Politique de confidentialité

1. Responsable du traitement

SR MedLab (SAS), représentée par Dr Sacha Rozencwajg, est responsable du traitement des données personnelles collectées via la plateforme EDN-IA.

Délégué à la Protection des Données (DPO) : le DPO de l'Université Paris-Saclay.

Contact : dpo@edn-ia.fr

2. Données collectées

Aucune donnée de santé au sens du RGPD n'est collectée. Les contenus médicaux manipulés sont des référentiels pédagogiques publics, pas des données de patients.

3. Finalités

• Fournir l'accès au chatbot IA et à l'entraînement par questions
• Suivre la progression pédagogique de l'étudiant
• Permettre aux enseignants de créer, valider et publier des questions
• Administrer la plateforme (gestion des comptes, statistiques agrégées)
• Assurer la sécurité du service (rate limiting, détection d'abus)

4. Durée de conservation

• Comptes actifs : données conservées tant que le compte est actif
• Comptes supprimés : les données personnelles (nom, email) sont anonymisées immédiatement. Les statistiques agrégées et anonymisées peuvent être conservées à des fins de recherche pédagogique
• Comptes inactifs : les comptes sans connexion depuis 24 mois seront automatiquement anonymisés

5. Transferts de données

Certaines données peuvent être transférées hors de l'Union Européenne dans le cadre de l'utilisation de sous-traitants techniques :

• Google Cloud / Gemini : données traitées en UE (europe-west1). Clauses contractuelles types (SCC) en place
• Pinecone : index vectoriels stockés aux US. Données indexées = extraits anonymisés de référentiels pédagogiques (pas de données personnelles)
• Mistral AI : traitement en France (UE). Pas de transfert hors UE

6. Vos droits

Conformément au RGPD (Règlement UE 2016/679), vous disposez des droits suivants :

• Droit d'accès : obtenir une copie de vos données (bouton « Exporter mes données » dans votre profil)
• Droit de rectification : modifier vos informations dans votre profil
• Droit à l'effacement : supprimer votre compte (bouton « Supprimer mon compte » dans votre profil)
• Droit d'opposition : vous opposer au traitement en écrivant à dpo@edn-ia.fr
• Droit à la portabilité : recevoir vos données dans un format structuré (JSON)

En cas de litige, vous pouvez introduire une réclamation auprès de la CNIL (www.cnil.fr).

7. Cookies

EDN-IA utilise un unique cookie technique (JWT d'authentification). Ce cookie est :

• Strictement nécessaire au fonctionnement du service
• Non partagé avec des tiers
• Expirant après 24 heures
• Configuré avec les flags HttpOnly, Secure, SameSite=Lax

Aucun cookie d'analytics, de tracking publicitaire ou de tiers n'est utilisé. Aucun consentement cookie n'est donc requis au titre de la directive ePrivacy.

8. Intelligence artificielle

EDN-IA utilise des modèles d'intelligence artificielle générative (Mistral AI, Google Gemini) pour :

• Générer des réponses pédagogiques à partir des référentiels officiels
• Générer des questions d'entraînement pour les enseignants
• Rechercher les extraits pertinents dans les référentiels (RAG)

Les réponses IA ne constituent ni un avis médical, ni une source de vérité absolue. Elles sont toujours accompagnées de leurs sources (extraits du référentiel) pour vérification. Les questions générées sont systématiquement revues et validées par un enseignant avant publication.

Aucune donnée personnelle n'est utilisée pour entraîner les modèles IA. Les conversations ne sont pas stockées côté fournisseur IA (politique de non-rétention Mistral / Google).

9. Sécurité

• Mots de passe hashés avec bcrypt (salage automatique)
• Connexion HTTPS obligatoire
• Rate limiting sur les endpoints d'authentification
• Cookies sécurisés (HttpOnly, Secure, SameSite)
• Secrets gérés via Google Cloud Secret Manager
• Accès aux données restreint par rôles (étudiant, enseignant, admin)