Politique de confidentialité
Dernière mise à jour : 24 avril 2026.
1. Responsable du traitement
Le responsable du traitement de vos données personnelles est :
Ce site est exploité à titre personnel. Une structure juridique (ConcordiaMentis) est en cours de création et se substituera au responsable actuel. Cette politique sera mise à jour en conséquence.
2. Données collectées et finalités
Dans le cadre de l'utilisation de Concordia Mentis, les données suivantes sont collectées :
| Catégorie | Données | Finalité |
|---|---|---|
| Compte | Adresse e-mail, prénom, nom, mot de passe (chiffré bcrypt), date de naissance | Authentification, accès au service, vérification de l'âge minimum de 15 ans |
| Données de santé Art. 9 | Émotions, scores de questionnaires cliniques (anxiété, dépression, sommeil…), journal de bord, plan de sécurité | Suivi de santé mentale ; partage optionnel avec un thérapeute |
| Relation thérapeutique | Liens thérapeute-patient, prescriptions, résultats partagés | Fonctionnement du lien thérapeutique numérique |
| Newsletter | Adresse e-mail | Envoi de nouvelles du service (optionnel, sur inscription volontaire) |
| Données techniques | Adresse IP (logs réseau) | Sécurité, prévention des abus |
Les données de santé constituent une catégorie spéciale au sens de l'Art. 9 du RGPD et font l'objet d'une protection renforcée.
3. Base légale du traitement
- ·Compte et données de santé : consentement explicite (Art. 6(1)(a) et Art. 9(2)(a) RGPD), recueilli lors de la création du compte via une case à cocher dédiée.
- ·Newsletter : consentement explicite (Art. 6(1)(a) RGPD), recueilli lors de l'inscription à la newsletter.
- ·Données techniques : intérêt légitime (Art. 6(1)(f) RGPD) pour la sécurité du service et la prévention des abus.
4. Durée de conservation
| Données | Durée |
|---|---|
| Compte actif et données associées | 3 ans après la dernière connexion, puis suppression automatique |
| Compte non vérifié (e-mail non confirmé) | 30 jours après la création, puis suppression automatique |
| Abonné newsletter actif | Jusqu'à désinscription |
| Enregistrement de désinscription newsletter | 3 ans après désinscription (preuve du consentement retiré) |
| Journaux techniques d'erreurs applicatives (résolues) | 90 jours après l'incident, puis suppression automatique. Les incidents non résolus sont conservés tant qu'ils ne sont pas clos par notre équipe support. |
5. Sous-traitants et transferts de données
Vos données sont hébergées et traitées exclusivement en France. Aucune donnée n'est vendue ni partagée à des fins commerciales.
| Sous-traitant | Rôle | Localisation | Certifications |
|---|---|---|---|
| Clever Cloud SAS | Hébergement de l'application et de la base de données | Paris, France | HDS, ISO 27001 |
| OVHcloud | Hébergement des boîtes e-mail (@concordiamentis.com) | France | · |
| Brevo (anciennement Sendinblue) | Envoi d'e-mails transactionnels et newsletter | Union Européenne | · |
6. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- ·Droit d'accès (Art. 15) : obtenir une copie de vos données.
- ·Droit de rectification (Art. 16) : corriger vos informations de profil depuis l'application.
- ·Droit à l'effacement (Art. 17) : supprimer votre compte et l'ensemble de vos données depuis l'application.
- ·Droit à la portabilité (Art. 20) : télécharger toutes vos données au format JSON depuis les paramètres de l'application.
- ·Droit d'opposition (Art. 21) : vous opposer à certains traitements.
- ·Droit de retrait du consentement : à tout moment, sans remettre en cause la licéité des traitements antérieurs.
En cas de réponse insatisfaisante, vous pouvez introduire une réclamation auprès de la CNIL : cnil.fr.
7. Cookies
Concordia Mentis n'utilise qu'un seul cookie : le cookie de session cm_session. Ce cookie est strictement nécessaire au fonctionnement du service (maintien de la session authentifiée). Il est chiffré, stocké en HTTP-only (inaccessible par JavaScript) et expire après 7 jours.
Aucun cookie publicitaire, analytique ou de pistage n'est utilisé. Aucun bandeau de consentement aux cookies n'est requis.
8. Sécurité
- ·Mots de passe chiffrés avec bcrypt (12 itérations).
- ·Sessions JWT signées, transmises en HTTP-only cookie.
- ·Communication chiffrée en TLS/HTTPS.
- ·Limitation du taux de requêtes sur les endpoints d'authentification.
- ·Infrastructure hébergée chez un prestataire certifié HDS (Hébergement de Données de Santé) et ISO 27001, localisé en France.
9. Restriction d'âge et traitement des données des mineurs
L'accès au service est réservé aux personnes âgées d'au moins 15 ans. Aucun compte n'est créé pour un utilisateur en-deçà de cet âge.
Cette restriction découle de l'article 8 du RGPD et de l'article 45 de la loi n° 78-17 du 6 janvier 1978 (Informatique et Libertés), qui fixent l'âge du consentement numérique à 15 ans en France. En-deçà, le traitement de données personnelles d'un mineur, a fortiori de santé, requiert le consentement conjoint du titulaire de l'autorité parentale.
La date de naissance est collectée à l'inscription à cette seule fin. L'âge est vérifié côté serveur au moment de la création du compte ; toute tentative avec un âge inférieur à 15 ans est refusée, et aucun compte n'est créé pour ces candidats.
10. Modification de la politique
Cette politique peut être mise à jour pour refléter l'évolution du service ou de la réglementation. La date de dernière mise à jour est indiquée en haut de ce document. En cas de modification substantielle, vous en serez informé par e-mail à l'adresse associée à votre compte.