Politique de confidentialité

1. Responsable du traitement

SR MedLab (SAS), représentée par Dr Sacha Rozencwajg, est responsable du traitement des données personnelles collectées via la plateforme EDN-IA.

Délégué à la Protection des Données (DPO) : le DPO de l'Université Paris-Saclay.

Contact : dpo@edn-ia.fr

2. Données collectées

Aucune donnée de santé au sens du RGPD n'est collectée. Les contenus médicaux manipulés sont des référentiels pédagogiques publics, pas des données de patients.

3. Finalités

• Fournir l'accès au chatbot IA et à l'entraînement par questions
• Suivre la progression pédagogique de l'étudiant
• Permettre aux enseignants de créer, valider et publier des questions
• Administrer la plateforme (gestion des comptes, statistiques agrégées)
• Assurer la sécurité du service (rate limiting, détection d'abus)

4. Durée de conservation

• Comptes actifs : données conservées tant que le compte est actif
• Comptes supprimés : les données personnelles (nom, email) sont anonymisées immédiatement. Les statistiques agrégées et anonymisées peuvent être conservées à des fins de recherche pédagogique
• Comptes inactifs : les comptes sans connexion depuis 24 mois seront automatiquement anonymisés

5. Transferts de données

L'ensemble des données est traité et hébergé en France, sans aucun transfert hors de l'Union Européenne :

• Scaleway : hébergement en France (Paris, fr-par). Hébergeur français certifié HDS
• Mistral AI : traitement en France (UE). Pas de transfert hors UE. Embeddings, génération et analyse d'images

6. Vos droits

Conformément au RGPD (Règlement UE 2016/679), vous disposez des droits suivants :

• Droit d'accès : obtenir une copie de vos données (bouton « Exporter mes données » dans votre profil)
• Droit de rectification : modifier vos informations dans votre profil
• Droit à l'effacement : supprimer votre compte (bouton « Supprimer mon compte » dans votre profil)
• Droit d'opposition : vous opposer au traitement en écrivant à dpo@edn-ia.fr
• Droit à la portabilité : recevoir vos données dans un format structuré (JSON)

En cas de litige, vous pouvez introduire une réclamation auprès de la CNIL (www.cnil.fr).

7. Cookies

EDN-IA utilise un unique cookie technique (JWT d'authentification). Ce cookie est :

• Strictement nécessaire au fonctionnement du service
• Non partagé avec des tiers
• Expirant après 24 heures
• Configuré avec les flags HttpOnly, Secure, SameSite=Lax

Aucun cookie d'analytics, de tracking publicitaire ou de tiers n'est utilisé. Aucun consentement cookie n'est donc requis au titre de la directive ePrivacy.

8. Intelligence artificielle

EDN-IA utilise des modèles d'intelligence artificielle générative (Mistral AI) pour :

• Générer des réponses pédagogiques à partir des référentiels officiels
• Générer des questions d'entraînement pour les enseignants
• Rechercher les extraits pertinents dans les référentiels (RAG)

Les réponses IA ne constituent ni un avis médical, ni une source de vérité absolue. Elles sont toujours accompagnées de leurs sources (extraits du référentiel) pour vérification. Les questions générées sont systématiquement revues et validées par un enseignant avant publication.

Aucune donnée personnelle n'est utilisée pour entraîner les modèles IA. Les conversations ne sont pas stockées côté fournisseur IA (politique de non-rétention Mistral AI).

9. Sécurité

• Mots de passe hashés avec bcrypt (salage automatique)
• Connexion HTTPS obligatoire
• Rate limiting sur les endpoints d'authentification
• Cookies sécurisés (HttpOnly, Secure, SameSite)
• Secrets gérés via variables d'environnement sécurisées (Scaleway)
• Accès aux données restreint par rôles (étudiant, enseignant, admin)