sociétés de transport)
- Numéro de permis de conduire et date d'expiration
- Numéro de carte d'identité professionnelle et date d'expiration
- Scans de documents (URL Supabase Storage, accès restreint)
- Position GPS en temps réel (
current_latitude,current_longitude) — uniquement si le feature flagREALTIME_TRACKINGest activé (désactivé par défaut) ; DPIA sous-section requise avant activation
Données de facturation (sociétés de transport)
- Informations de paiement traitées via Stripe — Ambugo ne stocke pas les numéros de carte bancaire
- Identifiants Stripe (
stripe_customer_id,stripe_subscription_id) - SIRET de la société de transport, coordonnées de facturation
Données vocales — Agent IA Nathalie (patients et aidants)
- Numéro de téléphone appelant
- Transcription de l'appel (données de santé Art. 9 potentielles selon le motif évoqué oralement)
- Actions effectuées par l'agent (réservation, modification, annulation)
- En Phase B (cloud Mistral — non encore déployée en production) : flux audio brut de l'appelant traité par Mistral AI (Voxtral STT/TTS) — voir § 5 sous-traitants
Données techniques
- Adresse IP, type de navigateur, système d'exploitation
- Logs de connexion et d'utilisation (12 mois)
- Cookies fonctionnels (session d'authentification, préférences)
- Tokens Web Push (endpoint, clé P-256 DH, secret d'authentification — données cryptographiques du navigateur)
- Logs d'audit admin (actions admin/superadmin sur entités sensibles)
4. Finalités et base légale du traitement
| Finalité | Base légale RGPD | Données de santé Art. 9 |
|---|---|---|
| Création et gestion des comptes utilisateurs | Art. 6(1)(b) — exécution du contrat | Non |
| Organisation et suivi des transports sanitaires | Art. 6(1)(b) — exécution du contrat | Non |
| Traitement des prescriptions médicales de transport et des flags médicaux | Art. 9(2)(a) — consentement explicite ; Art. 9(2)(h) — finalité de soins de santé | Oui |
| Traitement du NIR chiffré et du profil de couverture AM | Art. 9(2)(h) — finalité de soins de santé ; Art. 6(1)(b) | Oui |
| Transcription vocale — agent IA Nathalie (Phase A locale) | Art. 6(1)(b) — exécution du contrat ; Art. 9(2)(h) — finalité de soins de santé | Oui (potentiel selon motif oral) |
| Réservations vocales par aidant/mandataire (proxy booking) | Art. 6(1)(b) — exécution du contrat | Indirect |
| Facturation et comptabilité (sociétés de transport) | Art. 6(1)(c) — obligation légale ; Art. 6(1)(b) | Non |
| Envoi de notifications (SMS, email, push navigateur) | Art. 6(1)(b) — exécution du contrat ; Art. 6(1)(f) — intérêt légitime | Non |
| Logs d'audit de sécurité et traçabilité admin | Art. 6(1)(c) — obligation légale ; Art. 6(1)(f) — intérêt légitime (sécurité) | Non |
| Amélioration du service et statistiques (PostHog pseudonymisé) | Art. 6(1)(f) — intérêt légitime | Non — données de santé exclues des payloads analytiques |
| Suivi d'erreurs applicatives (Sentry, avec scrubbing PII) | Art. 6(1)(f) — intérêt légitime | Scrubbing beforeSend configuré |
5. Destinataires et sous-traitants
Vos données sont accessibles aux personnes et entités suivantes, dans la stricte limite de leurs attributions. Ambugo ne vend ni ne loue vos données personnelles à des tiers.
Utilisateurs internes à la plateforme
- Transporteurs sanitaires (company_admin) — organisation des courses (nom patient, adresses, besoins de transport, flags) ; jamais les prescriptions ni le NIR
- Conducteurs (driver)— adresses de prise en charge et de dépose uniquement pour l'exécution du trajet
- Prescripteurs (médecins, hôpitaux) — suivi de leurs propres prescriptions et patients rattachés
- Admins Ambugo— accès complet aux entités, tracé par logs d'audit
Sous-traitants techniques (Art. 28 RGPD)
| Sous-traitant | Rôle | Localisation données | DPA / Mécanisme transfert |
|---|---|---|---|
| Supabase Inc. | Base de données PostgreSQL + authentification | UE — Frankfurt (AWS eu-central-1) | [hébergeur HDS À CONFIRMER — migration OVHcloud HDS recommandée] |
| Vercel Inc. | Hébergement application web et routes API | UE + hors UE (Edge Network mondial) | [DPA Vercel + SCCs à signer avant lancement] |
| Stripe (Stripe Payments Europe) | Paiement en ligne — abonnements sociétés de transport | Irlande (UE) | [DPA Stripe à signer à l'activation de la facturation] |
| Twilio Inc. | Envoi de SMS et téléphonie (Phase B) | USA — SCCs | DPA Twilio + révision SCCs annuelle |
| Resend | Email transactionnel (confirmations, alertes) | UE | [DPA Resend EU à signer avant lancement] |
| Google Maps / GCP | Cartographie, calcul d'itinéraires, géocodage d'adresses | USA — SCCs | DPA GCP — adresses uniquement (pas de données de santé identifiantes) |
| PostHog EU | Analytique produit (données pseudonymisées) | UE | [DPA PostHog EU à signer] |
| Sentry | Suivi d'erreurs applicatives | USA — SCCs | DPA Sentry + scrubbing PII (beforeSend configuré) |
| Upstash Redis | Limitation de débit API (IP uniquement) | USA — SCCs | DPA Upstash — pas de données de santé |
| Mistral AI — Phase B uniquement(non encore déployé en production) | LLM conversationnel (Mistral Agent), STT (Voxtral), TTS (Voxtral / voix clonée) — agent vocal Nathalie cloud | UE — résidence EU demandée (à confirmer) | [DPA Mistral AI à signer (MIST-1) + Zero-Data-Retention à confirmer (MIST-2) — BLOQUANT avant production Phase B ; aucune donnée réelle traitée jusqu'à signature] |
6. Durée de conservation
| Catégorie de données | Durée de conservation | Fondement |
|---|---|---|
| Données de compte actif | Durée d'activité du compte | Art. 6(1)(b) — contrat |
| Données de compte après fermeture | 3 ans après fermeture (suppression ou anonymisation) | Prescription contractuelle art. 2224 C.civ. |
| Historique de courses et bookings | 18 mois après la date de prise en charge (cron mensuel — migration 00056) | Minimisation des données |
| Prescriptions médicales de transport | [À TRANCHER : 5 ans (prescription civile) ou 10 ans (dossier médical CSP) — voir avertissement ci-dessus] | Décision DPO/avocat requise |
| NIR chiffré et profil de couverture AM | [À TRANCHER : aligné sur la décision prescription ci-dessus] | Décision DPO/avocat requise |
| Données de facturation (Stripe, comptabilité) | 10 ans (obligation comptable) | Art. L.123-22 C.com. |
| Logs de connexion et techniques | 12 mois | Recommandation CNIL / LCEN |
| Notifications (email, SMS, push) | 90 jours (cron quotidien — migration 00057) | Minimisation des données |
| Logs d'audit admin | 36 mois, puis anonymisation (sauf lignes gdpr_anonymize conservées comme preuve Art. 17 RGPD) — cron mensuel migration 00058 | Art. 6(1)(c) + Art. 6(1)(f) |
| Transcriptions vocales (serveur local Nathalie — Phase A) | [À TRANCHER : proposition 90 jours après l'appel (AMB-VD-3a) — décision DPO requise] | Décision DPO requise |
| Sessions de démonstration | 7 jours (cron quotidien — migration 00060) | Minimisation — aucune donnée de santé réelle |
7. Transferts hors Union européenne
Certains sous-traitants (Stripe, Twilio, Google, Sentry, Upstash) peuvent traiter des données hors de l'Union européenne. Ces transferts sont encadrés par des clauses contractuelles types (CCT) approuvées par la Commission européenne ou par une décision d'adéquation.
Pour Supabase (données de santé), les données sont hébergées exclusivement dans un centre de données situé dans l'Union européenne (Frankfurt). Pour Vercel, l'edge network mondial peut traiter les requêtes HTTP hors UE : [DPA Vercel + vérification des routes API contenant des données de santé — action requise avant lancement].
Pour Mistral AI (Phase B uniquement, non encore déployé en production), la résidence européenne des données est en cours de confirmation : [DPA Mistral + Zero-Data-Retention (MIST-1 / MIST-2) — bloquant avant déploiement Phase B].
8. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :
Droit d'accès (Art. 15)
Obtenir une copie de vos données via votre profil ou en contactant le DPO. Export structuré disponible via votre espace personnel.
Droit de rectification (Art. 16)
Corriger des données inexactes ou incomplètes depuis votre profil ou via le DPO.
Droit à l'effacement (Art. 17)
Demander la suppression de vos données. Note : certaines données doivent être conservées pour des obligations légales (comptabilité, dossier médical). Effacement auto-service en cours d'implémentation — contactez le DPO.
Droit à la limitation (Art. 18)
Restreindre temporairement le traitement de vos données, notamment le temps d'une contestation de l'exactitude.
Droit à la portabilité (Art. 20)
Recevoir vos données dans un format structuré lisible par machine (JSON). Disponible via l'export de votre profil.
Droit d'opposition (Art. 21)
Vous opposer au traitement fondé sur l'intérêt légitime (ex. analytique PostHog). Contact DPO requis.
Retrait du consentement (Art. 7)
Retirer à tout moment le consentement SMS ou le consentement aux CGV (gdpr_consent_at). Le retrait ne rend pas illicite le traitement antérieur.
Droit à ne pas faire l'objet d'une décision automatisée (Art. 22)
L'algorithme de matching Ambugo (attribution des courses) est supervisé par les dispatchers ; il ne constitue pas une décision purement automatisée avec effet juridique sur les patients.
Modalités d'exercice de vos droits
Voie principale : Contactez notre DPO à dpo@ambugo.fr
Délai de réponse : 1 mois à compter de la réception de la demande (prolongeable de 2 mois supplémentaires en cas de complexité, avec notification motivée)
Justificatif d'identité : Requis pour les demandes d'accès, d'effacement et de portabilité (copie d'une pièce d'identité)
Réclamation CNIL : En cas de réponse insatisfaisante, vous pouvez introduire une réclamation auprès de la CNIL (3 Place de Fontenoy, 75007 Paris — www.cnil.fr)
9. Sécurité des données
Ambugo met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données, conformément à l'article 32 RGPD, notamment :
- Chiffrement des données en transit (TLS 1.3)
- Chiffrement des données sensibles au repos : NIR en AES-256-GCM avec versionnement de clé (migration 00045), numéro ALD en AES-256-GCM (migration 00094)
- Authentification forte (Supabase GoTrue, bcrypt pour les mots de passe) ; politique de complexité et délai de révocation de session configurés
- Contrôle d'accès par rôle (Row Level Security PostgreSQL) avec principe du moindre privilège — prescriptions jamais accessibles aux sociétés de transport
- Journalisation de tous les accès admin aux données sensibles (logs d'audit, migration 00058)
- Hash de scellement des prescriptions (HMAC-SHA256) pour détecter toute altération
- Audits de sécurité réguliers (OWASP Top-10 S157 : 3 critiques résolus, migrations 00088-00090 ; scanner CI de routes non protégées)
- Scrubbing PII dans Sentry (
beforeSendconfiguré — S160) pour exclure les données de santé des rapports d'erreur
En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour vos droits et libertés, Ambugo notifiera la CNIL dans un délai de 72 heures conformément à l'article 33 RGPD, et vous en informera sans délai indu si le risque est élevé (art. 34 RGPD).
10. Cookies
Ambugo utilise uniquement des cookies strictement nécessaires au fonctionnement du service (session d'authentification, préférences utilisateur, token UUID de démonstration) et des cookies d'analyse de performance (PostHog EU) sous pseudonyme à des fins d'amélioration du service (intérêt légitime, art. 6(1)(f) RGPD).
Aucun cookie de traçage publicitaire tiers ni cookie permettant d'identifier directement un patient ou une donnée de santé n'est déposé. Vous pouvez configurer votre navigateur pour bloquer les cookies ; cela peut altérer le fonctionnement de la plateforme.
11. Modifications de la présente politique
Ambugo se réserve le droit de modifier cette politique à tout moment pour refléter une évolution réglementaire, technique ou opérationnelle. En cas de modification substantielle (nouveaux traitements, nouveaux sous-traitants, modification des durées de conservation), vous serez informé par email au moins 30 jours avant l'entrée en vigueur des changements. La version en vigueur est toujours accessible sur cette page avec sa date de mise à jour. L'historique des versions est conservé dans le dépôt de code versionné.