Ressentia← Retour à l'accueil

Politique de confidentialité

Dernière mise à jour : 11 avril 2026

La présente politique de confidentialité décrit la manière dont [NOM_ENTREPRISE], éditrice du service Ressentia, collecte, utilise, conserve et protège les données à caractère personnel, en conformité avec le Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et la loi n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés).

Ressentia est un service destiné aux professionnels de santé mentale (psychologues, psychiatres, psychothérapeutes) qui facilite la passation et l'analyse de questionnaires cliniques via une assistance par intelligence artificielle. À ce titre, Ressentia traite des données de santé à caractère personnel, qui constituent une catégorie particulière de données au sens de l'article 9 du RGPD.

1. Responsabilités — Responsable du traitement et sous-traitant

Point essentiel pour comprendre vos obligations et nos rôles respectifs :

  • Le Praticien (psychologue, psychiatre ou professionnel de santé utilisateur de Ressentia) est le Responsable du traitement(Data Controller) des données cliniques de ses patients. C'est lui qui détermine les finalités et les moyens du traitement dans le cadre de sa relation thérapeutique avec le patient, recueille le consentement éclairé du patient, et répond aux demandes d'exercice des droits.
  • Ressentia — édité par [NOM_ENTREPRISE] — agit en qualité de Sous-traitant(Data Processor) au sens de l'article 28 du RGPD. Ressentia traite les données cliniques uniquement sur instruction documentée du Praticien, dans le cadre strict défini par la présente politique et par les Conditions Générales d'Utilisation.

Un accord de sous-traitance (Data Processing Agreement — DPA) encadre cette relation et est mis à disposition de chaque praticien abonné sur demande.

Concernant les données de compte du Praticien lui-même (nom, email, facturation, identifiants de connexion), [NOM_ENTREPRISE] agit en qualité de Responsable du traitement.

2. Données collectées

2.1 Données relatives au compte Praticien

Responsable : [NOM_ENTREPRISE]

  • Nom, prénom
  • Adresse électronique professionnelle
  • Mot de passe (stocké sous forme de hash chiffré — jamais en clair)
  • Nom du cabinet (optionnel)
  • Numéro RPPS (optionnel)
  • Données de facturation et de paiement (traitées par notre prestataire Stripe)
  • Données de connexion (logs techniques, adresse IP, horodatage)

2.2 Données cliniques

Responsable : le Praticien — Sous-traitant : [NOM_ENTREPRISE]

  • Identifiant pseudonymisé du patient
  • Réponses aux questionnaires cliniques (EQ-40 et autres outils psychométriques)
  • Scores calculés et analyses générées par l'intelligence artificielle
  • Notes cliniques associées à la session, le cas échéant
  • Historique longitudinal des passations

Ressentia n'exige pasl'enregistrement d'informations nominatives directes sur le patient (nom, prénom, date de naissance complète). Les praticiens sont invités à utiliser un système de pseudonymisation cohérent avec leurs obligations déontologiques.

3. Finalités du traitement

Les données sont collectées et traitées exclusivement pour les finalités suivantes :

FinalitéBase légale (RGPD)
Permettre au praticien d'administrer et d'analyser des questionnaires cliniquesExécution du contrat (art. 6.1.b)
Fournir une aide à l'évaluation clinique via analyse par IAExécution du contrat + consentement du patient recueilli par le praticien (art. 9.2.a)
Gestion du compte et de l'abonnement du praticienExécution du contrat (art. 6.1.b)
Facturation et comptabilitéObligation légale (art. 6.1.c)
Sécurité, prévention de la fraude, logs techniquesIntérêt légitime (art. 6.1.f)
Amélioration du serviceIntérêt légitime (art. 6.1.f)

Engagement fondamental : Les données cliniques des patients ne sont jamais utiliséesà des fins commerciales, publicitaires, d'entraînement de modèles d'intelligence artificielle tiers, de revente, ou de toute autre finalité étrangère à l'aide à l'évaluation clinique du praticien.

4. Sécurité des données cliniques

La sécurité des données de santé traitées via Ressentia constitue une priorité absolue. Les mesures suivantes sont mises en œuvre :

  • Chiffrement en transit : toutes les communications entre le navigateur du praticien et nos serveurs s'effectuent via le protocole HTTPS (TLS 1.2 minimum).
  • Chiffrement au repos : les données cliniques stockées en base de données sont chiffrées.
  • Hébergement certifié HDS : les données de santé sont hébergées exclusivement en France, auprès d'un hébergeur disposant de la certification Hébergeur de Données de Santé (HDS) conformément à l'article L. 1111-8 du Code de la santé publique.
  • Authentification forte : accès au service protégé par mot de passe robuste, hashé et salé.
  • Cloisonnement : chaque praticien n'a accès qu'à ses propres données patients ; aucune donnée n'est partagée entre comptes.
  • Journalisation : les accès et modifications sont tracés pour permettre la détection d'anomalies.
  • Sauvegardes chiffrées : des sauvegardes régulières sont effectuées et stockées de manière chiffrée.
  • Minimisation : seules les données strictement nécessaires aux finalités décrites sont collectées.

Engagement de non-réutilisation: les données cliniques sont exclusivement utilisées pour fournir au praticien l'aide à l'évaluation qu'il a sollicitée. Elles ne sont ni exploitées, ni analysées, ni partagées à d'autres fins que celles strictement nécessaires à l'exécution du service.

5. Durée de conservation

Catégorie de donnéesDurée de conservation
Données du compte PraticienPendant toute la durée de l'abonnement, puis supprimées 12 mois après la résiliation
Données cliniques des patientsPendant la durée définie par le Praticien (Responsable du traitement), dans la limite des durées recommandées par les instances professionnelles (ex. : 20 ans pour le dossier psychologique selon la CNIL et les recommandations déontologiques)
Données de facturation10 ans (obligation comptable et fiscale — article L. 123-22 du Code de commerce)
Logs techniques et de connexion12 mois maximum (recommandation CNIL)

À l'expiration de ces durées, les données sont supprimées de manière sécurisée ou anonymisées de façon irréversible.

6. Destinataires et sous-traitants ultérieurs

Les données sont accessibles aux seules personnes habilitées de [NOM_ENTREPRISE]et aux sous-traitants ultérieurs suivants, strictement encadrés par des accords conformes à l'article 28 du RGPD :

  • [NOM_HEBERGEUR_HDS] — Hébergement des données (certifié HDS, France)
  • Stripe Payments Europe, Ltd. — Traitement des paiements et des abonnements (Irlande)
  • [FOURNISSEUR_IA]— Traitement des requêtes d'analyse par intelligence artificielle, sous accord de confidentialité et de non-réutilisation des données

Aucune donnée clinique n'est transférée à des tiers à des fins commerciales ou publicitaires.

7. Transferts hors Union européenne

Les données cliniques sont hébergées et traitées exclusivement au sein de l'Union européenne. Dans l'hypothèse où un sous-traitant ultérieur nécessiterait un transfert hors UE, celui-ci serait strictement encadré par les Clauses Contractuelles Types de la Commission européenne et par des mesures techniques complémentaires (chiffrement, pseudonymisation).

8. Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD, toute personne concernée dispose des droits suivants :

  • Droit d'accèsobtenir la confirmation que ses données sont traitées et en obtenir une copie
  • Droit de rectificationcorriger des données inexactes ou incomplètes
  • Droit à l'effacement(« droit à l'oubli ») — demander la suppression de ses données dans les conditions prévues à l'article 17
  • Droit à la limitation du traitementobtenir la suspension du traitement dans certains cas
  • Droit à la portabilitérecevoir ses données dans un format structuré et lisible par machine
  • Droit d'oppositions'opposer à un traitement pour motif légitime
  • Droit de retirer son consentementà tout moment, sans remise en cause de la licéité des traitements antérieurs
  • Droit de définir des directives post-mortemrelatives au sort des données après le décès

Modalités d'exercice des droits :

  • Patients : les patients exercent leurs droits directement auprès du Praticien (Responsable du traitement), qui est seul habilité à les identifier et à donner suite à leur demande dans le cadre de la relation thérapeutique.
  • Praticiens : les praticiens exercent leurs droits relatifs à leurs propres données de compte en écrivant à : [EMAIL_DPO].

Délai de réponse : un mois à compter de la réception de la demande, conformément à l'article 12 du RGPD.

9. Délégué à la protection des données (DPO)

Pour toute question relative à la protection de vos données personnelles, vous pouvez contacter notre référent protection des données :

Courriel : [EMAIL_DPO]

Adresse postale : [ADRESSE_DPO]

10. Droit d'introduire une réclamation

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous disposez du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

Site : www.cnil.fr

Adresse : 3 Place de Fontenoy — TSA 80715 — 75334 PARIS CEDEX 07

Téléphone : 01 53 73 22 22

11. Cookies

Ressentia utilise uniquement des cookies strictement nécessaires au fonctionnement du service (session d'authentification). Aucun cookie de mesure d'audience ou publicitaire n'est déposé sans votre consentement.

12. Modifications de la politique

La présente politique de confidentialité peut être mise à jour pour refléter les évolutions légales, techniques ou du service. Toute modification substantielle sera notifiée aux praticiens utilisateurs par courriel ou par une notification dans l'application.