Mnémis SAS est le responsable du traitement de vos données personnelles au sens de l'article 4 du RGPD. Nous opérons en tant qu'Hébergeur de Données de Santé (HDS) certifié, conformément à l'article L.1111-8 du Code de la santé publique.
Notre Délégué à la Protection des Données (DPO) est joignable à : dpo@mnemis.health
| Donnée | Obligatoire | Finalité |
|---|---|---|
| Nom, prénom | Oui | Identification pour la récupération de token |
| Date de naissance | Oui | Identification + données épidémiologiques |
| Sexe de naissance | Oui | Données épidémiologiques (recherche) |
| Groupe sanguin | Non | Données médicales enrichies (recherche) |
| Pays de résidence et de naissance | Oui | Segmentation géographique |
| Non | Notifications et récupération de token | |
| Téléphone | Non | Notifications SMS et récupération de token |
| Token HPK | Oui | Authentification pseudonymisée |
| Documents médicaux | Oui | Carnet de santé numérique |
| Donnée | Finalité |
|---|---|
| Nom, prénom, spécialité | Identification professionnelle |
| Email professionnel | Authentification et communications |
| Établissement, pays | Qualification et traçabilité |
| Historique d'uploads | Traçabilité et rémunération HPK |
| Logs de connexion (IP, date) | Sécurité et audit |
Mnémis collecte des données techniques de fonctionnement (logs d'accès, métriques de performance) dans le seul but de sécuriser et d'améliorer la plateforme. Ces données ne sont pas utilisées à des fins commerciales.
| Finalité | Base légale (RGPD) |
|---|---|
| Stockage et consultation des documents médicaux | Article 9(2)(h) — soins de santé + consentement explicite |
| Génération de résumés IA | Article 9(2)(h) — intérêt légitime médical + consentement |
| Partage avec la recherche médicale | Article 9(2)(j) — intérêt public / recherche scientifique + consentement explicite |
| Notifications par email et SMS | Article 6(1)(b) — exécution du contrat |
| Authentification et sécurité | Article 6(1)(f) — intérêt légitime (sécurité) |
| Gestion des tokens HPK | Article 6(1)(b) — exécution du contrat |
| Logs et monitoring | Article 6(1)(c) — obligation légale (HDS) + intérêt légitime |
Toutes les données de santé sont hébergées exclusivement en France sur l'infrastructure Scaleway, certifiée Hébergeur de Données de Santé (HDS) conformément à la réglementation française. Aucune donnée de santé n'est hébergée hors du territoire français.
L'accès aux données de santé est strictement limité : le patient via son token HPK, le professionnel de santé pour les documents qu'il a lui-même uploadés, et l'équipe technique Mnémis dans le seul cadre de la maintenance et de la sécurité (accès tracé et auditable).
Les données en statut "privé" ne sont jamais partagées avec des tiers, sans exception. Elles ne sont accessibles qu'au patient et au professionnel de santé concernés.
Lorsque le patient consent explicitement au partage, les données sont anonymisées selon le processus suivant avant toute mise à disposition :
Mnémis fait appel aux sous-traitants suivants, tous liés par des contrats de traitement conformes au RGPD :
| Sous-traitant | Rôle | Pays |
|---|---|---|
| Scaleway | Hébergement BDD et stockage (HDS) | 🇫🇷 France |
| Anthropic | Génération de résumés IA | 🇺🇸 USA (données anonymisées uniquement) |
| Resend | Envoi d'emails transactionnels | 🇺🇸 USA (email et token uniquement) |
| Twilio | Envoi de SMS | 🇺🇸 USA (téléphone et message uniquement) |
Note sur Anthropic : Les documents médicaux envoyés à l'API Claude pour génération de résumés ne contiennent aucune donnée directement identifiante. Le texte du document est transmis sans nom, sans token, et sans information permettant de relier le contenu à un patient spécifique.
| Catégorie de données | Durée de conservation |
|---|---|
| Documents médicaux privés | Durée du compte + 10 ans après clôture (obligation légale médicale) |
| Documents partagés avec la recherche | Indéfinie — intégrés au bien commun de façon irréversible |
| Données de profil patient | Durée du compte + 3 ans |
| Données professionnels de santé | Durée du compte + 5 ans |
| Logs de sécurité | 90 jours |
| Journaux de consentement | 30 ans (valeur probatoire) |
| Métriques agrégées | 5 ans |
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
Limite importante concernant les données partagées : le droit à l'effacement et le droit d'opposition ne s'appliquent pas aux données que vous avez explicitement et irrévocablement partagées avec la recherche médicale, conformément à l'article 17(3)(d) du RGPD (traitement à des fins de recherche scientifique dans l'intérêt public).
Pour exercer vos droits : dpo@mnemis.health — Réponse sous 30 jours. En cas de réclamation non résolue, vous pouvez saisir la CNIL : www.cnil.fr
Mnémis utilise un nombre minimal de cookies, strictement nécessaires au fonctionnement de la plateforme :
Ces cookies étant strictement nécessaires, ils ne requièrent pas votre consentement préalable conformément à la directive ePrivacy.
Les données de santé (documents médicaux, profils patients) sont hébergées exclusivement en France et ne font l'objet d'aucun transfert international.
Certaines données non sensibles transitent par des sous-traitants américains (emails, SMS, résumés IA anonymisés). Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne, conformément à l'article 46 du RGPD.
Mnémis évalue régulièrement l'adéquation des garanties offertes par ses sous-traitants américains et prévoit de privilégier des alternatives européennes lorsqu'elles offrent des garanties équivalentes.
Pour toute question relative à la protection de vos données personnelles :