← Retour à l'accueil

Politique de confidentialité

Redactys — service édité par Redactys. Version du 12 mai 2026.

En bref

Redactysest un outil d'aide à la rédaction de bilans psychomoteurs. La praticienne utilisatrice reste responsable de traitement des données de ses patients ; Redactys intervient comme sous-traitant au sens de l'article 28 du RGPD. Aucune donnée patient n' est stockée sur les serveurs d'Redactys; en revanche, les notes saisies transitent ponctuellement vers l' API d'un prestataire de traitement par IA (États-Unis) pour la génération du texte. Ce point est détaillé ci-dessous.

Les conditions précises sont décrites dans l'accord de sous-traitance (DPA), accepté lors de la création du compte praticien.

Qui est responsable de quoi ?

  • La praticienneest responsable de traitement des données patient. Elle détermine ce qu'elle saisit dans l'outil et conserve la maîtrise du dossier patient sur ses propres supports (logiciel métier, dossier papier).
  • Redactysest sous-traitant : il met à disposition l'outil et traite les données uniquement sur instruction documentée de la praticienne.
  • Un prestataire de traitement par IA (États-Unis) est sous-traitant ultérieur : il génère les textes à partir des notes pseudonymisées. Transfert encadré par les Clauses Contractuelles Types (CCT) de la Commission européenne et le Data Privacy Framework.
  • D'autres sous-traitants techniquesinterviennent (hébergement dans l'Union européenne, acheminement des e-mails de sécurité) : ils ne reçoivent que des données pseudonymisées ou techniques, jamais de données patient identifiantes. La liste nominative est communiquée à la praticienne sur simple demande.

Base légale du traitement

Le traitement des données patient s'inscrit dans la mission de soin du praticien psychomotricien (art. 6.1.c — obligation légale et art. 9.2.h — soins de santé par un professionnel soumis au secret professionnel).

Le traitement des données du compte praticien (e-mail, mot de passe, nom, prénom, profession) repose sur l'exécution du contrat de service entre la praticienne et Redactys(art. 6.1.b — exécution d'un contrat).

Quelles données et où vivent-elles ?

Ce qu'Redactys stocke (côté serveur) :

  • compte praticien : e-mail, mot de passe haché, nom, prénom, profession, date de création ;
  • statistiques d'usage anonymisées : nombre de générations par module et dates (jamais le contenu) ;
  • date d'acceptation du DPA et de la politique de confidentialité.

Ce qu'Redactys ne stocke jamais :

  • notes cliniques saisies dans les formulaires ;
  • textes générés par l'IA (anamnèses, corps de bilan, conclusions) ;
  • fichiers PDF importés (exports de cotation) ;
  • retours de la relecture Maylis ;
  • tout texte contenant des informations sur un patient.

Où vivent vos données patient :

  • dans le localStoragede votre navigateur, sur votre poste de travail uniquement, jusqu'à ce que vous cliquiez sur « Réinitialiser » ;
  • de manière transitoire dans la mémoire vive (RAM) des serveurs d'Redactys le temps de traiter une requête, sans aucune persistance ;
  • de manière transitoire chez le prestataire de traitement par IA, le temps de générer la réponse (voir paragraphe suivant).

Sous-traitance IA (États-Unis et, en repli, Union européenne)

Pour générer les textes, Redactysappelle l'API d'un prestataire de traitement par IA générative. À chaque génération, les notes pseudonymisées saisies par la praticienne sont envoyées à ce prestataire, qui renvoie le texte produit.

En cas d'indisponibilité du prestataire principal, un prestataire de repli situé dans l'Union européenne (hébergement UE) peut assurer la génération, sur les mêmes notes pseudonymisées.

Durée de conservation chez le prestataire :30 jours par défaut, au titre d'une politique anti-abus propre au fournisseur. Ces données sont exclusivement des notes pseudonymisées (aucune donnée identifiant directement un patient) : la rétention ne porte donc jamais sur des données patient brutes. Le prestataire s'engage contractuellement à ne pas utiliser les données soumises via son API pour entraîner ses modèles.

Transfert hors UE :ce flux constitue un transfert de données vers les États-Unis, encadré par les Clauses Contractuelles Types (CCT) de la Commission européenne (décision d'exécution 2021/914).

Données de santé concernant des mineurs — protections renforcées

Les bilans psychomoteurs portent majoritairement sur des mineurs et contiennent des données de santéau sens de l'article 9 du RGPD. À ce titre :

  • aucune donnée patient n'est jamais écrite sur disque par Redactys (architecture zero storage) ;
  • aucun collaborateur d'Redactysn'a accès en lecture aux notes cliniques ni aux textes générés ;
  • la praticienne peut, à tout moment, purger les données stockées localement dans son navigateur depuis l'interface ;
  • l'information des patients et de leurs représentants légaux quant à l'usage d'un outil d'IA générative relève de la praticienne, conformément aux articles 13 et 14 du RGPD.

Durées de conservation

  • Données patient (notes et textes générés): 0 sur les serveurs d'Redactys. 30 jours chez le prestataire de traitement par IA (puis 0 après activation du ZDR). Sur votre poste : tant que vous ne cliquez pas sur « Réinitialiser ».
  • Compte praticien : conservé pendant toute la durée de votre abonnement, puis supprimé sous 30 jours après la résiliation.
  • Compteurs d'usage anonymisés : conservés sous forme agrégée à des fins statistiques internes.

Cookies

Seuls des cookies techniques strictement nécessaires à l'authentification (session sécurisée) sont utilisés. Aucun cookie de tracking, d'analyse ou publicitaire.

Liste des sous-traitants

  • Hébergement et base de données — Union européenne ; aucune donnée patient stockée.
  • Traitement par intelligence artificielle— génération des textes à partir de données pseudonymisées (Union européenne et États-Unis, CCT + Data Privacy Framework, zéro-rétention en cours d'activation).
  • Acheminement d'e-mails de sécurité — États-Unis (CCT + Data Privacy Framework) ; e-mail du compte et adresse IP uniquement, aucune donnée patient.
  • La liste nominative des sous-traitants est communiquée à la praticienne sur simple demande.

Vos droits (RGPD)

Conformément aux articles 12 à 22 du RGPD, vous disposez sur vos données personnelles d'un droit :

  • d'accès et de copie ;
  • de rectification ;
  • d'effacement(« droit à l'oubli ») ;
  • à la limitation du traitement ;
  • à la portabilité ;
  • d'opposition.

Pour exercer ces droits sur les données de votre compte praticien, écrivez à [email protected]. Pour les droits concernant les patients, la demande doit être adressée directement à la praticienne, qui détient le dossier patient.

Vous disposez également du droit d'introduire une réclamation auprès de la CNIL.

Intelligence artificielle et information des patients

Redactysutilise l'IA pour aider les praticien·nes à rédiger leurs bilans. Les notes de consultation sont anonymisées côté client avant tout envoi au système d'IA. Aucune donnée identifiante n'est stockée sur les serveurs d'Redactys.

Conformément à la recommandation 7.2 du référentiel HAS-CNIL (février 2026), chaque bilan exporté contient une mention informant le patient de l'assistance de l'IA.

Droit d'opposition :tout patient peut s'opposer à l'utilisation de l'IA en informant sa praticienne. Pour en savoir plus : information à destination des patients.

Risques spécifiques liés à l’IA générative

Conformément aux recommandations CNIL (fiche 8 — systèmes d'IA), nous vous informons des risques spécifiques suivants.

Risque de régurgitation

Les modèles d'IA générative peuvent théoriquement reproduire des fragments de données issus de leur entraînement (phénomène dit de « régurgitation »). Dans notre architecture, ce risque est fortement atténué : les notes de consultation sont pseudonymisées en 7 étapes dans le navigateuravant tout envoi au modèle. Aucune donnée identifiante patient ne quitte votre poste. Le prestataire de traitement par IA s'engage contractuellement à ne pas utiliser les données soumises via son API pour entraîner ses modèles.

Mécanismes de recours

Si vous observez un comportement inattendu du système (production d' un contenu suspect ou identifiant), signalez-le immédiatement :

  • à votre praticienne (responsable de traitement des données patient) ;
  • ou directement à [email protected].

Nous nous engageons à traiter tout signalement dans les 72 heures et à notifier la CNIL si une violation de données est caractérisée.

Point de contact RGPD

Pour toute question relative à la protection de vos données :

[email protected]

Dernière mise à jour : 12 mai 2026