Politique de confidentialité
Avertissement : ce document est un projet de modèle destiné à être validé par un avocat avant publication officielle. Il est conforme aux exigences principales du RGPD (UE 2016/679) et de la loi congolaise n° 29-2019 sur la protection des données personnelles.
Préambule
La présente politique de confidentialité décrit la manière dont l'Équipe MJ, éditrice de l'application NeuroConnect 360°, collecte, utilise, partage et protège vos données personnelles.
NeuroConnect 360° est une plateforme HealthTech / EdTech conçue pour accompagner les enfants atteints de troubles du spectre autistique (TSA), leurs parents, les spécialistes (psychologues, orthophonistes, médecins) et les structures d'accompagnement (écoles spécialisées, associations, ONG, centres médico-sociaux) en Afrique francophone.
Nos engagements :
- Vous restez propriétaire de vos données. Vous pouvez les consulter, les rectifier, les exporter ou les supprimer à tout moment.
- Nous ne vendons jamais vos données.
- Nous chiffrons toutes les communications (TLS) et les données médicales sont traitées avec une rigueur particulière.
- Pour toute question : privacy@neuroconnect360.fr
1. Responsable du traitement
Le responsable du traitement, au sens de l'article 4.7 du RGPD, est l'Équipe MJ.
| Information | Détail |
|---|---|
| Dénomination | Équipe MJ |
| Adresse | Brazzaville, République du Congo |
| Représentant | Jude Elisée M'PEMBA |
| Email général | contact@neuroconnect360.fr |
| Email RGPD | privacy@neuroconnect360.fr |
2. Données collectées
Nous collectons uniquement les données nécessaires au bon fonctionnement de la plateforme (principe de minimisation).
2.1 Catégories de données
| Catégorie | Exemples |
|---|---|
| Identification | Nom, prénom, email, téléphone, mot de passe (haché) |
| Profil utilisateur | Rôle, pays, langue |
| Données enfant | Prénom, date de naissance, photo |
| Données médicales (sensibles, Art. 9) | Résultats M-CHAT-R, diagnostic TSA, prescriptions |
| Données biométriques (Art. 9) | Rythme cardiaque, mouvement, sommeil (bracelet) |
| Communication | Messages chiffrés bout-en-bout |
| Techniques | IP, device, OS, version app |
2.2 Données sensibles · protection renforcée
Les données de santé (M-CHAT-R, diagnostic, biométrie, prescriptions) sont des données sensibles au sens de l'article 9 du RGPD. Leur traitement est interdit par défaut, sauf consentement explicite.
Notre base légale : votre consentement EXPLICITE recueilli lors de l'inscription, par case à cocher dédiée. Vous pouvez retirer ce consentement à tout moment.
3. Finalités du traitement
| Finalité | Base légale |
|---|---|
| Création et gestion du compte | Exécution du contrat (Art. 6.1.b) |
| Suivi de l'enfant TSA | Exécution du contrat (Art. 6.1.b) |
| Test M-CHAT-R | Consentement explicite (Art. 9.2.a) |
| Téléconsultation | Consentement + santé (Art. 9.2.h) |
| Anticipation crises (bracelet) | Consentement explicite (Art. 9.2.a) |
| Statistiques anonymisées | Intérêt légitime (Art. 6.1.f) |
| Recherche scientifique TSA | Consentement (Art. 9.2.j) |
| Facturation, comptabilité | Obligation légale (Art. 6.1.c) |
4. Destinataires et sous-traitants
4.1 Personnes que vous choisissez
- Les spécialistes que vous consultez (uniquement si vous prenez RDV)
- Les structures auxquelles vous reliez votre enfant
- Les enseignants membres de votre structure
- Les autres parents de la communauté (forum public)
4.2 Sous-traitants techniques
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Google (Firebase) | Auth, base de données, hébergement | USA + Irlande |
| Daily.co | Téléconsultation HD | USA |
| Anthropic | Assistant IA Claude | USA |
| Resend | Emails transactionnels | USA |
| Stripe | Paiements internationaux | Irlande + USA |
| Mobile Money (Wave, Orange, MTN) | Paiements Afrique | Afrique |
5. Transferts internationaux
Certains de nos sous-traitants sont établis hors de l'UE, notamment aux États-Unis. Pour ces transferts, nous nous appuyons sur les Clauses Contractuelles Types approuvées par la Commission européenne (Décision 2021/914 du 4 juin 2021).
Conformément à la jurisprudence Schrems II, nous chiffrons toutes les données en transit (TLS 1.2+) et au repos (AES-256). Les messages parent ↔ spécialiste seront chiffrés bout-en-bout (TweetNaCl) dès l'activation de la fonctionnalité.
6. Durées de conservation
| Type de donnée | Durée |
|---|---|
| Compte actif | Vie du compte |
| Compte inactif | Anonymisation après 36 mois |
| Données médicales | 20 ans (réglementation médicale) |
| Comptabilité, factures | 10 ans |
| Logs techniques | 12 mois |
| Cookies | 13 mois maximum |
| Sauvegardes | 30 jours |
7. Vos droits
Le RGPD vous accorde plusieurs droits que vous pouvez exercer à tout moment et gratuitement.
| Droit | Description |
|---|---|
| Accès (Art. 15) | Obtenir une copie de toutes vos données |
| Rectification (Art. 16) | Corriger des données inexactes |
| Effacement (Art. 17) | Faire supprimer vos données |
| Limitation (Art. 18) | Suspendre le traitement |
| Portabilité (Art. 20) | Récupérer vos données en JSON / CSV |
| Opposition (Art. 21) | Vous opposer pour motifs légitimes |
| Retrait du consentement (Art. 7.3) | À tout moment |
| Plainte (Art. 77) | Auprès de la CNIL ou ARPCE |
Comment exercer vos droits :
- Directement dans l'application (Profil → Confidentialité → Mes droits)
- Par email : privacy@neuroconnect360.fr
- Par courrier : Équipe MJ, Brazzaville, Congo
Délai de réponse : 30 jours maximum (Article 12.3 RGPD).
8. Protection particulière des enfants
L'inscription d'un enfant nécessite OBLIGATOIREMENT le consentement explicite du parent ou tuteur légal (Article 8 RGPD).
- En France : âge minimum pour le consentement seul = 15 ans
- Au Congo : majorité civile = 18 ans
- Aucune publicité ciblée n'est diffusée aux enfants
- Aucune décision automatisée affectant l'enfant n'est prise sans validation parentale
9. Cookies
| Type | Finalité | Consentement |
|---|---|---|
| Strictement nécessaires | Auth, sécurité, panier | Non requis |
| Fonctionnels | Préférences UI (mode, langue) | Non requis |
| Analytiques | Statistiques d'usage anonymisées | Requis |
| Marketing publicitaire | Non utilisés | — |
10. Sécurité
- Chiffrement TLS 1.2+ pour toutes les communications
- Chiffrement AES-256 au repos sur Firebase
- Hashing bcrypt pour les mots de passe
- Chiffrement bout-en-bout (TweetNaCl) — en cours d'activation
- Règles Firestore deny-all par défaut
- Audit trails sur les actions sensibles
Notification en cas de violation
Conformément à l'article 33 RGPD, en cas de violation présentant un risque pour vos droits et libertés, nous notifierons l'autorité de contrôle (CNIL ou ARPCE) sous 72 heures. Si le risque est élevé pour vous, nous vous en informerons directement par email.
11. Mises à jour
Toute modification substantielle vous sera notifiée par email au moins 30 jours avant son entrée en vigueur. La version en vigueur est toujours sur cette page.
Trois canaux pour toutes vos questions :
- Question RGPD : privacy@neuroconnect360.fr
- Question générale : contact@neuroconnect360.fr
- Support technique : support@neuroconnect360.fr