Politique de confidentialité
Dernière mise à jour : 24 mai 2026
Parato (« nous ») prend la protection de vos données très au sérieux, d'autant plus que vous nous confiez des données de santé (symptômes, médicaments, antécédents, résultats d'analyses). Cette politique explique ce que nous collectons, pourquoi, où c'est stocké, et comment vous gardez le contrôle.
Texte applicable : Règlement (UE) 2016/679 (RGPD) et Loi Informatique et Libertés (modifiée 2018).
Responsable du traitement
Parato est édité par Khalid Ksouri (EI), contact : contact@parato.app. Les informations légales complètes sont sur la page Mentions légales.
Données collectées
| Catégorie | Exemples | Base légale |
|---|---|---|
| Identité & auth | Email, nom (optionnel), sessions | Exécution du contrat (art. 6.1.b) |
| Profil médical | Âge, sexe, taille, poids, antécédents, allergies, médicaments | Consentement explicite (art. 9.2.a, données sensibles) |
| Données de santé | Symptômes, consultations préparées, résultats labo, ordonnances scannées, suivi quotidien | Consentement explicite (art. 9.2.a) |
| Paiement | Aucune carte stockée chez nous — traité par Lemon Squeezy | Exécution du contrat |
| Technique | Logs serveur anonymisés (IP masquée), erreurs, performance | Intérêt légitime (art. 6.1.f) |
Finalités
- Préparer vos consultations médicales via IA
- Suivre vos symptômes, médicaments et résultats dans le temps
- Vous envoyer des rappels (médicaments, RDV) si vous y consentez
- Améliorer le service (statistiques anonymes agrégées)
- Respecter nos obligations légales (facturation, fiscal)
Nous n'utilisons jamais vos données à des fins publicitaires. Aucune donnée n'est vendue à des tiers.
Sous-traitants (subprocessors)
| Service | Rôle | Hébergement |
|---|---|---|
| Supabase (PostgreSQL) | Base de données | UE (Francfort, eu-central-1) |
| Vercel | Hébergement web + serverless | Multi-région (UE prioritaire) |
| Vercel Analytics & Speed Insights | Mesure d'audience et performance — cookieless, sans donnée personnelle identifiante | UE |
| Resend | Envoi des emails transactionnels | UE |
| Sentry | Capture des erreurs techniques applicatives (stacktraces). Données PII scrubbées avant envoi (emails masqués, tokens redactés). Pas de session replay, pas de tracking utilisateur. | UE (Frankfurt) |
| Lemon Squeezy | Paiement (Merchant of Record, gère TVA EU) | UE / US |
| Fournisseurs IA (Groq, Mistral, Cerebras, Google, etc.) | Traitement des requêtes IA — aucune donnée n'est utilisée pour entraîner leurs modèles | US / UE selon provider |
| Cloudflare | CDN, DNS, protection DDoS | Multi-région |
Tous nos sous-traitants sont liés par des clauses contractuelles garantissant un niveau de protection conforme au RGPD. Pour les transferts hors UE, des clauses contractuelles types (CCT) de la Commission européenne s'appliquent.
Durées de conservation
- Compte actif : tant que vous l'utilisez
- Compte inactif : suppression automatique après 3 ans sans connexion (notification 30 jours avant)
- Compte supprimé : suppression effective immédiate sur demande, purge des sauvegardes sous 30 jours
- Logs techniques : 12 mois maximum
- Factures : 10 ans (obligation comptable)
Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez à tout moment des droits suivants :
- Droit d'accès : obtenir une copie de toutes vos données — export disponible depuis Paramètres
- Droit de rectification : corriger toute information inexacte
- Droit à l'effacement : supprimer votre compte et toutes vos données depuis Paramètres
- Droit à la portabilité : recevoir vos données dans un format lisible par machine (JSON)
- Droit d'opposition : refuser certains traitements (notifications, statistiques)
- Droit de retirer votre consentement à tout moment
Pour exercer ces droits : dpo@parato.app — réponse sous 30 jours maximum.
Sécurité
- Chiffrement TLS 1.3 sur tous les échanges
- Chiffrement at-rest des bases de données (AES-256)
- Sessions authentifiées par cookie HttpOnly / Secure / SameSite
- Magic link sans mot de passe (pas de mot de passe stocké = pas de fuite possible)
- Toute requête sur des données médicales est strictement scopée par utilisateur (vérification serveur, jamais par-dessus côté client)
- Webhooks signés (HMAC-SHA256) pour les intégrations
- Politique de divulgation responsable : SECURITY.md
Notification en cas de violation
En cas de violation de données entraînant un risque pour vos droits et libertés, la CNIL est notifiée sous 72 heures (RGPD art. 33) et vous êtes informé sans délai injustifié (art. 34).
Recours
Si vous estimez que vos droits ne sont pas respectés malgré notre réponse, vous pouvez introduire une réclamation auprès de la CNIL (3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07).
Modifications
Cette politique peut être mise à jour pour refléter des évolutions légales ou techniques. Les modifications substantielles seront notifiées par email aux utilisateurs au moins 30 jours avant entrée en vigueur.