Confidentialité

Politique de confidentialité

Dernière mise à jour : 20 mai 2026

1. Notre engagement

La protection des données du Client est au cœur du modèle Presoma. Les données de santé étant des données particulières au sens de l'article 9 du RGPD, Presoma applique une séparation stricte entre les données identifiantes (« Base identité ») et les données médicales (« Base médicale »), hébergées sur des infrastructures distinctes. La séparation est mise en œuvre par pseudonymisation forte au sens du considérant 26 du RGPD.

2. Responsable de traitement

Le responsable de traitement est Carvesting SASU, RCS Paris 985 244 466, dont le siège social est situé 37 rue Cortambert, 75016 Paris (France), opérant le Service sous la marque commerciale « Presoma ». Le délégué à la protection des données (DPO) est joignable à dpo@presoma.com. Le Client peut introduire à tout moment une réclamation auprès de la CNIL (3 place de Fontenoy, 75007 Paris, www.cnil.fr).

3. Catégories de données traitées

Données d'identité et de compte

Nom, prénom, date de naissance, sexe, adresse postale, adresse email, numéro de téléphone, identifiants de connexion, données techniques de connexion (adresse IP, type d'appareil, navigateur, langue).

Données de santé

Réponses au questionnaire médical de prévention, antécédents personnels et familiaux déclaratifs, résultats de biomarqueurs sanguins fournis par le LBM partenaire, niveau de vigilance interne produit par PresomIA, compte-rendu rédigé et signé par le médecin partenaire, recommandations personnalisées.

Données de paiement

Informations relatives aux transactions (montant, date, identifiant de transaction) traitées par Stripe. Aucune donnée bancaire (numéro de carte, cryptogramme) n'est conservée par Presoma.

Données de contact, d'usage et de sécurité

Échanges avec le service client, statistiques d'utilisation, indicateurs de qualité de service, journaux d'accès et logs de sécurité.

4. Finalités et bases légales

Exécution du contrat

Gestion du compte, de la commande, du parcours et de la mise à disposition du compte-rendu. Service client. Facturation et recouvrement.

Base légale : exécution du contrat (RGPD art. 6.1.b).

Traitement des données de santé pour la fourniture du Check-up

Génération du panel, validation analytique par le biologiste médical du LBM, interprétation médicale par le médecin partenaire, constitution du compte-rendu et conservation dans le dossier patient interne.

Base légale : consentement explicite (RGPD art. 9.2.a), matérialisé par une case dédiée non pré-cochée.

Amélioration des panels et des algorithmes (R&D interne) — optionnelle

Affinage des seuils, des combinaisons de biomarqueurs et des règles d'interprétation ; entraînement, calibration et validation des modèles internes PresomIA ; évolution du Service. Les données utilisées sont pseudonymisées et ne quittent pas Presoma.

Base légale : consentement explicite (RGPD art. 9.2.a), spécifique à cette finalité.

Recherche scientifique avec partenaires académiques — optionnelle

Constitution de cohortes et études rétrospectives sur données pseudonymisées ; partage avec des partenaires de recherche académique (établissements hospitalo-universitaires, organismes publics) dans le cadre de conventions écrites ; publications scientifiques sous forme agrégée et anonyme.

Base légale : consentement explicite (RGPD art. 9.2.a) et, le cas échéant, art. 9.2.j (recherche scientifique) et L.1121-1 CSP.

Sécurité, prévention de la fraude, défense de droits

Journalisation, contrôles de sécurité, prévention de l'usurpation d'identité, défense des intérêts légitimes de Presoma.

Base légale : intérêt légitime (RGPD art. 6.1.f).

Obligations légales

Conservation comptable, conservation des documents médicaux, réponses aux réquisitions.

Base légale : obligation légale (RGPD art. 6.1.c).

5. Destinataires

Les données sont accessibles à un cercle restreint et tracé :

  • · Le Client lui-même.
  • · Le médecin partenaire signataire (uniquement pour les données nécessaires à la rédaction et à la signature du compte-rendu).
  • · Le LBM partenaire (uniquement pour les phases pré-analytique et analytique).
  • · L'équipe de Presoma habilitée, sur demande motivée et journalisée.
  • · Les sous-traitants techniques de Presoma, liés par contrat conforme à l'article 28 du RGPD (hébergeur HDS, prestataire de paiement, prestataire d'envoi d'emails, prestataire d'authentification).
  • · Sous réserve du consentement spécifique du Client, les partenaires académiques de recherche identifiés dans la convention applicable, sur données pseudonymisées.

Engagement Presoma : aucune revente, aucune cession, aucune monétisation directe ou indirecte des données — identifiantes, pseudonymisées ou anonymisées. Aucun partenariat avec assureurs, mutuelles, employeurs ou industriels privés.

6. Transferts hors Union européenne

Les données sont, par principe, hébergées et traitées au sein de l'Union européenne. Tout transfert hors UE est encadré par les clauses contractuelles types adoptées par la Commission européenne ou un mécanisme équivalent au sens de l'article 46 du RGPD.

7. Durée de conservation

  • · Données d'identité et de compte : pendant la durée d'utilisation du Service, puis trois (3) ans après la dernière activité.
  • · Données médicales (questionnaire, biomarqueurs, compte-rendu) : vingt (20) ans à compter du dernier Check-up, par référence aux dossiers médicaux hospitaliers (CSP R.1112-7), sauf demande de suppression anticipée.
  • · Données de facturation : dix (10) ans (Code de commerce L.123-22).
  • · Données d'authentification et logs de sécurité : douze (12) mois maximum, sauf incident en cours d'investigation.
  • · Données traitées au titre de la R&D interne et de la recherche : tant que la finalité n'a pas été pleinement atteinte ou jusqu'au retrait du consentement, dans la limite de la durée des données médicales d'origine.

8. Sécurité

Presoma met en œuvre des mesures techniques et organisationnelles appropriées : chiffrement AES-256 au repos, TLS 1.3 en transport, authentification multi-facteur, séparation logique des bases identité/médicale, journalisation des accès, contrôles d'accès basés sur les rôles, sauvegardes chiffrées, plan de continuité, formation des équipes, audit annuel. L'hébergement des données médicales est réalisé chez un prestataire certifié Hébergeur de Données de Santé (HDS) en France (CSP L.1111-8).

9. Vos droits

  • · Accès (art. 15)
  • · Rectification (art. 16)
  • · Effacement (art. 17), dans les limites de la conservation imposée par la loi
  • · Limitation (art. 18)
  • · Opposition (art. 21)
  • · Portabilité (art. 20)
  • · Retrait du consentement (art. 7.3), sans effet sur la licéité des traitements antérieurs
  • · Directives post-mortem (loi 1978 modifiée art. 85)

Ces droits s'exercent depuis l'espace personnel ou par écrit à dpo@presoma.com. Une réponse est apportée dans un délai d'un (1) mois, prolongeable de deux (2) mois en cas de complexité.

10. Décisions automatisées

PresomIA produit, à titre d'aide à la décision, un niveau de vigilance interne destiné au médecin partenaire qui interprète, conclut et signe le compte-rendu sous sa seule responsabilité. Aucune conclusion n'est rendue sans interprétation humaine. À ce titre, l'article 22 du RGPD relatif aux décisions automatisées ne s'applique pas au compte-rendu, qui est un acte médical sous la responsabilité du médecin signataire.

11. Cookies

Presoma utilise un strict minimum de cookies fonctionnels. Aucun cookie publicitaire ou de pistage tiers n'est déposé sans consentement préalable explicite, conformément aux lignes directrices de la CNIL.

12. Analyse d'impact (AIPD)

Conformément à l'article 35 du RGPD, et compte tenu du traitement à grande échelle de données de santé, Presoma a réalisé une analyse d'impact relative à la protection des données (AIPD), tenue à disposition des autorités compétentes.

13. Évolution de la Politique

La Politique de confidentialité peut être amenée à évoluer. La version applicable est celle en ligne à la date de commande ou de connexion. Les modifications substantielles sont notifiées par email au moins trente (30) jours avant entrée en vigueur.