Politique de confidentialité

Application MyOsteo · Version 1.0 · Dernière mise à jour : 16 juin 2026

La présente politique décrit comment l'application MyOsteo collecte, utilise, protège et conserve les données personnelles, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi n°78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »). MyOsteo traitant des données de santé, elle applique également le référentiel d'Hébergement de Données de Santé (HDS) et les dispositions du Code de la santé publique.

1. Qui sommes-nous ?

L'application MyOsteo est éditée par :

Éditeur	NEGO-DATA — entreprise individuelle
Représentant	Gautier Marchal
Adresse	6 square Gauguin, 92500 Rueil-Malmaison, France
SIRET	978 011 526 00016
Contact (protection des données)	service-clients@myosteo-app.fr
Délégué à la protection des données (DPO)	Non désigné — désignation non obligatoire au sens de l'article 37 RGPD pour une entreprise individuelle de cette taille. Toute question relative à la protection des données peut être adressée à service-clients@myosteo-app.fr.

2. À qui s'adresse l'application et double rôle de MyOsteo

MyOsteo est une application réservée aux praticiens ostéopathes. Les patients n'ont pas d'accès direct à l'application : leurs données sont saisies et gérées par leur ostéopathe dans le cadre du suivi de soins.

Au sens du RGPD, MyOsteo intervient à deux titres distincts :

Responsable de traitement pour les données des praticiens (compte, profil, authentification, journaux de sécurité, emails techniques).
Sous-traitant (article 28 RGPD) pour les données des patients. Le responsable de traitement de ces données est le praticien ostéopathe lui-même, professionnel de santé indépendant, qui détermine les finalités et les moyens du suivi de ses patients et reste tenu au secret médical.

3. Quelles données sont traitées ?

3.1 Données des praticiens (MyOsteo responsable de traitement)

Identité professionnelle : prénom, nom, titre (Ostéopathe D.O., Dr), adresse email.
Données d'authentification : mot de passe haché (bcrypt), jetons de session (JWT), codes de vérification à usage unique.
Données techniques et de journalisation : adresse IP de connexion, horodatages, actions réalisées dans l'application (piste d'audit).

3.2 Données des patients (MyOsteo sous-traitant pour le compte du praticien)

Données d'identification : prénom, nom, date de naissance, email et téléphone (facultatifs), profession, statut marital, activités sportives.
Données de santé (catégorie particulière, article 9 RGPD) : antécédents médicaux, pathologies, médicaments, allergies, chirurgies, blessures, antécédents familiaux ; comptes rendus de consultations ostéopathiques (motif, niveaux de douleur et de stress, qualité du sommeil, zones anatomiques, tests orthopédiques et ostéopathiques, traitement réalisé, recommandations, notes cliniques) ; documents médicaux téléversés (ordonnances, imageries, comptes rendus).
Donnée de consentement : horodatage du consentement RGPD recueilli par le praticien.

Données que MyOsteo ne collecte pas : numéro de sécurité sociale, données bancaires, données génétiques ou biométriques, données relatives aux opinions politiques, religieuses, à l'orientation sexuelle ou aux condamnations pénales.

4. Pourquoi ces données sont-elles traitées (finalités et bases légales) ?

Finalité	Base légale (RGPD)
Création et gestion du compte praticien, authentification sécurisée	Art. 6(1)(b) — exécution du contrat de service
Envoi d'emails techniques (code de vérification, réinitialisation de mot de passe)	Art. 6(1)(b) et Art. 6(1)(f) — intérêt légitime (sécurité du compte)
Journalisation des accès et piste d'audit	Art. 6(1)(c) — obligation légale (référentiel HDS, art. 32 RGPD)
Gestion des dossiers patients et des consultations	Art. 9(2)(h) — soins de santé, combiné à l'art. R. 1112-7 CSP (tenue du dossier)
Assistance clinique par intelligence artificielle (recommandations)	Art. 9(2)(a) — consentement explicite du patient, recueilli par le praticien

5. Intelligence artificielle

MyOsteo propose au praticien une aide à la formulation de recommandations cliniques via le service Mistral AI (société française, Paris — traitement réalisé sur des serveurs situés dans l'Union européenne). Avant toute transmission, les données sont pseudonymisées : les nom, prénom, date de naissance, email et téléphone du patient ne sont jamais transmis. Seules les informations cliniques strictement nécessaires (symptômes, zones anatomiques, niveau de douleur, antécédents pertinents, âge calculé) sont utilisées. Les données transmises via l'API ne sont pas réutilisées pour l'entraînement des modèles.

6. Qui a accès aux données (destinataires et sous-traitants) ?

Les données ne sont jamais vendues ni utilisées à des fins publicitaires. Par défaut, le dossier d'un patient n'est accessible qu'au praticien qui en est le référent ; chaque praticien est isolé des autres, sauf partage explicite décrit au point 6.2. Les données peuvent par ailleurs être traitées, dans la stricte mesure nécessaire au fonctionnement du service, par les sous-traitants listés au point 6.1.

6.1 Sous-traitants techniques

Sous-traitant	Rôle	Localisation
OVHcloud SAS	Hébergement de l'infrastructure, de la base de données et des fichiers (hébergeur de données de santé)	Roubaix, France (UE)
Mistral AI SAS	Service d'intelligence artificielle (recommandations cliniques sur données pseudonymisées)	Paris, France (UE)
Brevo SAS	Acheminement des emails techniques (sans aucune donnée de santé)	Paris, France (UE)

6.2 Partage entre praticiens d'un même cabinet

MyOsteo permet à plusieurs praticiens d'exercer au sein d'un même cabinet et, dans ce cadre, de partager l'accès à un dossier patient afin d'assurer la continuité des soins (remplacement, suivi conjoint, prise en charge en l'absence du référent). Ce partage est strictement encadré :

Le patient appartient toujours à son praticien référent, qui demeure le responsable de traitement de ses données.
Le partage résulte d'une autorisation explicite et délibérée du référent ; il n'a jamais lieu automatiquement.
Il est limité aux praticiens membres actifs d'un même cabinet que le référent.
Chaque partage est motivé, daté (date de début et, le cas échéant, date de fin) et peut être révoqué à tout moment par le référent.
Le praticien référent est tenu d'informer le patient du partage de son dossier, en sa qualité de responsable de traitement.
Le praticien bénéficiaire dispose de droits restreints : il peut consulter le dossier et créer ou compléter des consultations, mais ne peut ni supprimer le dossier, ni modifier l'identité du patient, ni le repartager, ni l'exporter.
Toute opération de partage, de consultation et de révocation est journalisée dans la piste d'audit (HDS).

En dehors d'un tel partage explicite, aucun praticien ne peut accéder au dossier d'un patient dont il n'est pas le référent.

7. Hébergement des données de santé (HDS)

Les données de santé sont hébergées en France, dans l'Union européenne, par un hébergeur certifié Hébergeur de Données de Santé (HDS) conformément à l'article L.1111-8 du Code de la santé publique.

8. Transferts hors de l'Union européenne

Aucun transfert de données hors de l'Union européenne n'est réalisé. L'ensemble des sous-traitants traite les données sur des serveurs situés dans l'UE (France).

9. Combien de temps les données sont-elles conservées ?

Donnée	Durée de conservation
Dossiers patients et données de santé (antécédents, consultations, documents)	20 ans à compter de la dernière consultation (art. R. 1112-7 CSP)
Compte praticien	Durée du contrat, puis 3 ans après résiliation (prescription triennale)
Codes de vérification à usage unique	Expiration après 15 minutes, jamais conservés en clair
Journaux de sécurité (audit)	1 an glissant

10. Comment les données sont-elles protégées ?

Chiffrement en transit : toutes les communications sont protégées par HTTPS/TLS (HSTS activé).
Chiffrement au repos : les données de santé (antécédents et consultations) sont chiffrées par algorithme AES-256-GCM avant stockage en base.
Authentification : mots de passe hachés (bcrypt), jetons JWT à durée limitée avec révocation.
Isolation par défaut : un praticien n'accède qu'aux dossiers dont il est le référent ; l'accès d'un autre praticien suppose un partage explicite et encadré au sein d'un même cabinet (voir point 6.2).
Limitation des tentatives (rate-limiting) et en-têtes de sécurité HTTP.
Journalisation de tous les accès aux données de santé (piste d'audit HDS).

11. Vos droits

Conformément au RGPD, toute personne dispose d'un droit d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité de ses données.

Praticiens : ces droits s'exercent directement auprès de NEGO-DATA, à service-clients@myosteo-app.fr. Un export de l'ensemble des données est par ailleurs disponible depuis l'application (droit à la portabilité).
Patients : MyOsteo n'étant pas en relation directe avec les patients, ces droits s'exercent auprès de l'ostéopathe traitant, qui est le responsable de traitement de leurs données et le détenteur du dossier médical. MyOsteo prête assistance au praticien pour répondre à ces demandes.

Délai de réponse : un mois maximum. En cas de difficulté, toute personne peut introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) : www.cnil.fr.

12. Cookies et traceurs

L'application mobile MyOsteo n'utilise aucun cookie publicitaire ni traceur à des fins de mesure d'audience ou de marketing. Seuls des éléments de stockage strictement nécessaires au fonctionnement (jeton de session sécurisé) sont utilisés.

13. Violation de données

En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes, NEGO-DATA notifie la CNIL dans les 72 heures (art. 33 RGPD) et informe, le cas échéant, les praticiens concernés afin qu'ils puissent en informer leurs patients.

14. Modifications de la présente politique

La présente politique peut être mise à jour pour refléter une évolution légale, technique ou fonctionnelle. La date de dernière mise à jour figure en tête de page. En cas de modification substantielle, les praticiens utilisateurs en sont informés.

15. Contact

Pour toute question relative à la présente politique ou à vos données personnelles : service-clients@myosteo-app.fr — NEGO-DATA, 6 square Gauguin, 92500 Rueil-Malmaison, France.