Date d’entrée en vigueur : octobre 2024
Dernière mise à jour : février 2026
1. Introduction
Heidi Health Ireland Ltd (« Heidi », « nous », « notre » ou « nos ») s’engage à protéger les données personnelles des utilisateurs situés dans l’Union européenne (UE), conformément au Règlement général sur la protection des données (RGPD) (UE) 2016/679. Cette politique de confidentialité explique comment nous collectons, utilisons, stockons et protégeons vos données personnelles, et décrit vos droits en vertu du RGPD.
Elle s'inscrit dans le cadre de la Loi Informatique et Libertés (loi n° 78-17 du 6 janvier 1978 modifiée), qui complète le RGPD en droit français et s'applique à tout traitement de données à caractère personnel réalisé en France.
2. Champ d’application
Cette politique s’applique aux personnes situées dans l’UE qui utilisent la plateforme Heidi, y compris les professionnels de santé et les patients dont les données sont susceptibles d'être traitées dans le cadre de l'utilisation des services de Heidi. Elle couvre également notre rôle en tant que sous-traitant agissant pour le compte des prestataires de soins de santé, en leur qualité de responsables du traitement, ainsi que dans certains cas où Heidi agit en tant que responsable du traitement à des fins administratives limitées.
Heidi Scribe : un outil de documentation clinique assisté par l'IA qui aide les Professionnels de santé à transcrire et générer des notes pendant et après les consultations.
Heidi Références : un outil de recherche clinique et de connaissances qui met à disposition des ressources issues de la littérature médicale, des recommandations de pratique clinique et des données fondées sur les preuves pour accompagner la prise de décision clinique. Cet outil n'est pas destiné à se substituer au jugement clinique ou aux décisions directes de soins.
Heidi Télésecrétariat : un outil de communication qui permet des interactions téléphoniques et vocales en temps réel entre les Professionnels de santé et les patients.
3. Rôles et responsabilités
Heidi agit en qualité de sous-traitant (article 28 RGPD) lorsqu'elle traite des données issues de consultations cliniques pour le compte des professionnels de santé, qui agissent en tant que responsables du traitement. Dans ce contexte, Heidi agit exclusivement sur instruction des praticiens et ne détermine ni les finalités ni les moyens du traitement des données de santé.
Heidi peut agir en qualité de responsable du traitement pour les opérations liées à sa propre activité administrative : création et gestion des comptes utilisateurs, communications de support, analyses d'utilisation à des fins d'amélioration des services.
Heidi n'utilise aucune donnée personnelle, identifiable ou non, pour entraîner ses modèles d'intelligence artificielle, ni ne les vend ou partage à des fins de marketing, de profilage ou de recherche.
4. Base légale du traitement
Conformément au RGPD, tout traitement de données personnelles repose sur l'une des bases légales suivantes :
- Article 6(1)(b) – Traitement nécessaire à l’exécution d’un contrat (par exemple, prestation de notre service de scribe).
- Article 6(1)(f) – Traitement fondé sur nos intérêts légitimes (par exemple, amélioration de la sécurité et des fonctionnalités de la plateforme).
- Article 6(1)(c) – Traitement nécessaire au respect d’une obligation légale.
- Article 9(2)(h) – Traitement des catégories particulières de données (ex. : données de santé) nécessaire à la fourniture de services de santé ou de soins sociaux.
5. Types de données collectées
Lorsque vous accédez à notre site web, notre Plateforme ou nos autres services, nous collectons les catégories de données suivantes. La collecte de données étendues, y compris les informations techniques, est essentielle pour améliorer l'expérience utilisateur, optimiser les fonctionnalités et garantir la sécurité. Si vous choisissez de ne pas fournir certaines informations, notre capacité à vous délivrer les services concernés pourra être limitée.
| Catégorie | Détails | Produits concernés |
|---|---|---|
| Données d'identité | Votre nom, adresse, âge ou date de naissance, sexe, numéro de téléphone et adresse e-mail. Pour les professionnels de santé, nous collectons également des informations relatives aux qualifications, inscriptions ordinales et parcours de formation. | Scribe, Références, Heidi Télésecrétariat |
| Données de paiement | Informations nécessaires au paiement des services : coordonnées bancaires ou de carte de crédit, références de carte d'assurance maladie et détails de remboursement le cas échéant. | Scribe, Heidi Télésecrétariat |
| Données de santé | Données de santé que les praticiens fournissent lors de l'utilisation de Heidi Scribe ou Heidi Télésecrétariat. Nous pouvons collecter des données de santé sur les patients à partir des informations transmises par les praticiens dans le cadre de l'utilisation de ces produits. Toutes les données de santé sensibles font l'objet d'une pseudonymisation : les identifiants personnels sont supprimés. Ces données ne sont conservées que pour la durée demandée par le praticien. Aucune donnée patient n'est utilisée pour entraîner, développer ou améliorer nos modèles d'IA. | Scribe, Heidi Télésecrétariat |
| Données de requêtes et de résultats (Heidi Références) | Heidi Références conserve vos requêtes de recherche et les résultats générés dans un format de conversation chronologique. Ces données ne sont pas associées à un dossier patient. Heidi Références n'est pas conçu pour traiter des données de santé de patient. Les praticiens ne doivent pas saisir d'informations permettant d'identifier un patient dans leurs requêtes. En cas de saisie accidentelle de données de santé de patient, celles-ci seront traitées conformément aux lois applicables en matière de données de santé. Les requêtes peuvent être examinées et utilisées sous forme de-identifiées pour améliorer la plateforme, mais les données de santé de patient ne seront pas utilisées pour l'entraînement des modèles. |
6. Comment nous collectons vos données
Dans la plupart des cas, nous collectons vos données personnelles directement auprès de vous. Voici les principales modalités de collecte :
| Source | Détails |
|---|---|
| Inscription | Lors de votre inscription sur notre site web ou notre plateforme. |
| Communications | Lorsque vous nous contactez par courrier, questionnaire, chat, e-mail, ou lorsque vous partagez des informations via d'autres services ou sites web. Les communications peuvent transiter par la Plateforme. |
| Interaction avec la Plateforme | Lorsque vous interagissez avec nos sites, la Plateforme, nos services, contenus et publicités, ou lorsque vous utilisez la Plateforme ou nos services. |
Nous pouvons également collecter des informations vous concernant auprès de nos sociétés affiliées, prestataires tiers et partenaires. Par exemple :
- lors d'une candidature, nous pouvons collecter des informations auprès de recruteurs, anciens employeurs, références ou organismes de vérification ;
- pour les professionnels de santé, nous pouvons vérifier vos qualifications, inscriptions ordinales et formation auprès de sources tierces.
- pour Heidi Références, nous pouvons collecter des informations auprès de partenaires sources de données probantes et de titulaires de licences de contenu dont les bases de données de littérature médicale et les API sont intégrées à la Plateforme (tels que des fournisseurs de recommandations de pratique clinique et des bases de données de revues scientifiques).
7. Comment nous utilisons vos données
Nous respectons les principes de protection des données dès la conception (privacy by design), en intégrant la protection des données à nos systèmes et pratiques dès leur conception. Nos mesures comprennent un chiffrement robuste, des contrôles d'accès stricts et une surveillance continue des menaces.
Nous mettons en œuvre des techniques rigoureuses de de-identification afin que les données personnelles et de santé soient dépouillées de leurs identifiants, empêchant ainsi toute réidentification par des acteurs malveillants. Ces processus sont renforcés par des protocoles de sécurité stricts, incluant un chiffrement multicouche et des contrôles d'accès, afin de préserver l'intégrité et la confidentialité des données de-identifiées.
Si nous utilisons vos données à des fins différentes de celles décrites dans la présente politique, nous vous en informerons préalablement par un avis d'information mis à jour, vous indiquant le nouveau traitement et vous offrant des choix quant à son utilisation.
| Finalité | Description | Produits concernés |
|---|---|---|
| Accès à la Plateforme | Vous permettre d'accéder à notre site web, notre Plateforme et nos autres services et de les utiliser. | Scribe, Références, Heidi Télésecrétariat |
| Amélioration des services | Faciliter la délivrance de soins de santé aux patients. Par exemple, les informations relatives aux antécédents médicaux, plaintes ou symptômes d'un patient peuvent être collectées et utilisées par la Plateforme afin que les praticiens puissent prendre des décisions thérapeutiques. | Scribe, Références, Heidi Télésecrétariat |
| Prestation de services de santé | Faciliter la délivrance de soins de santé aux patients. Par exemple, les informations relatives aux antécédents médicaux, plaintes ou symptômes d'un patient peuvent être collectées et utilisées par la Plateforme afin que les praticiens puissent prendre des décisions thérapeutiques. | Scribe, Heidi Télésecrétariat |
| Accès aux connaissances médicales et ressources cliniques | Faciliter l'accès des professionnels de santé à la littérature médicale sélectionnée, aux recommandations de pratique clinique et aux ressources fondées sur les preuves. Heidi Références soutient la recherche et la récupération de connaissances et n'est pas conçu pour la délivrance directe de soins aux patients. | Heidi Références |
| Amélioration des fonctionnalités via données de-identifiées | Nous pouvons de-identifier et/ou agréger vos données personnelles pour fournir certaines fonctionnalités de la Plateforme et l'améliorer. Pour Heidi Scribe et Heidi Télésecrétariat, cela n'inclut pas l'utilisation de données de santé sensibles et aucune donnée patient n'est utilisée pour entraîner les modèles d'IA. Pour Heidi Références, les données de requêtes et de résultats (hors données de santé patient) peuvent être utilisées sous forme anonymisée pour améliorer le produit. |
8. Marketing et droit d'opposition
Nous pouvons vous adresser des communications marketing et des informations relatives à nos services ou produits, sous forme d'e-mails ou d'autres canaux. Nous nous conformons aux lois applicables en matière de prospection commerciale.
Vous pouvez vous désabonner à tout moment, soit via le lien de désinscription figurant dans chaque message, soit en nous contactant directement.
Sans votre consentement, nous ne :
- n'utilisons aucune de vos données de santé pour vous adresser des communications marketing ;
- ne communiquons aucune de vos données à un tiers à des fins de marketing.
9. Avec qui partageons-nous vos données ?
Nous pouvons partager vos données personnelles avec les personnes et entités suivantes, ainsi qu'avec d'autres destinataires que nous vous indiquons dans la présente politique, sur notre site web, sur notre Plateforme ou lors de toute autre communication :
- nos employés et sociétés affiliées ;
- des fournisseurs et prestataires de services tiers (incluant les opérateurs de notre Plateforme, site web et activité) ;
- des conseillers professionnels, mandataires et agents ;
- des opérateurs de systèmes de paiement (par exemple, marchands acceptant les paiements par carte) ;
- toute personne à qui nos actifs ou nos activités (ou une partie de ceux-ci) pourraient être cédés ;
- des tiers spécifiquement autorisés par vous à recevoir des informations que nous détenons, et autres intervenants dans la délivrance de soins de santé ;
- d'autres personnes, y compris les autorités gouvernementales, organismes de réglementation et forces de l'ordre, ou lorsque la loi l'exige, l'autorise ou le permet.
10. Transferts internationaux et localisation des données
Certaines fonctionnalités de notre Plateforme dépendent de services tiers dont les serveurs peuvent être situés à l'international. Lorsque ces services sont utilisés, nous veillons à la mise en place d'accords de traitement des données, incluant les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne et/ou les décisions d'adéquation en vigueur.
Les données de santé des utilisateurs français sont hébergées au sein de l'Union européenne par Amazon Web Services (AWS), prestataire certifié Hébergeur de Données de Santé (HDS) conformément à l'article L.1111-8 du Code de la santé publique. Les attestations de certification HDS d'AWS sont disponibles sur demande.
10.1 Traitement et stockage des données Heidi Télésecrétariat
Heidi Télésecrétariat est un outil de communication mis à disposition via la plateforme Heidi, permettant des interactions téléphoniques et des échanges vocaux en temps réel.
Les données collectées via Heidi Télésecrétariat peuvent être traitées en dehors de votre juridiction par des sous-traitants de confiance. Tout sous-traitant tiers utilisé dans ce cadre est soumis aux mêmes accords de traitement des données robustes décrits à la section 10.
Les enregistrements et transcriptions générés via Heidi Télésecrétariat peuvent être conservés temporairement, sous le contrôle exclusif du praticien, à des fins de vérification de la qualité des résultats (par exemple, la vérification de l'exactitude des transcriptions). Ces données ne sont partagées avec aucun tiers.
10.2 Traitement et stockage des données Heidi Références
Heidi Références est un outil de recherche clinique et de connaissances mis à disposition via la plateforme Heidi, permettant aux professionnels de santé de rechercher et de consulter de la littérature médicale, des recommandations de pratique clinique et des ressources fondées sur les preuves.
Les données collectées via Heidi Références peuvent être traitées en dehors de votre juridiction par des sous-traitants de confiance, y compris des partenaires sources de données probantes et des partenaires API dont le contenu est intégré à la Plateforme. Tout sous-traitant tiers utilisé dans ce cadre est soumis aux mêmes accords de traitement des données robustes décrits à la section 10.
Pour les utilisateurs de l'UE, Heidi Références fonctionne exclusivement en dehors des sessions cliniques (out-of-session). Les données de requêtes et de résultats des utilisateurs de l'UE sont stockées au sein de l'UE/EEE, et tout traitement en dehors de l'UE/EEE est soumis à des garanties appropriées, notamment des accords de traitement des données avec les sous-traitants concernés.
11. Conservation et suppression des données
Les données personnelles sont conservées uniquement pendant la durée définie par le prestataire de soins (responsable du traitement) ou selon nos obligations contractuelles. Les utilisateurs peuvent supprimer les transcriptions ou demander leur suppression à tout moment.
Nous mettons en œuvre le droit à l'effacement conformément à l'article 17 du RGPD et procédons à la suppression permanente et sécurisée des données conformément aux normes ISO 27001.
12. Cookies et technologies de suivi
Nous utilisons des cookies et technologies similaires pour soutenir le fonctionnement sécurisé et efficace de la plateforme Heidi. Ces technologies nous permettent d'analyser les modes d'utilisation de la plateforme, maintenir les sessions utilisateurs et assurer les fonctionnalités de la plateforme.
Types de cookies utilisés :
Cookies strictement nécessaires : essentiels au fonctionnement de notre plateforme. Incluent par exemple ceux qui permettent de se connecter à des zones sécurisées et de naviguer entre les pages.
Cookies de performance et d’analyse : permettent de reconnaître et de compter le nombre de visiteurs et de comprendre leur interaction avec la plateforme.
Base légale : Article 6(1)(f) du RGPD (intérêts légitimes) pour les cookies strictement nécessaires ; consentement (Article 6(1)(a)) pour les autres types.
Gestion des cookies : Vous pouvez gérer ou désactiver les cookies via les paramètres de votre navigateur. La désactivation des cookies essentiels peut affecter les fonctionnalités de la plateforme.
13. Sécurité des données
Nous mettons en place des mesures techniques et organisationnelles pour protéger les données personnelles, notamment :
- Chiffrement TLS 1.2+ en transit et AES-256 au repos
- Contrôle d’accès basé sur les rôles
- Journaux d’audit en temps réel
- Systèmes de détection et de prévention d’intrusion
- Scans de vulnérabilité réguliers et tests de pénétration annuels
L’accès aux données est limité aux personnes autorisées, consigné, et nécessite une approbation préalable du responsable du traitement ou de l’utilisateur autorisé.
Les données de santé à caractère personnel traitées dans le cadre de l’utilisation de Heidi sont hébergées au sein de l’Union européenne par Amazon Web Services (AWS), prestataire d’hébergement certifié Hébergeur de Données de Santé (HDS) conformément à l’article L.1111-8 du Code de la santé publique.
Les attestations de certification HDS d’AWS peuvent être fournies sur demande.
14. Vos droits selon le RGPD
Vous pouvez exercer les droits suivants à tout moment lors de votre utilisation de notre site web, de notre Plateforme ou de nos autres services Pour toute demande d'accès, de rectification, d'effacement ou de plainte, ou pour exercer votre droit d'opposition, de retrait de consentement ou de portabilité, veuillez inclure vos nom et coordonnées et décrire clairement votre demande.
Pour exercer vos droits : https://heidihealthtradingptyltd.gdprlocal.com/eu. Nous répondons sous 30 jours conformément à l’article 12 du RGPD.
Nous nous engageons à résoudre toute préoccupation ou plainte de manière transparente et rapide.
Si vous avez des questions ou des préoccupations concernant nos pratiques en matière de protection des données, vous pouvez contacter notre équipe conformité à compliance@heidihealth.com. Si vous n'êtes pas satisfait de notre réponse, vous avez le droit de déposer une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) en France, ou de toute autre autorité de contrôle compétente dans votre État membre de résidence.
15. Sociétés affiliées
Heidi Health Ireland Ltd (CRO 807346), située à Floor 3, Block 3, Miesian Plaza, Dublin 2, D02 Y754, Irlande, est affiliée à Oscer Enterprises Pty Ltd, Heidi Health Trading Pty Ltd, Heidi Health Ltd, Heidi Health Corp et Heidi Health Canada Inc.
Nous pouvons partager vos données avec ces entités, uniquement en conformité avec cette politique de confidentialité. Si vous utilisez leurs services, veuillez consulter également leurs politiques respectives.
Pour toute question, veuillez contacter : compliance@heidihealth.com.