Documents légaux

FR – Version contractuelle

1. Identité du responsable de traitement et du DPO

Selon les cas, Helmai agit :

• comme responsable de traitement pour la gestion du Site, des comptes administrateurs, des prospects, de la facturation, du support et des logs de sécurité ;
• comme sous-traitant pour les Données de Santé traitées pour le compte des Clients dans le cadre du Service.

Helmai est une société de droit français. Pour toute question relative à la protection des données, vous pouvez contacter notre équipe à l'adresse : privacy@helmai.com.

2. Champ d'application de la politique

La présente Politique décrit les traitements mis en œuvre :

• lors de la navigation sur les sites et interfaces Helmai (site vitrine, application web) ;
• lors de la création et de l'utilisation de Comptes pour les Clients et Utilisateurs ;
• dans le cadre du support et de la relation commerciale ;
• lors de l'utilisation du Service pour traiter des Données de Santé des patients pour le compte des Clients.

3. Catégories de données traitées

Helmai traite notamment les catégories de données suivantes :

3.1 Données relatives aux Clients et Utilisateurs

• identité et coordonnées professionnelles (nom, prénom, fonction, email professionnel, téléphone, structure, spécialité) ;
• données de connexion et de sécurité (logs, journaux d'accès, événements techniques) ;
• préférences et paramétrages du compte ;
• échanges avec le support.

3.2 Données relatives aux Patients (dans le cadre du Service)

• données d'identification fournies par le Client (identifiant patient, initiales, éventuellement nom/prénom selon paramétrage) ;
• données issues des appels ou messages : voix, transcription, résumé, symptômes décrits, contexte clinique ;
• actions internes au cabinet (création de rendez-vous, tâches, messages internes).

3.3 Données de navigation sur les sites

• cookies et autres traceurs strictement nécessaires au fonctionnement (authentification, sécurité, choix de langue) ;
• le cas échéant, mesure d'audience (voir Politique Cookies) ;
• logs techniques (adresses IP, informations de terminal, date et heure de connexion).

4. Finalités et bases légales

Les principaux traitements mis en œuvre par Helmai et leurs bases légales sont :

4.1 Gestion des comptes et fourniture du Service

• Finalités : création et gestion des comptes, fourniture du Service, assistance, facturation.
• Base légale : exécution du contrat (article 6.1.b RGPD).

4.2 Traitement des Données de Santé pour le compte des Clients

• Finalités : triage et structuration des demandes patients, amélioration de la traçabilité interne, suivi des tâches.
• Base légale : déterminée par le Client (consentement du patient, prise en charge médicale, intérêt public dans le domaine de la santé, etc.), conformément aux articles 6 et 9 du RGPD et au droit national. Helmai agit en sous-traitant.

4.3 Sécurité, journalisation et prévention des abus

• Finalités : sécurisation du Service, détection d'incidents, prévention de l'usage frauduleux.
• Base légale : intérêt légitime de Helmai (article 6.1.f RGPD).

4.4 Prospection et communication professionnelle

• Finalités : information sur les nouveautés du Service, invitations à des webinaires, campagnes ciblées B2B.
• Base légale : intérêt légitime (B2B) ou consentement lorsque requis par la réglementation.

4.5 Amélioration du Service et statistiques

• Finalités : amélioration des performances, ergonomie, qualité des algorithmes, statistiques d'usage.
• Base légale : intérêt légitime, sous réserve de garantir des analyses agrégées et anonymisées lorsque possible.

5. Hébergement, localisation et transferts

Les données sont principalement hébergées dans l'Union européenne, sur l'infrastructure AWS (région EU – Paris, eu-west-3). Helmai vise une conformité aux exigences applicables à l'hébergement de données de santé (HDS). Les informations à jour sur le périmètre de cette conformité et, le cas échéant, sur la certification de l'hébergeur sont communiquées sur demande ou publiées sur le Site.

Helmai n'effectue pas de transferts de Données de Santé hors de l'Espace économique européen sans mettre en place les garanties appropriées (clauses contractuelles types, mesures complémentaires) et sans informer préalablement le Client.

6. Destinataires et sous-traitants

Les données peuvent être accessibles à :

• l'équipe interne de Helmai (support, technique, produit, sécurité), strictement dans la limite de leurs fonctions ;
• les sous-traitants suivants, dans la limite de ce qui est nécessaire : hébergeur cloud (AWS), prestataire de téléphonie / VoIP, prestataires d'outils internes (monitoring, logs, gestion de tickets, etc.).

Une liste à jour des sous-traitants principaux, avec leur rôle et leur localisation, est mise à disposition du Client sur demande et/ou via une page dédiée.

Helmai ne vend pas les données à des tiers et ne les exploite pas pour de la publicité.

7. Durées de conservation

Les données sont conservées pour des durées limitées, proportionnées aux finalités :

• données de compte et de facturation : pendant la durée du contrat, puis archivage légal (jusqu'à 10 ans pour certaines pièces comptables) ;
• logs de sécurité : généralement jusqu'à 12 mois, sauf nécessité d'extension en cas d'incident ;
• Données de Santé (transcriptions, résumés, tâches) : pendant la durée du contrat, puis selon les paramétrages définis avec le Client (réversibilité, suppression ou anonymisation) et les obligations légales du Client en matière de dossier patient.

8. Mesures de sécurité

Helmai met en œuvre des mesures de sécurité adaptées, parmi lesquelles :

• chiffrement des données en transit (TLS) et au repos lorsque applicable ;
• contrôle strict des accès (authentification, gestion des rôles, revues régulières) ;
• journalisation des accès et des actions sensibles ;
• sauvegardes régulières et tests de restauration ;
• procédures internes de gestion des incidents de sécurité.

9. Droits des personnes concernées

Conformément au RGPD et à la loi Informatique et Libertés, toute personne concernée dispose, dans les conditions prévues par les textes :

• d'un droit d'accès, de rectification et de mise à jour de ses données ;
• d'un droit d'effacement (dans les limites légales) ;
• d'un droit à la limitation du traitement ;
• d'un droit d'opposition, pour des motifs légitimes, à certains traitements ;
• d'un droit à la portabilité des données, lorsque applicable ;
• du droit de définir des directives post-mortem.

Pour les Données de Santé, les patients doivent s'adresser en priorité au cabinet (Client), en tant que responsable de traitement. Helmai assistera le Client dans la réponse à ces demandes, selon les termes du DPA.

Pour les traitements dont Helmai est responsable de traitement (prospects, comptes administrateurs, navigation sur le Site), les demandes peuvent être adressées à privacy@helmai.com ou par courrier postal à l'adresse du siège.

Les personnes concernées disposent également du droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr).

10. Violations de données

En cas de violation de Données Personnelles, Helmai notifiera le Client dans les délais requis, en lui fournissant les informations disponibles pertinentes, afin qu'il puisse, le cas échéant, notifier la violation à l'autorité de contrôle compétente (CNIL) et aux personnes concernées. Helmai documente les violations et les mesures correctrices mises en œuvre.

11. Accord de traitement des données (synthèse DPA)

Dans ses relations B2B, Helmai met à disposition un accord de traitement des données conforme à l'article 28 du RGPD, annexé au contrat ou au bon de commande. Cet accord précise notamment :

• la nature et la finalité des traitements ;
• la durée du traitement ;
• les catégories de données et de personnes concernées ;
• les obligations de Helmai en tant que sous-traitant (confidentialité, sécurité, assistance au Client, tenue d'un registre, notification des violations, suppression ou restitution des données à la fin du contrat, possibilité d'audit).

En cas de contradiction entre la présente Politique et le DPA signé, ce dernier prévaut pour ce qui concerne les traitements réalisés pour le compte du Client.

12. Mise à jour de la politique

La présente Politique peut être mise à jour pour tenir compte des évolutions des traitements ou de la réglementation. Toute version mise à jour sera publiée sur le Site avec sa date d'entrée en vigueur. En cas de modification substantielle, Helmai pourra en informer les Clients par tout moyen approprié.