EpilepsAI · Document légal

Politique de confidentialité

Conformité RGPD · Code de la santé publique · AI Act À jour au Version 1.0

EpilepsAI traite des données à caractère personnel, y compris des données de santé, au sens de l'article 9 du RGPD. Cette politique décrit de manière exhaustive les traitements mis en œuvre, les bases légales, les destinataires, les durées de conservation, les mesures de sécurité et les droits des personnes concernées.

1. Responsable du traitement

  • Société : Ai2care (SAS)
  • Siège social : 1 Rue des Champs, 25660 Saône, France
  • RCS : Besançon 102 929 106
  • Représentant légal : Sébastien ACACIA, Président
  • Contact : contact@epilepsai.com

2. Délégué à la protection des données (DPO)

En application de l'article 37-1-c du RGPD, un Délégué à la protection des données a été désigné, compte tenu du traitement à grande échelle de catégories particulières de données (données de santé).

  • Contact DPO dédié : legals@epilepsai.com
  • Référence de désignation CNIL : [À COMPLÉTER — numéro ou date]

3. Périmètre de la présente politique

Elle couvre l'ensemble des traitements réalisés par le site marketing epilepsai.com et par l'application EpilepsAI accessible à app.epilepsai.com. Les principes, bases légales et garanties décrits s'appliquent à l'ensemble des utilisateurs — familles, aidants, patients, professionnels de santé et représentants d'institutions médico-sociales.

4. Catégories de données traitées

4.1 Données collectées sur le site epilepsai.com

  • Données de contact fournies via formulaires : civilité, nom, prénom, email, organisation, fonction, message.
  • Données de navigation et techniques : adresse IP tronquée, durée et horodatage de visite, pages consultées, type de terminal et navigateur.
  • Cookies et traceurs — cf. Politique cookies.

4.2 Données collectées dans l'application EpilepsAI

  • Données d'identification et de contact : civilité, nom, prénom, email, téléphone, lien avec le patient (aidant, parent, tuteur, représentant légal).
  • Données de compte : identifiants, mots de passe chiffrés selon l'état de l'art, préférences utilisateur, historique de connexions.
  • Données relatives au patient accompagné : âge, genre, contexte médical déclaratif, professionnels de santé référents désignés.
  • Données de santé (art. 9 RGPD) : observations vocales ou textuelles relatives aux crises (type, fréquence, durée, contexte), traitements et posologies, sommeil, alimentation, événements déclenchants, symptômes associés, états émotionnels, rapports cliniques générés.
  • Données relatives aux aidants : charge mentale, disponibilité, retours d'usage.
  • Journaux d'interaction avec l'interface vocale, à des fins d'amélioration du service et de traçabilité.

4.3 Patients mineurs

EpilepsAI est susceptible d'accompagner le suivi d'enfants atteints d'épilepsie pharmaco-résistante. Dans ce cas :

  • Les données sont saisies par un aidant majeur titulaire de la responsabilité parentale ou son représentant légal.
  • Le consentement préalable des titulaires de la responsabilité parentale est systématiquement recueilli, conformément à l'article 8 du RGPD et à l'article 45 de la loi n° 78-17 modifiée.
  • Une information adaptée à l'âge du mineur est mise à disposition lorsque pertinent.
  • Un retrait du consentement par le représentant légal entraîne la cessation des traitements et, à la demande, l'effacement des données, sauf conservation légale obligatoire.

5. Finalités de traitement et bases légales

Chaque traitement repose sur une base légale identifiée (articles 6 et, pour les données de santé, 9 du RGPD) :

Finalité Base légale (art. 6) Art. 9 (données santé)
Traitement des demandes via le site marketingIntérêt légitime / consentement
Création et gestion du compte utilisateurExécution du contrat
Fourniture du service EpilepsAI (suivi, rapports cliniques, partage avec professionnels)Exécution du contratConsentement explicite (art. 9-2-a)
Traitement des données relatives à un patient mineurExécution du contrat + autorisation parentaleConsentement parental explicite (art. 8 RGPD + art. 45 LIL)
Amélioration produit et R&D interneIntérêt légitimePseudonymisation ou anonymisation préalable
Recherche scientifique et cohortes anonymiséesArt. 9-2-j RGPD + CSPMéthodologies de référence CNIL (MR-004 et suiv.)
Facturation et obligations comptablesObligation légale (art. 6-1-c)
Sécurité et prévention de la fraudeIntérêt légitime
Mesure d'audience anonymisée sur le siteExemption CNIL ou consentement
Communication commerciale (opt-in)Consentement (art. 6-1-a)

6. Destinataires des données

Les données sont accessibles, dans la stricte limite du besoin d'en connaître, par :

  • Le personnel habilité d'Ai2care, soumis à une obligation de confidentialité contractuelle.
  • Les sous-traitants techniques liés par un contrat conforme à l'article 28 du RGPD : hébergeur HDS de l'application, hébergeur IONOS du site marketing, prestataires IT, solution de messagerie, solution éventuelle de paiement.
  • Les professionnels de santé expressément désignés par le patient ou son représentant légal, dans le cadre du parcours de soin.
  • Les autorités administratives ou judiciaires, en cas de réquisition légale.

Aucune donnée de santé n'est cédée, louée ou vendue à des tiers à des fins commerciales. Aucun entraînement de modèle commercial n'est réalisé sur des données identifiantes sans consentement explicite et spécifique, distinct du consentement initial au service.

7. Transferts hors Union européenne

Les données de santé traitées par EpilepsAI sont hébergées en Union européenne et ne font l'objet d'aucun transfert hors Union européenne. Lorsque certains outils techniques strictement limités (par exemple des outils de support) pourraient exposer des données non sensibles à un transfert, les mécanismes prévus aux articles 44 à 49 du RGPD sont mis en œuvre (décisions d'adéquation, clauses contractuelles types, garanties appropriées complémentaires).

8. Durées de conservation

Catégorie de donnéesDurée de conservation
Messages via le formulaire du site12 mois à compter du dernier échange
Contacts prospects3 ans à compter du dernier contact
Comptes utilisateurs actifsDurée d'usage + 3 ans après inactivité
Données de santé traitées par l'applicationDossier actif + 20 ans après la dernière prise en charge (art. R.1112-7 CSP)
Rapports cliniques générésIdentique aux données de santé
Logs d'accès et de sécurité6 mois à 1 an
Cookies et traceurs13 mois maximum (recommandation CNIL)
Preuves de consentementDurée du traitement + 3 ans
Documents contractuels et comptables10 ans (Code de commerce)

9. Sécurité des traitements

Ai2care met en œuvre des mesures techniques et organisationnelles appropriées au risque, conformément à l'article 32 du RGPD :

  • Hébergement certifié HDS (décret n° 2018-137) pour toute donnée de santé.
  • Chiffrement des données au repos et en transit (TLS 1.2+, AES-256 ou équivalent).
  • Authentification forte et contrôle d'accès granulaire, ségrégation des environnements.
  • Journalisation horodatée et supervision continue des accès.
  • Analyses d'impact sur la protection des données (AIPD — art. 35 RGPD) réalisées.
  • Tests de sécurité périodiques, démarche de conformité à la directive (UE) 2022/2555 « NIS2 ».
  • Plan de continuité et de reprise d'activité testé.
  • Procédure formalisée de notification des violations de données dans les 72 heures à la CNIL (art. 33 RGPD), information des personnes concernées le cas échéant (art. 34).

10. Droits des personnes concernées

Conformément au RGPD et à la LIL, vous disposez sur vos données personnelles des droits suivants :

  • Droit d'accès (art. 15).
  • Droit de rectification (art. 16).
  • Droit à l'effacement (art. 17), sous réserve des obligations légales de conservation.
  • Droit à la limitation du traitement (art. 18).
  • Droit à la portabilité (art. 20) — récupération des données dans un format structuré et lisible par machine.
  • Droit d'opposition (art. 21), notamment pour les traitements fondés sur l'intérêt légitime ou la prospection.
  • Droit de retrait du consentement à tout moment, sans remise en cause de la licéité des traitements antérieurs.
  • Droit de définir des directives post mortem (art. 85 LIL).
  • Droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou l'affectant de manière significative (art. 22 RGPD).

Ces droits s'exercent par email à l'adresse legals@epilepsai.com ou par courrier au siège social, accompagné d'un justificatif d'identité. Ai2care répond dans un délai maximal d'un mois (prorogeable de deux mois en cas de complexité).

Toute personne concernée dispose également du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr.

11. Intelligence artificielle — AI Act et Charte éthique

EpilepsAI s'appuie sur des systèmes d'intelligence artificielle conçus et déployés dans le respect du Règlement (UE) 2024/1689 (AI Act) et de la Charte éthique IA d'Ai2care, accessible sur ai2care.ai. Ai2care s'engage notamment sur :

  • Transparence : information claire que l'utilisateur interagit avec une IA (art. 50 AI Act).
  • Supervision humaine : aucune décision clinique, thérapeutique ou organisationnelle n'est prise de manière exclusivement automatisée (art. 14 AI Act, art. 22 RGPD).
  • Qualité et gouvernance des données : jeux de données représentatifs, testés, documentés (art. 10 AI Act).
  • Documentation technique, journalisation et système de gestion des risques (art. 9, 11, 12 AI Act).
  • Interdiction stricte des pratiques prohibées de l'article 5 de l'AI Act.
  • Explicabilité : l'utilisateur peut demander une explication, en langue naturelle, des analyses ou repères produits par l'IA.
  • Droit de contester une sortie produite par le système, avec réponse motivée sous 30 jours.

EpilepsAI n'est pas un dispositif médical au sens du Règlement (UE) 2017/745. La classification AI Act applicable est documentée dans un registre interne tenu par Ai2care et communicable aux autorités compétentes sur demande.

12. Recherche scientifique et cohortes anonymisées

Les données peuvent être réutilisées à des finalités de recherche, d'études ou d'évaluation dans le domaine de la santé (art. 9-2-j RGPD), après anonymisation ou pseudonymisation robuste et dans le respect des méthodologies de référence de la CNIL (MR-004 et suivantes) et, le cas échéant, des autorisations requises (CPP, CNIL, loi Jardé).

13. Data Act — accès et portabilité

Conformément au Règlement (UE) 2023/2854, l'utilisateur peut demander l'accès et la communication à un tiers désigné des données d'usage qu'il a générées, dans un format lisible par machine.

14. Cookies et traceurs

Les modalités de gestion des cookies et traceurs déposés sur le site epilepsai.com sont décrites dans la Politique cookies accessible depuis le pied de page du site.

15. Évolution de la politique

La présente politique peut être modifiée pour tenir compte d'évolutions légales, réglementaires ou opérationnelles. Toute modification substantielle fait l'objet d'une information des utilisateurs par tout moyen approprié.

Version : 1.0 — Dernière mise à jour : 21 avril 2026.