Protection des donnees — Derniere mise a jour : Mars 2026
Politique de confidentialite
PsyLib s'engage a proteger la vie privee de ses utilisateurs et a traiter les donnees personnelles dans le respect du Reglement General sur la Protection des Donnees (RGPD) et de la loi Informatique et Libertes.
1. Responsable du traitement
Le responsable du traitement des donnees personnelles est :
- Raison sociale : PsyLib (en cours d'immatriculation)
- Adresse : France
- Email de contact : contact@psylib.eu
- Delegue a la Protection des Donnees (DPO) : dpo@psylib.eu
2. Donnees collectees
PsyLib collecte differentes categories de donnees en fonction du role de l'utilisateur et de l'utilisation du service :
2.1. Donnees du praticien (psychologue)
- Nom, prenom, adresse email professionnelle
- Numero ADELI (obligatoire pour l'exercice legal)
- Adresse du cabinet, numero de telephone professionnel
- Specialisations et approches therapeutiques
- Donnees de facturation et d'abonnement (gerees via Stripe)
- Preferences d'utilisation du logiciel
2.2. Donnees patient
Les donnees patient sont saisies exclusivement par le psychologue dans le cadre de sa relation therapeutique. PsyLib agit en qualite de sous-traitant au sens du RGPD pour ces donnees. Le psychologue demeure le responsable du traitement des donnees de ses patients.
- Identite du patient (nom, prenom, email, telephone)
- Date de naissance
- Notes de seance et notes cliniques (chiffrees AES-256-GCM)
- Resumes de seance generes par l'IA (chiffres AES-256-GCM)
- Donnees du portail patient : suivi d'humeur, journal therapeutique, exercices
- Messages echanges entre le psychologue et le patient (chiffres AES-256-GCM)
- Rendez-vous et historique des seances
2.3. Donnees de navigation
- Adresse IP (anonymisee dans les outils d'analyse)
- Type de navigateur et systeme d'exploitation
- Pages visitees et duree de visite (via PostHog — site marketing uniquement)
- Cookies techniques necessaires au fonctionnement du service
3. Finalites du traitement
Les donnees personnelles collectees sont utilisees pour les finalites suivantes :
- Fourniture du service : gestion du compte praticien, gestion des dossiers patients, prise de rendez-vous, facturation, messagerie securisee
- Amelioration du service : analyse d'utilisation anonymisee pour ameliorer l'experience utilisateur (jamais de donnees patient)
- Securite : audit des acces, detection des intrusions, journalisation des connexions (conformite HDS)
- Communication : emails transactionnels (confirmation de rendez-vous, rappels, factures), sequences d'accueil
- Obligations legales : conservation des donnees de facturation conformement au Code de commerce et au Code general des impots
4. Base legale du traitement
Execution du contrat (Art. 6.1.b RGPD)
Le traitement des donnees du praticien est necessaire a l'execution du contrat d'abonnement PsyLib (creation de compte, gestion de l'abonnement, facturation, fourniture des fonctionnalites du logiciel).
Consentement (Art. 6.1.a RGPD)
Le consentement explicite est recueilli pour l'utilisation des fonctionnalites d'intelligence artificielle (resume de seance, generation d'exercices), les cookies d'analyse (PostHog) et l'envoi de communications marketing. Le consentement peut etre retire a tout moment.
Interet legitime (Art. 6.1.f RGPD)
L'interet legitime de PsyLib justifie le traitement des donnees a des fins de securite du service (audit des connexions, detection d'anomalies), d'amelioration du produit (analyse d'utilisation anonymisee) et de prevention de la fraude.
Obligation legale (Art. 6.1.c RGPD)
La conservation des donnees de facturation et des logs d'acces est imposee par la legislation francaise (Code de commerce, Code general des impots, article L.1111-8 du Code de la sante publique pour l'hebergement HDS).
5. Duree de conservation
| Type de donnees | Duree de conservation |
|---|---|
| Compte praticien | Duree du contrat + 3 ans apres resiliation |
| Dossiers patients | Duree fixee par le praticien (min. 5 ans — recommandation ordinale) |
| Notes de seance | Duree du dossier patient associe |
| Donnees de facturation | 10 ans (obligation legale comptable) |
| Logs d'audit | 12 mois (obligation HDS) |
| Donnees de navigation | 13 mois maximum (recommandation CNIL) |
| Consentements RGPD | Duree du consentement + 5 ans (preuve) |
A l'expiration de ces durees, les donnees sont supprimees de maniere securisee ou anonymisees de facon irreversible.
6. Hebergement et securite des donnees
Hebergement certifie HDS
Conformement a l'article L.1111-8 du Code de la sante publique, toutes les donnees de sante sont hebergees sur une infrastructure certifiee Hebergeur de Donnees de Sante (HDS) situee en France :
- AWS eu-west-3 (Paris) : base de donnees PostgreSQL, API backend, stockage fichiers — certifie HDS depuis 2022
- OVH (France) : serveur d'authentification Keycloak, sauvegardes — certifie HDS
Mesures de securite techniques
- Chiffrement au repos : AES-256-GCM sur les champs sensibles (notes de seance, resumes IA, messages, journal therapeutique) au niveau applicatif, en complement du chiffrement natif de la base de donnees (AWS RDS AES-256)
- Chiffrement en transit : TLS 1.3 sur toutes les communications
- Authentification forte : Keycloak avec OIDC, authentification multi-facteurs (MFA TOTP) obligatoire pour les praticiens
- Controle d'acces : RBAC (Role-Based Access Control) avec isolation multi-tenant par psychologue
- Audit des acces : journalisation de tous les acces aux donnees sensibles dans une table d'audit dediee
- Sauvegardes : sauvegardes automatiques quotidiennes avec retention de 7 jours, stockees sur infrastructure HDS distincte
- Rotation des cles : systeme de versionnement des cles de chiffrement avec migration progressive des donnees
7. Sous-traitants et services tiers
PsyLib fait appel a des sous-traitants pour le fonctionnement de certaines fonctionnalites. Aucune donnee patient n'est transmise a ces services.
| Service | Usage | Donnees concernees |
|---|---|---|
| Stripe | Paiement et facturation des abonnements | Email du praticien, donnees de carte bancaire (tokenisees par Stripe, jamais stockees chez PsyLib) |
| Resend | Envoi d'emails transactionnels | Adresse email du destinataire (praticien uniquement) |
| Sentry | Monitoring des erreurs techniques | Donnees techniques uniquement (stack traces) — aucune donnee patient |
| PostHog | Analyse d'utilisation du site marketing | Donnees de navigation anonymisees du praticien — aucune donnee patient |
| Vercel | Hebergement du site web (frontend) | Pages statiques et interface utilisateur — aucune donnee de sante |
| Anthropic (Claude API) | Fonctionnalites d'intelligence artificielle | Donnees transmises uniquement avec consentement explicite du praticien — jamais de donnees identifiantes de patients |
Engagement fondamental : les donnees de sante des patients (notes de seance, dossiers cliniques, messages) ne sont jamais transmises a des services tiers non certifies HDS. Elles restent exclusivement sur l'infrastructure HDS certifiee (AWS eu-west-3 Paris + OVH France).
8. Transferts de donnees hors de l'Union europeenne
Les donnees de sante sont hebergees exclusivement en France (AWS eu-west-3 Paris et OVH France). Aucun transfert de donnees de sante n'est effectue hors de l'Union europeenne.
Certains sous-traitants techniques (Stripe, Sentry, PostHog) peuvent traiter des donnees non sensibles (email du praticien, donnees de navigation anonymisees) dans des pays tiers. Ces transferts sont encadres par les Clauses Contractuelles Types (CCT) approuvees par la Commission europeenne et/ou le cadre EU-US Data Privacy Framework lorsque applicable.
9. Droits des utilisateurs
Conformement au RGPD (articles 15 a 22) et a la loi Informatique et Libertes, vous disposez des droits suivants :
Droit d'acces (Art. 15)
Obtenir la confirmation que vos donnees sont traitees et en recevoir une copie.
Droit de rectification (Art. 16)
Corriger les donnees inexactes ou completer les donnees incompletes.
Droit a l'effacement (Art. 17)
Demander la suppression de vos donnees dans les conditions prevues par le RGPD. Un endpoint dedie permet la purge complete des donnees patient.
Droit a la limitation (Art. 18)
Demander la limitation du traitement de vos donnees dans certaines circonstances.
Droit a la portabilite (Art. 20)
Recevoir vos donnees dans un format structure et lisible par machine (export CSV/JSON disponible dans les parametres).
Droit d'opposition (Art. 21)
Vous opposer au traitement de vos donnees fonde sur l'interet legitime, y compris le profilage.
Droit de retirer le consentement
Retirer a tout moment votre consentement pour les traitements fondes sur celui-ci, sans affecter la licite du traitement anterieurement effectue.
Comment exercer vos droits
Vous pouvez exercer vos droits en contactant notre DPO a l'adresse dpo@psylib.eu. Nous repondrons dans un delai maximum de 30 jours. Une verification d'identite pourra etre demandee. En cas de difficulte, vous pouvez egalement introduire une reclamation aupres de la CNIL (Commission Nationale de l'Informatique et des Libertes) sur www.cnil.fr.
10. Cookies
PsyLib utilise des cookies strictement necessaires au fonctionnement du service (authentification, preferences de session). Ces cookies ne necessitent pas de consentement.
Des cookies d'analyse (PostHog) sont utilises sur le site marketing pour comprendre l'utilisation du service. Ces cookies sont soumis a votre consentement prealable et peuvent etre refuses sans impact sur le fonctionnement du service.
Aucun cookie publicitaire ou de tracking tiers n'est utilise par PsyLib.
11. Modifications de la politique
PsyLib se reserve le droit de modifier la presente politique de confidentialite. En cas de modification substantielle, les utilisateurs seront informes par email et/ou par notification dans l'application au moins 30 jours avant l'entree en vigueur des modifications. La date de derniere mise a jour est indiquee en haut de cette page.
12. Contact
Pour toute question relative a la protection de vos donnees personnelles :
- DPO : dpo@psylib.eu
- Support general : support@psylib.eu
- CNIL : www.cnil.fr (en cas de reclamation)
La securite de vos donnees est notre priorite
Hebergement HDS certifie France, chiffrement AES-256-GCM, MFA obligatoire. Essayez PsyLib gratuitement pendant 14 jours.
Commencer l'essai gratuit