Légal · Transparence · RGPD
Politique de
confidentialité.
Conforme RGPD (UE 2016/679)
Données hébergées en Europe
Aucune vente de données
Aucune publicité ciblée
Aucune police externe (Google Fonts)
La plateforme Nosomi est éditée par Nosomi SAS, société par actions simplifiée en cours d'immatriculation, dont le siège social est établi en France.
Dans le cadre de l'utilisation du formulaire de demande de diagnostic, Nosomi collecte uniquement les informations strictement nécessaires à la génération et à la transmission de votre rapport personnalisé.
Données issues du formulaire :
- Nom et prénom du demandeur
- Adresse email professionnelle
- Numéro FINESS de l'établissement (si sélectionné dans l'autocomplete ou saisi manuellement)
- Nom de l'établissement
- Statut de l'établissement (public, privé, ESPIC)
- Fonction du demandeur (DAF, DG, DIM, etc.)
- Contexte optionnel libre (champ « notes »)
Données techniques collectées automatiquement :
- Adresse IP (anonymisée après traitement anti-spam)
- Données de navigation basiques (navigateur, système d'exploitation) à des fins de sécurité uniquement
- Horodatage de la demande
- Résultat du challenge Cloudflare Turnstile (token anti-bot éphémère — non conservé après vérification)
Engagement : Nosomi ne collecte aucune donnée de santé personnelle. Les analyses produites reposent exclusivement sur des données publiques et agrégées (PMSI, SAE, ATIH, FINESS) qui ne permettent pas d'identifier des patients.
Vos données sont traitées pour les finalités suivantes, sur les bases légales correspondantes au sens de l'article 6 du RGPD :
- Génération et envoi du rapport diagnostic — Base légale : exécution d'un contrat (art. 6.1.b). Vos coordonnées sont nécessaires pour produire votre rapport personnalisé et vous le transmettre.
- Vérification de l'adresse email professionnelle — Base légale : intérêt légitime (art. 6.1.f). Un lien de confirmation est envoyé avant la génération du rapport afin de valider l'adresse et de prévenir les abus.
- Protection contre les abus (anti-bot) — Base légale : intérêt légitime (art. 6.1.f). Cloudflare Turnstile est utilisé pour distinguer les soumissions humaines des robots, sans dépôt de cookie publicitaire.
- Amélioration du service et statistiques d'usage — Base légale : intérêt légitime (art. 6.1.f). Données utilisées de manière agrégée et anonymisée uniquement.
- Respect des obligations légales — Base légale : obligation légale (art. 6.1.c). Conservation des données requises par la réglementation applicable.
Aucun démarchage commercial. Nosomi s'engage à ne jamais utiliser vos coordonnées à des fins de prospection non sollicitée. Vous ne recevrez que les communications directement liées à votre demande.
- Données de formulaire et rapport généré — 12 mois à compter de la date de génération du rapport, puis suppression automatique.
- Adresse email (suivi du service) — 24 mois à compter du dernier contact.
- Logs techniques et de sécurité — 6 mois, conformément aux recommandations CNIL (délibération n° 2021-122).
- Données de facturation et comptables — 10 ans, conformément à l'art. L.123-22 du Code de commerce.
- Token Turnstile — Non conservé au-delà de la vérification (durée de vie < 5 minutes).
À l'expiration de ces délais, vos données sont supprimées de façon sécurisée ou anonymisées de manière irréversible.
Vos données personnelles ne sont jamais vendues, louées ou cédées à des tiers à des fins commerciales. Les sous-traitants techniques sont les suivants :
Sous-traitant
Finalité
Localisation
Vercel Inc.
Hébergement du site et de l'API (région EU West)
UE (SCT signé)
Cloudflare
Protection anti-bot via Turnstile — token éphémère, aucun cookie publicitaire
USA (SCT signé)
Resend, Inc.
Envoi des emails transactionnels (lien de confirmation, rapport, accès cockpit)
USA (SCT signé)
Supabase, Inc.
Base de données applicative (comptes, contexte établissement, demandes de diagnostic)
Société US · données en région UE (SCT signé)
Stripe, Inc.
Paiement des abonnements (uniquement en cas de souscription)
USA (SCT signé)
Fournisseur IA (Anthropic / OpenAI)
Traitement des questions posées à l'assistant du cockpit — sans nom d'établissement ajouté par Nosomi, sans utilisation pour l'entraînement de modèles
USA (SCT signé)
GitHub, Inc.
Orchestration de la génération des rapports (traitement éphémère au moment de la génération)
USA (SCT signé)
Chaque sous-traitant est lié par un accord de traitement de données conforme à l'article 28 du RGPD. Nosomi reste responsable du traitement en toutes circonstances.
En cas d'obligation légale ou judiciaire, Nosomi peut être amené à transmettre des données aux autorités compétentes françaises ou européennes.
Le site et l'API Nosomi sont hébergés via Vercel Inc. (siège aux USA) en région EU West — les données sont physiquement stockées dans l'Union européenne. Un Standard Contractuel Type (SCT) conforme à la décision d'exécution (UE) 2021/914 est en place.
Certains sous-traitants listés ci-dessus (Resend, Stripe, fournisseur IA, GitHub) sont des sociétés américaines : les transferts correspondants sont encadrés par des clauses contractuelles types (SCT). Nosomi ne traitant aucune donnée de santé à caractère personnel, l'obligation d'hébergement HDS (art. L.1111-8 du Code de la santé publique) ne s'applique pas à ce périmètre.
Le service Cloudflare Turnstile peut entraîner un transfert technique de données vers les USA lors de la vérification anti-bot du formulaire. Ce transfert est encadré par les SCT de Cloudflare Inc. La donnée transmise est un token éphémère — aucune donnée personnelle identifiante n'est transmise à Cloudflare.
Aucune police de caractères externe n'est chargée : Space Grotesk et Space Mono sont auto-hébergées sur nos serveurs. Aucune requête vers Google Fonts ou tout autre CDN tiers de polices n'est effectuée lors du chargement des pages.
Données sources : Les données publiques utilisées pour générer les rapports (PMSI, SAE, ATIH, FINESS) sont issues de sources gouvernementales françaises et ne constituent pas des données à caractère personnel.
Conformément au RGPD (UE 2016/679) et à la loi Informatique et Libertés modifiée, vous disposez des droits suivants :
Accès
Obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie.
Rectification
Faire corriger des données inexactes ou incomplètes vous concernant.
Effacement
Demander la suppression de vos données, dans les limites des obligations légales de conservation.
Opposition
Vous opposer au traitement fondé sur l'intérêt légitime, pour des raisons tenant à votre situation particulière.
Limitation
Demander la suspension temporaire du traitement dans certains cas prévus par le RGPD.
Portabilité
Recevoir vos données dans un format structuré et lisible par machine, et les transférer à un autre responsable.
Pour exercer vos droits, écrivez à contact@nosomi.care (objet : « Données personnelles »). Réponse sous 30 jours maximum (art. 12 RGPD), prolongeable à 3 mois pour les demandes complexes.
Si vous estimez que le traitement de vos données n'est pas conforme, vous pouvez introduire une réclamation auprès de la CNIL : www.cnil.fr — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
Nosomi met en œuvre des mesures techniques et organisationnelles appropriées conformément à l'article 32 du RGPD :
- Chiffrement des données en transit (TLS 1.3) et au repos (AES-256)
- Vérification d'email professionnel avant tout accès au rapport (double opt-in)
- Protection anti-bot via Cloudflare Turnstile sur le formulaire de soumission
- Accès aux données restreint aux seules personnes habilitées (principe du moindre privilège)
- Journalisation des accès et surveillance continue des anomalies
- Aucun stockage de données de paiement sur nos infrastructures
- Révision régulière des mesures de sécurité
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, Nosomi s'engage à notifier la CNIL dans un délai de 72 heures et à vous informer sans délai injustifié si ce risque est élevé (art. 33 et 34 RGPD).
Nosomi adopte une approche minimaliste, conforme à la directive ePrivacy et aux recommandations CNIL (délibération n° 2020-091).
Cookies strictement nécessaires — aucun consentement requis :
- Cookie de session technique — maintient la cohérence du formulaire multi-étapes. Supprimé à la fermeture du navigateur (session cookie).
- Token de vérification d'email — valide l'adresse email et sécurise l'accès au rapport. Durée de validité : 24 heures.
Services tiers et traceurs :
- Cloudflare Turnstile (formulaire uniquement) — challenge anti-bot privacy-friendly, sans cookie publicitaire. Traitement limité à la vérification ponctuelle. Aucun suivi comportemental.
- Google Fonts — non utilisé. Les polices Space Grotesk et Space Mono sont auto-hébergées sur nosomi.care. Aucune requête envoyée vers des serveurs Google ou tiers.
- Analytics tiers — aucun outil d'analyse d'audience tiers (Google Analytics, Hotjar, Matomo cloud, etc.) n'est chargé sur ce site.
Résultat : Nosomi.care ne dépose aucun cookie publicitaire ni traceur de suivi comportemental. Votre navigation ne contribue pas à la construction de profils publicitaires. Aucun bandeau de consentement aux cookies n'est requis dans l'état actuel du site.