SaadFlowConnexion

Politique de confidentialité

Dernière mise à jour : 14 juin 2026

La présente politique décrit comment SaadFlow, édité par [RAISON SOCIALE DE L'ÉDITEUR], traite les données à caractère personnel, conformément au Règlement (UE) 2016/679 (« RGPD ») et à la loi « Informatique et Libertés ». SaadFlow traite des données de santé ; leur protection fait l'objet de mesures renforcées.

1. Rôles (responsable / sous-traitant)

Pour les données des bénéficiaires saisies par un SAAD, le SAAD est responsable de traitement et [RAISON SOCIALE DE L'ÉDITEUR] agit comme sous-traitant (art. 28 RGPD), sur instructions documentées, encadré par un accord de traitement (DPA). Pour les données de gestion du compte et du site, [RAISON SOCIALE DE L'ÉDITEUR] est responsable de traitement.

2. Données traitées

  • Bénéficiaire : identité, coordonnées, situation familiale et de logement ; données de santé et d'autonomie (variables AGGIR, GIR estimé, éléments de dépendance) ; revenus et éléments de patrimoine déclaratifs ; pièces justificatives téléversées.
  • Comptes professionnels (coordinatrices, admins) : nom, email, rôle, organisation, journal d'activité.
  • Données techniques minimales nécessaires au fonctionnement (logs applicatifs, traces d'audit).

3. Finalités et bases légales

  • Monter et suivre les dossiers d'aide — exécution de la mission du SAAD / du contrat.
  • Recueil des informations auprès de la famille — consentement de la personne concernée ou de son aidant (recueilli avant le questionnaire) et mission d'intérêt public d'aide sociale.
  • Sécurité, prévention des abus et traçabilité — intérêt légitime et obligations légales.

Le traitement des données de santé repose sur les conditions de l'art. 9 RGPD (notamment consentement et/ou nécessité au titre de la prise en charge sociale).

4. Hébergement des données de santé (HDS)

Les données sont hébergées en Union européenne chez [HÉBERGEUR — ex. OVHcloud / Scaleway], hébergeur certifié HDS (Hébergeur de Données de Santé) : [RÉFÉRENCE CERTIFICATION HDS DE L'HÉBERGEUR].

5. Destinataires et sous-traitants (dont IA)

Les données ne sont accessibles qu'aux personnes habilitées du SAAD concerné (cloisonnement par organisation) et aux sous-traitants techniques strictement nécessaires. Le service recourt à des modèles d'intelligence artificielle pour la conversation d'accueil, l'extraction de pièces et la rédaction de courriers :

  • Mistral AI (France, Union européenne) — fournisseur par défaut, traitement au sein de l'Union européenne (souveraineté).
  • Anthropic (États-Unis) — utilisé pour certaines tâches complexes. Ce fournisseur est établi hors UE (États-Unis) : un tel recours constitue un transfert hors UE, encadré par des garanties appropriées (clauses contractuelles types de la Commission européenne et mesures complémentaires).

Minimisation : seules les données strictement nécessaires à la tâche sont transmises aux modèles ; le nom du bénéficiaire est pseudonymisé chaque fois que possible. Les appels sont tracés (sans données inutiles). Aucune donnée n'est utilisée pour entraîner des modèles tiers.

6. Durées de conservation

Les données des dossiers sont conservées le temps nécessaire à la prise en charge puis archivées ou supprimées selon les durées légales applicables au SAAD (responsable de traitement). À la fin du contrat, les données sont exportées sur demande puis supprimées ou anonymisées. Les liens famille expirent automatiquement (SaadFlow fixe une durée de validité limitée).

7. Sécurité

  • Chiffrement des données sensibles au repos et chiffrement des échanges (TLS) ;
  • contrôle d'accès par rôle (RBAC) et cloisonnement strict par organisation ;
  • journal d'audit des accès et actions sur les données des bénéficiaires ;
  • limitation des données envoyées aux services tiers et pseudonymisation.

8. Vos droits

Conformément au RGPD, les personnes concernées disposent des droits d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité. Le service permet l'export et la suppression (avec effacement en cascade) des données d'un bénéficiaire.

Pour exercer ces droits, contactez le SAAD (responsable de traitement) ou notre délégué à la protection des données : [DPO@VOTRE-DOMAINE.FR]. Vous pouvez introduire une réclamation auprès de la CNIL (www.cnil.fr).

9. Cookies

SaadFlow n'utilise que des cookies strictement nécessaires au fonctionnement (cookie de session d'authentification). Aucun cookie publicitaire ni de mesure d'audience tierce n'est déposé ; aucun bandeau de consentement n'est donc requis à ce titre.

10. Contact

Délégué à la protection des données : [DPO@VOTRE-DOMAINE.FR]. Éditeur : [RAISON SOCIALE DE L'ÉDITEUR], [ADRESSE DU SIÈGE SOCIAL].