AKC PARTNERS – Objectif Santé+ — Article 30 RGPD
| Dénomination | AKC PARTNERS |
| Marque | Objectif Santé+ |
| RCS | 101 800 464 R.C.S. Nanterre |
| Adresse | 20 Rue des Petites Murailles, 92230 Gennevilliers |
| Contact | contact@objectifsante.net |
| DPO | KEDDARI Imad, Gabriel — dpo@objectifsante.net |
| Finalité | Collecte et traitement des réponses aux questionnaires de prévention santé pour générer un bilan personnalisé (programme Mon Bilan Prévention) |
| Base légale | Consentement explicite du patient (RGPD art. 9.2.a) |
| Catégories de personnes | Patients (particuliers, tranches d'âge 18-25, 45-50, 60-65, 70-75 ans) |
| Catégories de données | Nom, prénom, date de naissance, NIR (numéro de sécurité sociale), données de santé (habitudes de vie, antécédents, biométrie), réponses aux questionnaires |
| Destinataires | Professionnel de santé / chargé de prévention (utilisateur de la plateforme), sondeur rattaché, administrateurs techniques (accès restreint et tracé), patient (espace personnel) |
| Transferts hors UE | Aucun. Hébergement OVH France. L'IA OpenAI traite uniquement les réponses anonymisées (sans données d'identification directe) |
| Durée de conservation | Jusqu'à suppression demandée par le patient ou par l'organisation professionnelle |
| Mesures de sécurité | Chiffrement AES-256-GCM des fichiers, SQLCipher pour la BDD, Fernet pour les données personnelles (NIR, email, noms), HTTPS, sessions sécurisées |
| Finalité | Création et gestion des comptes des professionnels de santé et chargés de prévention utilisant la plateforme |
| Base légale | Exécution du contrat de service (RGPD art. 6.1.b) |
| Catégories de personnes | Utilisateurs professionnels (médecins, infirmiers, chargés de prévention, sondeurs) |
| Catégories de données | Nom d'utilisateur, email, mot de passe haché (bcrypt), organisation, rémunération, date de création |
| Destinataires | Administrateurs de la plateforme, organisation partenaire |
| Transferts hors UE | Aucun |
| Durée de conservation | Durée de la relation contractuelle + 3 ans (prescription civile) |
| Mesures de sécurité | Mots de passe hachés bcrypt, contrôle d'accès par rôle (RBAC), sessions expirables |
| Finalité | Permettre aux patients d'accéder à leurs bilans de santé via un espace sécurisé |
| Base légale | Consentement et exécution du service (RGPD art. 6.1.a et 6.1.b) |
| Catégories de personnes | Patients ayant reçu un bilan Objectif Santé+ |
| Catégories de données | Email, nom, prénom (chiffrés Fernet), mot de passe haché, date de création, dernière connexion |
| Destinataires | Le patient lui-même uniquement |
| Transferts hors UE | Aucun |
| Durée de conservation | Jusqu'à suppression du compte par le patient (droit à l'effacement) |
| Mesures de sécurité | Chiffrement Fernet des données personnelles, tokens à usage unique (14 jours), session timeout 30 min |
| Finalité | Sécurité du système, détection d'intrusion, traçabilité réglementaire des accès aux données de santé |
| Base légale | Obligation légale et intérêt légitime sécurité (RGPD art. 6.1.c et 6.1.f) |
| Catégories de personnes | Tous les utilisateurs de la plateforme (professionnels, patients) |
| Catégories de données | Identifiant utilisateur, type d'action, adresse IP, horodatage |
| Destinataires | Administrateurs système uniquement |
| Transferts hors UE | Aucun |
| Durée de conservation | 12 mois (suppression automatique) |
| Mesures de sécurité | Accès restreint aux super-admins, export CSV sécurisé, anonymisation automatique lors de la suppression d'un compte |
| Finalité | Génération automatique du bilan de prévention santé personnalisé via l'API OpenAI |
| Base légale | Consentement et exécution du service (RGPD art. 9.2.a) |
| Catégories de personnes | Patients dont le bilan est généré |
| Catégories de données | Réponses anonymisées aux questionnaires (sans nom, prénom, NIR, email) |
| Destinataires | API OpenAI (traitement uniquement, pas de stockage) |
| Transferts hors UE | Oui — données anonymisées transmises à OpenAI (USA). Couvert par les clauses contractuelles types (CCT). Pas de données d'identification directe transmises. |
| Durée de conservation | Aucune conservation par OpenAI (API stateless) |
| Mesures de sécurité | Anonymisation préalable, transmission HTTPS, pas de données identifiantes |
| Finalité | Envoi du bilan de prévention au patient par email avec lien sécurisé vers l'espace patient |
| Base légale | Consentement et exécution du service (RGPD art. 6.1.a et 6.1.b) |
| Catégories de personnes | Patients ayant fourni une adresse email |
| Catégories de données | Adresse email, prénom, lien unique sécurisé |
| Destinataires | Le patient uniquement. Serveur SMTP Gmail (Google) |
| Transferts hors UE | Transit via Gmail (Google, USA). Données en transit chiffré TLS uniquement. |
| Durée de conservation | Logs d'envoi : 12 mois. Email chez le patient : sous sa responsabilité |
| Mesures de sécurité | Lien unique à usage limité (14 jours), SMTP avec authentification, mot de passe application |
| Mesure | Description | Standard |
|---|---|---|
| Chiffrement données au repos | AES-256-GCM (fichiers questionnaires), SQLCipher (BDD), Fernet (PII) | NIST SP 800-111 |
| Chiffrement données en transit | HTTPS / TLS 1.2+ | RGPD art. 32 |
| Contrôle d'accès | RBAC (5 rôles : Super Admin, Admin, Organisation, User, Sondeur, Patient) | ISO 27001 |
| Authentification | Mots de passe hachés bcrypt, sessions sécurisées avec expiration | OWASP |
| Hébergement | OVH SAS, France — certifié HDS (Hébergement Données de Santé) | Code Santé art. L.1111-8 |
| Traçabilité | Logs complets de toutes les actions (IP, action, horodatage, utilisateur) | RGPD art. 5.2 |
Ce registre est tenu conformément à l'article 30 du RGPD. Il est disponible sur demande
auprès de la CNIL ou de toute autorité de contrôle compétente.
Contact DPO : dpo@objectifsante.net —
AKC PARTNERS, 20 Rue des Petites Murailles, 92230 Gennevilliers