La présente Politique de Confidentialité (ci-après la « Politique ») décrit de façon claire et transparente les pratiques de l’Éditeur en matière de collecte, d’enregistrement, de traitement, de transfert et de conservation des données à caractère personnel de ses Utilisateurs.

L’Éditeur s’engage à ce que tous les traitements de données à caractère personnel effectués sur l’Application soient conformes à la réglementation européenne et nationale applicable, notamment :

• Le Règlement Général sur la Protection des Données (RGPD) — Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.
• La Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (dite « Loi Informatique et Libertés ») modifiée.
• Toute autre directive, loi ou recommandation des autorités de contrôle nationales (notamment la Commission Nationale de l’Informatique et des Libertés - CNIL).

Cette Politique s’applique à tout Utilisateur qui utilise l’Application Clinigma, qu’il navigue sur les espaces publics de la plateforme, qu’il possède un compte gratuit ou qu’il soit titulaire d’un abonnement Premium.

Le Responsable du traitement des Données Personnelles collectées via l’Application Clinigma est l’équipe d’édition et de développement de Clinigma (ci-après désignée « le Responsable de Traitement »).

Pour toute demande d’information, réclamation ou exercice de vos droits relatifs à vos données personnelles, vous pouvez contacter le service de protection des données à l’adresse électronique dédiée suivante :

L’Éditeur collecte uniquement les données personnelles strictement nécessaires aux finalités poursuivies (principe de minimisation des données prévu par l’article 5 du RGPD).

Les catégories de données suivantes font l’objet d’un traitement :

• Données d’identification et de compte : Adresse email de l’Utilisateur, mot de passe chiffré de manière unidirectionnelle, nom d’utilisateur public (pseudonyme) et identifiants uniques d’utilisateur générés par notre infrastructure d’authentification sécurisée (Supabase Auth).
• Données relatives au profil professionnel et académique : Statut ou rang médical sélectionné de manière déclarative par l’Utilisateur (ex. étudiant en médecine externe, interne des hôpitaux, chef de clinique, praticien hospitalier, médecin généraliste, médecin spécialiste, autre) et spécialité médicale afin d’ajuster et de personnaliser les simulations de cas cliniques.
• Données de jeu, de progression et d’activité : Historique des diagnostics soumis, scores de performance et de triage, temps de calcul et de réponse, taux de réussite global et par spécialité, séries de victoires quotidiennes (streaks), journal d’utilisation des bonus virtuels (Adrénaline).
• Données de facturation et d’achats (Premium) : Date de début et de fin de l’abonnement, formule choisie (Base, Pro, Elite), statut de paiement, identifiants uniques de transaction Stripe ou RevenueCat, pays d’origine de la facturation.
  Mention importante : L’Éditeur ne stocke ni ne traite aucune coordonnée bancaire (telle que le numéro de carte bancaire, la date d’expiration ou le cryptogramme visuel). Ces données de paiement sont collectées directement par nos prestataires Stripe et RevenueCat sous format crypté.
• Données techniques et de navigation : Adresse IP de connexion (anonymisée au niveau du serveur), type de terminal (ordinateur, tablette, smartphone), système d’exploitation, type et version du navigateur Web, préférences d’affichage (thème d’interface clair ou sombre), logs de sécurité du serveur.

Chaque traitement de données personnelles répond à une finalité spécifique et s’appuie sur l’une des bases légales autorisées par l’article 6 du RGPD.

Les données personnelles collectées sont exclusivement destinées à l’usage interne de l’Éditeur. Elles ne sont sous aucun prétexte cédées, louées ou vendues à des entreprises tierces à des fins marketing ou publicitaires.

Pour faire fonctionner l’Application, l’Éditeur fait appel à des prestataires techniques tiers rigoureusement sélectionnés qui agissent en qualité de sous-traitants au sens de l’article 28 du RGPD :

• Supabase (Supabase Inc., États-Unis) : Fournit l’infrastructure d’authentification sécurisée et de base de données PostgreSQL dans un espace cloud crypté.
• Vercel (Vercel Inc., États-Unis) : Héberge le code de l’Application et gère la distribution des requêtes du serveur d’application.
• Stripe (Stripe Inc., États-Unis / Irlande) : Gère le portail de paiement sécurisé, le prélèvement bancaire et le stockage des données bancaires chiffrées.
• RevenueCat (RevenueCat Inc., États-Unis) : Synchronise et valide les droits d’accès de l’Utilisateur à l’abonnement Premium sur les différentes plateformes (web, mobile).
• Google Cloud Generative AI (Google LLC, États-Unis) : Traite la génération et la correction des cas cliniques.
  Mesure de protection stricte : Aucun paramètre d’identification de l’Utilisateur (nom, adresse mail, identifiant Supabase) n’est transmis à Google. Seuls les indices textuels et de spécialité médicale requis pour la requête sont transmis de façon 100% anonyme.

L’Application utilise des cookies (de petits fichiers textes stockés sur votre terminal) afin d’assurer son fonctionnement et d’optimiser l’expérience utilisateur.

Les traceurs utilisés sont catégorisés de la manière suivante :

• Cookies techniques et essentiels : Nécessaires à l’établissement de la session de jeu, au maintien de la connexion utilisateur sécurisée et à la mémorisation de vos préférences (ex. préférences de langue ou choix du thème d’affichage). Ces cookies ne requièrent pas le consentement préalable de l’Utilisateur.
• Mesure d’audience et statistiques : L’Éditeur peut utiliser des outils d’analyse légers (comme Vercel Analytics) configurés pour collecter des données de trafic anonymes (ne permettant pas de remonter à une personne physique) à des fins d’optimisation des performances de l’infrastructure.
• Traceurs publicitaires tiers (Régies publicitaires) : Utilisés uniquement au bénéfice des comptes de niveau gratuit (Free tier) afin d’afficher des publicités pertinentes. Ces régies tierces peuvent déposer des cookies sur votre appareil. L’Utilisateur a la possibilité d’accepter ou de refuser ces cookies lors de sa première visite via notre bandeau de consentement ou dans les réglages de son navigateur.

Certains de nos sous-traitants techniques (notamment Supabase, Vercel, Stripe et RevenueCat) ont des serveurs situés aux États-Unis. Des données personnelles sont donc susceptibles d’être transférées hors de l’Espace Économique Européen.

Pour encadrer juridiquement ces transferts et garantir un niveau de protection équivalent à celui prescrit par le RGPD, l’Éditeur s’assure que ces prestataires présentent des garanties adéquates, incluant :

• La signature systématique de Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne.
• L’adhésion des prestataires au cadre de l’EU-US Data Privacy Framework (mécanisme d’adéquation validé par l’Union Européenne pour les transferts vers les États-Unis).

L’Éditeur conserve vos données personnelles uniquement pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées, conformément à la réglementation en vigueur.

L’Éditeur prend la sécurité des données personnelles très au sérieux et met en œuvre toutes les mesures techniques, physiques et organisationnelles appropriées pour prévenir la perte, l’altération, la divulgation non autorisée ou l’accès illicite à vos données.

Ces dispositifs de sécurité incluent notamment :

• Le chiffrement systématique des flux de communication à l’aide du protocole TLS (HTTPS).
• Le chiffrement des données stockées dans la base de données PostgreSQL fournie par Supabase.
• Le recours aux règles de sécurité au niveau des lignes (Row Level Security - RLS) sur la base de données, garantissant qu’un Utilisateur connecté ne peut lire ou modifier que ses propres données et non celles d’un tiers.
• L’accès restreint et sécurisé aux serveurs de production uniquement par des clés d’accès uniques et de solides politiques de droits d’administrateur.

Conformément aux dispositions du RGPD et de la Loi Informatique et Libertés, l’Utilisateur dispose des droits fondamentaux suivants sur ses données personnelles :

• Droit d’accès (Art. 15 du RGPD) : Le droit de savoir si nous traitons vos données personnelles et d’en recevoir une copie lisible.
• Droit de rectification (Art. 16 du RGPD) : Le droit d’exiger la correction ou la mise à jour des données personnelles inexactes ou incomplètes vous concernant.
• Droit à l’effacement ou « Droit à l’oubli » (Art. 17 du RGPD) : Le droit de demander la suppression définitive de vos données personnelles sous réserve de nos obligations de conservation légales (notamment comptables).
• Droit à la limitation du traitement (Art. 18 du RGPD) : Le droit d’exiger la suspension temporaire du traitement de vos données (par exemple, le temps de vérifier l’exactitude de vos informations).
• Droit à la portabilité (Art. 20 du RGPD) : Le droit de récupérer vos données personnelles sous un format structuré, couramment utilisé et lisible par machine, en vue de les transmettre à un autre service.
• Droit d’opposition (Art. 21 du RGPD) : Le droit de s’opposer à tout moment, pour des raisons tenant à votre situation particulière, au traitement de vos données personnelles reposant sur notre intérêt légitime.
• Droit post-mortem (Loi Informatique et Libertés) : Le droit de définir des directives spéciales relatives à la conservation, à l’effacement et à la communication de vos données après votre décès.

Comment exercer vos droits ? : L’Utilisateur peut exercer l’un quelconque de ses droits en transmettant sa demande écrite par courrier électronique à l’adresse : privacy@clinigma.app.

Afin de préserver la sécurité des données et de prévenir les usurpations d’identité, l’Éditeur pourra demander à l’Utilisateur de justifier de son identité par tout moyen adéquat. L’Éditeur s’engage à répondre à la demande dans un délai maximum de trente (30) jours calendaires à compter de la réception de la demande complète.

Réclamation auprès de l’autorité de contrôle : Si l’Utilisateur estime, après avoir contacté l’Éditeur, que ses droits ne sont pas respectés ou que le traitement de ses données viole la législation applicable, il peut introduire une réclamation officielle auprès de l’autorité compétente, la CNIL (Commission Nationale de l’Informatique et des Libertés) :