Politique de Confidentialité & Notice de Conformité CNIL / RGPD

Be Smart Global, LLC ("DocReport France", "nous", "notre") édite la plateforme DocReport France. La présente Politique de Confidentialité constitue un accord B2B juridiquement contraignant conclu entre notre société et les professionnels de santé, cabinets médicaux, cliniques et centres de soins établis sur le territoire français.

Cette politique définit nos engagements de traitement de données conformément au **Règlement Général sur la Protection des Données (RGPD)** de l'Union Européenne (Règlement UE 2016/679), à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (dite **Loi Informatique et Libertés**), ainsi qu'aux directives de la **Commission Nationale de l'Informatique et des Libertés (CNIL)**.

La marque et la plateforme DocReport France sont éditées par Be Smart Global, LLC, une société à responsabilité limitée (Limited Liability Company) de droit américain enregistrée dans l'État du Delaware sous le numéro d'archive 10620833.

Notre siège social est situé à l'adresse suivante :

Pour toute demande juridique, de conformité ou pour contacter notre Délégué à la Protection des Données (DPO), vous pouvez écrire à : info@be-smart-business.de

Pour garantir le respect strict du secret médical et des réglementations de la CNIL concernant le traitement des données de santé en France—et notamment le **Numéro d'Inscription au Répertoire des personnes physiques (NIR / numéro de Sécurité Sociale)**—DocReport France intègre par défaut une architecture Zero-Trust / Zero-Knowledge côté client :

• Nettoyage local (Scrubbing) du NIR : Les numéros de Sécurité Sociale (15 chiffres), noms de patients, dates de naissance et coordonnées sont automatiquement détectés par regex et supprimés directement dans le navigateur local du praticien *avant* tout envoi de données à notre API de transcription. Ils sont remplacés par des jetons neutres (ex: `[FR_NIR_1]`).
• Restauration locale en RAM : L'association des données médicales structurées générées par l'IA avec l'identité réelle du patient s'effectue exclusivement au sein de la mémoire active (RAM) du terminal du médecin. Nos serveurs cloud ne voient jamais le NIR ou les données nominatives en clair.
• Chiffrement AES-GCM 256 bits local : Les comptes rendus archivés sont chiffrés dans le navigateur du médecin à l'aide d'une clé cryptographique de cabinet stockée localement dans le `localStorage` de son appareil. Notre base cloud ne stocke que des données cryptées indéchiffrables portant le préfixe `FR_SECURE_CIPHER:`.
• Hébergement Souverain : Le traitement algorithmique par Vertex AI est effectué au sein des centres de données européens de Google Cloud (multi-région `eu`). Aucune donnée n'est transférée hors de l'UE.

Nous traitons deux catégories de données :

• Données de Compte & Facturation (B2B) : Nom du médecin, adresse email professionnelle, numéro de téléphone, numéro RPPS, coordonnées de facturation de la structure médicale et données de paiement traitées via Stripe.
• Données d'Usage & Codes Techniques : Diagnostics codés CIM-10, actes de facturation CCAM techniques et consultations complexes NGAP nécessaires à l'optimisation et à la justification des soins.

Bien que le RGPD et la Loi Informatique et Libertés prévoient un droit à l'effacement, les professionnels de santé français sont soumis aux obligations légales de conservation des dossiers médicaux prévues par le Code de la Santé Publique (notamment l'article R. 1112-7), qui impose une durée de conservation minimale de 20 ans à compter de la date de la dernière visite (ou jusqu'au 28ème anniversaire pour les mineurs).

Par conséquent, les obligations réglementaires de conservation des dossiers de santé par les praticiens **priment** sur les demandes de suppression simples. L'archivage crypté et le maintien de la clé d'accès sont sous l'entière responsabilité du médecin. Lors de la résiliation de l'abonnement, toutes les données cryptées hébergées sur notre cloud sont purgées sous 30 jours.

Les praticiens abonnés disposent des droits suivants concernant leurs propres données administratives et professionnelles B2B :

• Droit d'accès et de portabilité : Obtenir un export de leurs données de compte.
• Droit de rectification : Mettre à jour leurs coordonnées professionnelles ou bancaires.
• Droit d'effacement : Demander la suppression de leur profil utilisateur lors de la clôture définitive du compte.