Politique de confidentialité

Cette politique s'adresse à toute personne utilisant la plateforme Qualisia — professionnels d'établissements médico-sociaux (SAAD, SSIAD, EHPAD, MAS, FAM) ou tout autre utilisateur de nos services, quelle que soit leur localisation, dès lors qu'ils ont au moins 15 ans.

Si vous avez moins de l'âge légal applicable, l'utilisation de nos services requiert le consentement préalable et explicite de vos parents ou du titulaire de l'autorité parentale. Pour toute question à ce sujet, contactez-nous à dpo@qualisia.fr.

Nous traitons vos données personnelles uniquement pour des finalités précises, légitimes et proportionnées :

• Fourniture du service — accès à la plateforme, gestion de votre compte, enregistrement et suivi de vos signalements, réclamations, visites à domicile et plans d'aide. Fondement : exécution du contrat (CGU).
• Gestion des utilisateurs — création, modification et suppression de comptes, gestion des droits d'accès par rôle au sein de votre établissement. Fondement : exécution du contrat.
• Analyse intelligente des signalements — nos algorithmes d'IA analysent les signalements pour qualifier leur gravité, détecter les Événements Indésirables Graves (EIG) et proposer des recommandations. Toutes les données sont pseudonymisées avant tout traitement IA. Fondement : exécution du contrat + intérêt légitime.
• Communications techniques — emails de réinitialisation de mot de passe, invitations d'équipe, alertes de conformité réglementaire. Fondement : exécution du contrat.
• Amélioration et sécurité du service — journaux d'audit, statistiques d'usage agrégées, détection des anomalies et des tentatives d'accès non autorisés. Fondement : intérêt légitime + obligations légales.
• Obligations légales — conservation des journaux d'accès, gestion des demandes d'exercice des droits, conformité RGPD et HDS (phase 2). Fondement : obligation légale.

Nous appliquons le principe de minimisation des données : nous ne collectons que ce qui est strictement nécessaire.

À l'expiration des durées applicables, vos données sont supprimées de manière irréversible. En cas de contentieux, nous conservons les données concernées pour toute la durée de traitement du dossier.

Le RGPD vous confère des droits concrets que vous pouvez exercer à tout moment, gratuitement, en nous contactant à dpo@qualisia.fr :

• Droit d'accès — obtenir une copie de vos données personnelles que nous détenons.
• Droit de rectification — corriger des données erronées, obsolètes ou incomplètes.
• Droit à l'effacement — demander la suppression de données non essentielles au fonctionnement du service (« droit à l'oubli »).
• Droit à la limitation — bloquer temporairement l'utilisation de vos données en cas de contestation.
• Droit à la portabilité — récupérer vos données dans un format structuré et lisible par machine.
• Droit d'opposition — vous opposer à un traitement fondé sur notre intérêt légitime.
• Directives post-mortem — définir le sort de vos données en cas de décès.

Nous accusons réception de votre demande sous 72 heures et y répondons dans un délai maximum d'un mois (trois mois pour les demandes complexes). Une preuve d'identité peut vous être demandée afin de protéger vos données contre toute demande frauduleuse.

Vos données sont traitées par nos équipes internes, strictement dans le cadre de la fourniture du service, et par nos sous-traitants techniques soigneusement sélectionnés :

• Supabase (PostgreSQL) — hébergement base de données, serveurs UE.
• Vercel — hébergement applicatif, Edge Network, serveurs UE.
• Anthropic (Claude API) — analyse IA des signalements pseudonymisés uniquement. Les données ne sont pas utilisées pour l'entraînement des modèles.
• Resend — envoi d'emails transactionnels.

Nous ne vendons jamais vos données. Nous ne les cédons jamais à des tiers à des fins commerciales. C'est une règle sans exception chez Qualisia.

L'intégralité des données métier de Qualisia est hébergée sur des serveurs situés au sein de l'Union européenne (Supabase — région Frankfurt/EU). Notre infrastructure applicatrice (Vercel) opère également depuis des points de présence européens pour les utilisateurs français.

Pour les sous-traitants dont les serveurs principaux sont localisés hors UE (notamment Anthropic), nous appliquons les garanties appropriées requises par le RGPD (clauses contractuelles types, minimisation des données, pseudonymisation préalable) et veillons à ce qu'aucune donnée permettant l'identification directe d'un usager ne soit transmise.

La sécurité de vos données est une priorité opérationnelle, pas un simple engagement déclaratif. Nous mettons en œuvre :

Mesures techniques

• Chiffrement des données au repos (AES-256) et en transit (TLS 1.3)
• Authentification sécurisée (BetterAuth) avec hachage des mots de passe (bcrypt)
• Isolation stricte des données par établissement (architecture multi-tenant)
• Pseudonymisation automatique avant tout traitement par l'IA
• Journal d'audit immuable sur toutes les actions sensibles
• Soft-delete (suppression logique) pour prévenir les suppressions accidentelles
• En-têtes de sécurité HTTPS, CSP (Content Security Policy) avec nonce
• Rate limiting sur toutes les API et endpoints d'authentification

Mesures organisationnelles

• Accès aux données limité aux personnes habilitées selon le principe du moindre privilège
• Matrice RBAC (contrôle d'accès par rôle) à 6 niveaux au sein de chaque établissement
• Procédure de gestion des violations de données (notification CNIL sous 72 h)
• Sensibilisation régulière des équipes à la sécurité et à la protection des données

Nous n'utilisons aucun cookie publicitaire ou de traçage tiers sur la plateforme Qualisia.

Nous utilisons uniquement des cookies strictement nécessaires au fonctionnement du service (gestion de session authentifiée) et des cookies statistiques anonymisés pour mesurer les performances de la plateforme. Ces derniers ne permettent pas de vous identifier personnellement.

Qualisia traite, pour le compte de vos établissements (en tant que sous-traitant au sens du RGPD), des données relatives aux usagers médico-sociaux dans le cadre des modules Signalements, Réclamations et Evaldom. Ces données sont susceptibles de constituer des données de santé au sens du RGPD.

À ce titre :

• Votre établissement est responsable de traitement pour ces données — Qualisia agit comme sous-traitant et suit vos instructions documentées.
• Un accord de sous-traitance (DPA) est intégré à nos conditions générales.
• En phase 1, l'hébergement n'est pas certifié HDS. La certification HDS est prévue en phase 2 — nous vous notifierons de cette évolution.
• Nous ne traitons jamais les données des usagers à d'autres fins que celles explicitement définies dans votre contrat.

Pour toute question relative à la protection de vos données ou pour exercer vos droits, contactez notre Délégué à la Protection des Données :

Si vous estimez que vos droits ne sont pas respectés, vous pouvez également adresser une réclamation à la CNIL :

Commission nationale de l'informatique et des libertés
3 place de Fontenoy — TSA 80751 — 75334 Paris Cedex 07
Téléphone : 01.53.73.22.22 · www.cnil.fr

Nous pouvons mettre à jour cette politique pour refléter les évolutions légales, réglementaires ou fonctionnelles de la plateforme. En cas de modification substantielle, vous serez informés par email et/ou par une notification visible dans l'interface au moins 30 jours avant l'entrée en vigueur des nouvelles dispositions.

La version précédente reste accessible sur simple demande à dpo@qualisia.fr.