Politique de confidentialité
Dernière mise à jour : 02/07/2026
En une phrase : aucune donnée patient (audio, texte intégral, identité) n'est stockée sur nos serveurs. Le seul flux qui quitte votre poste est un texte transcrit, envoyé en HTTPS à OVH AI Endpoints (France) pour générer le compte-rendu. Notre propre serveur ne reçoit qu'un identifiant d'appareil et le statut d'abonnement.
Le trajet de vos données, étape par étape
- 1Capture audio, sur votre poste. L'enregistrement est chiffré (AES-256-GCM) et n'est jamais transmis sur Internet. Il est effacé à la fin de la consultation.
- 2Transcription, sur votre poste. La reconnaissance vocale tourne en local (modèle Whisper sur votre machine). Aucun extrait sonore ne quitte l'ordinateur.
- 3Rédaction du compte-rendu, texte uniquement, en France. Seule la transcription textuelle est envoyée en HTTPS à OVHcloud (AI Endpoints, datacenter France, HDS) pour structurer le compte-rendu. Pas d'audio, pas de nom de patient.
- 4Stockage, sur votre poste. Transcription et compte-rendu restent dans une base chiffrée (SQLCipher) sur votre disque. Rien n'est conservé sur nos serveurs.
Souveraineté. Le seul traitement par intelligence artificielle est réalisé par OVHcloud, en France (hébergement HDS). Aucun modèle d'IA américain n'intervient, ni OpenAI, ni Anthropic, ni Google, ni service d'IA Cloudflare. C'est la différence de fond avec les assistants « cloud » qui transmettent l'audio et le texte vers des modèles hébergés hors de votre contrôle.
1. Données collectées par l'application de bureau
- Audio : capté localement, chiffré AES-256-GCM sur disque (clé dans le coffre de clés du système), effacé en fin de consultation.
- Transcription & compte-rendu : stockés localement dans une base SQLCipher chiffrée. Clé dans le coffre de clés du système.
- Texte envoyé au LLM : transcription textuelle brute, envoyée en HTTPS à OVH AI Endpoints (datacenter France). Selon la documentation publique d'OVH, les prompts ne sont pas utilisés pour réentraîner les modèles.
2. Données collectées par notre infrastructure
- Identifiant d'appareil (UUID) : généré sur votre poste, partagé avec notre serveur de licence pour suivre l'essai et l'abonnement. N'identifie pas le médecin.
- Métadonnées Stripe : nom, email, moyen de paiement, collectés et stockés par Stripe Payments Europe (Irlande) au moment de la souscription. Côté serveur, nous ne persistons que l'identifiant client Stripe et le statut d'abonnement.
- Logs serveur : journaux d'accès des Cloudflare Workers (URL appelée, code de retour, durée). Aucun contenu de consultation n'y figure. Conservation conforme aux paramètres par défaut de la plateforme.
3. Télémétrie produit anonyme (opt-in)
Pour améliorer Scribe Médical, vous pouvez activer le partage de statistiques d'usage anonymes. Cette option est désactivée par défaut. Vous choisissez lors de l'installation, et vous pouvez modifier votre décision à tout moment dans Réglages → Confidentialité.
Ce que nous collectons quand l'option est activée :
- Le nom des fonctionnalités utilisées (par exemple : "consultation_started", "export_pdf", "ccam_code_validated")
- Des durées et compteurs (durée d'une consultation, nombre de codes suggérés, nombre de résultats de recherche)
- L'identifiant technique de votre poste (UUID), sans lien avec votre identité
- Le tarif souscrit (Praticien / Cabinet) et la version de l'app
Ce que nous ne collectons JAMAIS :
- Le contenu de la transcription ou du compte-rendu
- Le motif de consultation, les noms de patients, les dates de naissance
- Les codes CCAM/NGAP complets (seuls les 3 premières lettres sont transmises pour identifier la classe d'acte)
- Le texte de vos recherches
- Vos données de paiement
Où ces données sont-elles stockées ?
Sur Cloudflare D1 dont la région primaire est Europe de l'Ouest (WEUR). La réplication multi-régions est désactivée, les données ne sortent pas du périmètre européen. Conservation maximum : 365 jours, appliquée automatiquement par purge quotidienne.
Vos droits :
- À tout moment, vous pouvez désactiver le partage dans Réglages
- Bouton "Effacer mes données de télémétrie locales" supprime les événements en attente sur votre poste
- Bouton "Effacer aussi mes données distantes" supprime définitivement les statistiques que nous avons reçues pour votre installation (droit à l'effacement RGPD)
4. Sous-traitants
- OVH SAS, LLM hébergé en France (HDS, ISO 27001)
- Cloudflare Inc., serveur de licence (aucune donnée patient ne transite)
- Stripe Payments Europe Ltd., paiements (Irlande)
- Vercel Inc., hébergement du site (aucune donnée patient)
Un DPA (Data Processing Agreement) RGPD est signé avec chacun. Copie sur demande à scribe.medical.contact@gmail.com.
5. Vos droits (RGPD)
Conformément aux articles 15 à 22 du RGPD, vous disposez d'un droit d'accès, de rectification, d'effacement, d'opposition et de portabilité sur vos données. Pour les exercer, écrivez à scribe.medical.contact@gmail.com. Réponse sous 30 jours.
En cas de désaccord, vous pouvez saisir la CNIL : cnil.fr/fr/plaintes.
6. Cookies
Ce site n'utilise aucun cookie de tracking ni d'analytique tiers. Seul un cookie technique de session est utilisé sur le portail pilote (non requis pour le téléchargement public).