Politique de confidentialité

Les données de santé comptent parmi les informations les plus sensibles qui existent. Nous les traitons à la hauteur de cet enjeu.

La présente Politique de confidentialité explique comment Azertica, Inc. collecte, utilise, partage et protège les données personnelles lors de l'utilisation de la plateforme jammsante. Elle s'applique aux trois publics médecins, pharmaciens, patients avec des précisions par rôle lorsque c'est pertinent.

Nous nous engageons à respecter la loi sénégalaise n° 2008-12 sur la protection des données à caractère personnel, sous le contrôle de la Commission de Protection des Données Personnelles (CDP), ainsi que lorsque applicable le Règlement général sur la protection des données (RGPD) de l'UE.

Dossiers de santé du patient. Le professionnel ou l'établissement de santé qui crée un dossier clinique est responsable de traitement pour ce dossier. jammsante agit en tant que sous-traitant pour son compte, dans le cadre d'un Accord de traitement des données qui régit notre traitement.

Compte, facturation, usage de la plateforme. Azertica, Inc. est responsable de traitement pour les données personnelles que vous fournissez pour créer et utiliser votre compte, pour la facturation, pour les journaux de sécurité, et pour l'analyse produit.

Si vous êtes patient et souhaitez exercer des droits sur vos dossiers médicaux, contactez le professionnel de santé qui les a créés. Pour les questions liées à votre compte, contactez directement notre DPO.

Compte et identité. Nom, e-mail, numéro de téléphone, numéro de licence professionnelle (médecins et pharmaciens), affiliation employeur / cabinet / pharmacie, photo de profil si vous en téléversez une.

Données de santé. Données démographiques du patient, antécédents médicaux, notes de consultation, ordonnances, résultats d'examens et pièces jointes, enregistrements audio des consultations lorsque le scribe IA est activé, ainsi que toute donnée que vous choisissez de téléverser.

Données d'usage. Pages visitées, fonctionnalités utilisées, horodatages, adresse IP, infos navigateur et appareil, journaux d'erreurs.

Données de paiement. Adresse de facturation et les quatre derniers chiffres de la carte. Les numéros complets sont gérés directement par notre prestataire de paiement conforme PCI et n'atteignent jamais nos serveurs.

Cookies et technologies similaires. Cookies strictement nécessaires pour la gestion de session ; cookies analytiques optionnels que vous pouvez refuser.

Fournir le Service. Pour offrir les fonctionnalités demandées rendez-vous, ordonnances, scribe IA, dossiers et vous accompagner en cas de problème.

Sécurité et prévention des abus. Pour détecter les accès non autorisés, enquêter sur les incidents, et protéger nos utilisateurs et notre infrastructure.

Conformité légale et réglementaire. Pour respecter nos obligations sénégalaises en matière de santé, fiscalité et protection des données, y compris en répondant à des demandes légales d'autorités.

Amélioration du service. Pour analyser l'usage de la plateforme, corriger les bugs, et prioriser les améliorations. Nous utilisons des données agrégées et désidentifiées dès que possible.

Communications. Pour envoyer des annonces relatives au Service (alertes de sécurité, facturation, modifications de politique). Les e-mails marketing sont envoyés uniquement sur consentement explicite et vous pouvez vous désinscrire à tout moment.

La loi sénégalaise 2008-12 et, lorsqu'applicable, l'article 6 du RGPD nous imposent d'identifier une base légale pour chaque traitement :

Exécution d'un contrat lorsque le traitement est nécessaire pour fournir une fonctionnalité que vous avez demandée.

Obligation légale lorsque la conservation ou la divulgation est imposée par la loi (par exemple, conservation obligatoire des dossiers médicaux).

Intérêt légitime pour la sécurité, la prévention de la fraude, et l'analyse produit agrégée, lorsque ces intérêts ne prévalent pas sur vos droits.

Consentement pour les traitements sensibles tels que la transcription IA des consultations, les cookies analytiques optionnels et les communications marketing. Vous pouvez retirer votre consentement à tout moment, sans affecter la licéité des traitements antérieurs.

Intérêt vital dans de rares situations d'urgence où le traitement est nécessaire pour protéger une vie humaine.

Lorsqu'un médecin active le scribe IA pour une consultation, le patient en est informé et son consentement explicite est enregistré avant le démarrage de l'enregistrement. L'audio est chiffré en transit et au repos. La transcription se fait sur une infrastructure que nous contrôlons puis est supprimée de la couche IA.

Nous ne partageons aucun audio patient, transcription ou note clinique avec un fournisseur d'IA tiers à des fins d'entraînement de modèles généralistes. Lorsqu'un modèle tiers est utilisé, le traitement est encadré par un contrat interdisant tout entraînement sur nos données.

Les patients peuvent retirer leur consentement à la transcription IA à tout moment. Les médecins peuvent désactiver le scribe IA globalement ou par consultation.

Votre équipe soignante. Les données du patient ne sont partagées qu'avec les professionnels de santé avec lesquels vous avez une relation de soin, et uniquement dans la mesure utile à ces soins.

Prestataires de service. Nous utilisons un nombre restreint de sous-traitants vérifiés pour l'hébergement, la supervision d'erreurs, les paiements et l'envoi d'e-mails. La liste à jour est disponible sur jammsante.com/subprocessors.

Autorités. Nous transmettons des données lorsqu'une demande légale valide d'une autorité sénégalaise (ou étrangère via un mécanisme reconnu de coopération) l'exige. Nous nous opposons aux demandes excessives et notifions les utilisateurs concernés lorsque la loi le permet.

Nous ne vendons jamais vos données personnelles. Point.

Les données de santé sont hébergées dans des centres de données situés au Sénégal ou en Union européenne (région Paris), chez des hébergeurs certifiés pour les charges de travail santé (HDS ou équivalent).

Un nombre limité d'outils support (supervision d'erreurs, e-mail transactionnel) opèrent depuis d'autres régions, dont les États-Unis. Lorsque des données sont transférées hors du Sénégal ou de l'EEE, nous nous appuyons sur des Clauses Contractuelles Types et des garanties additionnelles validées par notre DPO.

Données de compte. Conservées pendant la durée du compte, plus 36 mois après clôture, à des fins légales et fiscales.

Dossiers médicaux. Conservés conformément aux règles sénégalaises de conservation des dossiers médicaux généralement au minimum 10 ans à compter de la dernière interaction avec le patient, plus pour les dossiers pédiatriques ou si le suivi en cours l'exige.

Journaux de sécurité. Conservés jusqu'à 12 mois pour l'investigation d'incidents.

Pièces de paiement. Conservées 10 ans pour répondre aux exigences comptables et fiscales.

Sauvegardes. Sauvegardes chiffrées conservées 30 jours en rotation.

À l'expiration de la période de conservation, les données sont détruites de manière sécurisée ou totalement anonymisées.

En vertu de la loi sénégalaise 2008-12 et, le cas échéant, du RGPD, vous disposez du droit :

d'accès obtenir une copie des données personnelles que nous détenons sur vous ;

de rectification corriger des données inexactes ou incomplètes ;

à l'effacement demander la suppression de vos données, sous réserve des obligations légales de conservation (pour les dossiers médicaux, cela signifie un archivage à accès restreint plutôt qu'une suppression immédiate) ;

à la portabilité recevoir vos données dans un format structuré et lisible par machine ;

à la limitation suspendre le traitement le temps qu'un litige soit résolu ;

d'opposition vous opposer au traitement fondé sur l'intérêt légitime, y compris au profilage ;

de retrait du consentement à tout moment, lorsque le consentement est la base légale ;

de définir des directives post-mortem préciser ce qu'il advient de vos données après votre décès.

Pour exercer un droit, écrivez à dpo@jammsante.com. Nous répondons sous 30 jours. En cas d'insatisfaction, vous pouvez saisir la CDP (cdp.sn) ou, lorsque le RGPD s'applique, votre autorité de contrôle locale.

Chiffrement. Toutes les données sont chiffrées en transit (TLS 1.3) et au repos (AES-256).

Contrôles d'accès. Accès strict basé sur les rôles ; l'accès à la production est multi-facteurs et audité.

Audits et certifications. Nous menons des audits de sécurité indépendants et poursuivons les certifications ISO 27001 et SOC 2 Type II. Un résumé des certifications est disponible sur demande.

Notification de violation. Dans l'éventualité peu probable d'une violation de données affectant vos données personnelles, nous notifierons la CDP dans les 72 heures et informerons les utilisateurs concernés sans retard injustifié lorsque la violation présente un risque élevé pour leurs droits.

Les comptes Application patient pour les personnes de moins de 18 ans doivent être créés et gérés par un parent ou tuteur légal. Les professionnels de santé peuvent bien sûr créer des dossiers médicaux pour des patients pédiatriques dans le cadre normal des soins ; ces dossiers bénéficient des mêmes garanties que ceux des adultes.

Cookies strictement nécessaires : authentification, état de session, sécurité. Ils ne peuvent pas être désactivés.

Cookies analytiques : nous aident à comprendre l'usage agrégé. Ils ne sont chargés qu'après consentement explicite via notre bannière cookies. Vous pouvez modifier votre choix à tout moment depuis le pied de page.

Nous n'utilisons aucun cookie publicitaire ou de suivi inter-sites.

Nous pouvons mettre à jour cette politique. Le numéro de version et la date « Dernière mise à jour » en haut de page indiquent toujours la version courante. Un journal des versions précédentes est disponible sur jammsante.com/privacy/changelog. Les changements importants sont annoncés par e-mail et au sein du produit au moins 30 jours avant leur entrée en vigueur.

Pour toute question relative à cette politique ou pour exercer un droit, contactez notre Délégué à la Protection des Données à dpo@jammsante.com, ou par courrier à : Azertica, Inc. DPO, Immeuble Médina, 12 Avenue Léopold Sédar Senghor, Dakar 12500, Sénégal.

Vous avez également le droit de saisir la Commission de Protection des Données Personnelles (CDP) sur cdp.sn.