Melvina

    Conformité RGPD — Secteur Médical

    Document de synthèse · Conforme au Règlement (UE) 2016/679 · Dernière mise à jour : 19 avril 2026

    Melvina a été conçue dès l'origine pour respecter les exigences de confidentialité et de protection des données propres au secteur de la santé.

    Ce document présente une synthèse des engagements de LDS Agency en matière de conformité RGPD. Un audit de sécurité complet (17 pages) est disponible sur demande pour les DPO, DSI et responsables qualité.

    1. Aucun enregistrement audio conservé

    Le mode Zero Retention est activé sur l'infrastructure d'IA vocale utilisée par Melvina. Les conversations vocales ne sont ni enregistrées, ni archivées, ni stockées sur nos serveurs.

    Le traitement vocal est strictement transitoire : l'audio est traité en temps réel pour permettre la compréhension de la demande du patient, puis immédiatement écarté.

    2. Aucune utilisation pour l'entraînement de modèles

    Les conversations avec les patients ne sont jamais utilisées pour entraîner ou améliorer les modèles d'intelligence artificielle. Vos données et celles de vos patients restent strictement confidentielles et ne contribuent pas au développement de systèmes tiers.

    3. Aucun diagnostic ni conseil médical

    Melvina est strictement limitée à l'assistance administrative (prise de rendez-vous, transmission de messages). Elle ne pose aucun diagnostic, ne délivre aucun avis médical et redirige systématiquement le patient vers son professionnel de santé pour toute question de nature médicale.

    4. Respect du secret médical par design

    Melvina n'évoque jamais le nom d'un patient avant d'avoir obtenu une vérification orale de son identité. Cette règle est inscrite dans la conception même du système, conformément à l'article 458 du Code pénal belge sur le secret médical.

    Les logs techniques ne contiennent jamais de données de santé en clair : seuls des identifiants tronqués sont utilisés pour le debug.

    5. Minimisation des données (article 5.1.c RGPD)

    Seules les informations strictement nécessaires à la prise de rendez-vous sont collectées :

    • Nom et prénom du patient
    • Numéro de téléphone
    • Email (optionnel, pour les rappels)
    • Créneau et motif du rendez-vous

    🛡️ Aucune donnée médicale détaillée (diagnostic, traitement, antécédents) n'est sollicitée ni conservée.

    6. Mesures de sécurité techniques (article 32 RGPD)

    • Chiffrement en transit : TLS 1.2 ou supérieur sur toutes les communications
    • Chiffrement au repos : AES-256 sur les tokens sensibles et la base de données
    • Authentification stricte : JWT + signatures HMAC-SHA256 sur tous les endpoints
    • Protection CSRF : tokens cryptographiques one-shot sur les flows OAuth
    • Cloisonnement multi-cabinet : impossibilité d'accès croisé entre clients
    • Monitoring automatisé : scan continu des vulnérabilités logicielles

    7. Hébergement européen

    L'application Melvina et sa base de données sont hébergées dans l'Union européenne (Francfort, Allemagne) sur les infrastructures Vercel et Supabase.

    Les autres sous-traitants utilisés (emails transactionnels, paiements, calendrier) disposent de régions européennes et sont configurés en conséquence (Paris, Amsterdam, Dublin).

    8. Encadrement des transferts hors UE

    Certains partenaires technologiques (notamment le fournisseur d'IA vocale et Google Analytics) sont établis aux États-Unis. Ces transferts sont strictement encadrés par :

    • La décision d'adéquation EU-US Data Privacy Framework de la Commission européenne (C(2023) 4745 du 10 juillet 2023)
    • Les Clauses Contractuelles Types (CCT) Module 2 approuvées par la Commission européenne
    • Des certifications de sécurité supplémentaires (SOC 2 Type II) chez nos partenaires clés

    9. Rôles au sens du RGPD

    LDS Agency agit en qualité de sous-traitant (article 4.8 du RGPD) pour le compte du cabinet médical utilisateur, qui demeure responsable du traitement (article 4.7).

    Un contrat de sous-traitance (Data Processing Agreement) conforme à l'article 28 du RGPD est systématiquement signé entre LDS Agency et chaque cabinet client avant la mise en production. Ce DPA détaille exhaustivement la liste des sous-traitants ultérieurs, les mesures de sécurité et la procédure en cas de violation de données.

    10. Documentation disponible

    Pour les DPO, DSI et responsables qualité, les documents suivants sont disponibles sur simple demande à [email protected] :

    • Audit de sécurité complet (17 pages)
    • Modèle de Data Processing Agreement (DPA)
    • Liste nominative détaillée des sous-traitants
    • Procédure de notification en cas de violation de données

    En résumé

    • Vous gardez le contrôle — Le cabinet reste maître des données patients
    • Vos patients sont protégés — Aucun enregistrement audio, Zero Retention activé
    • Le secret médical est respecté — Vérification orale obligatoire avant toute information
    • Votre conformité est facilitée — DPA prêt à signer, audit complet disponible

    Contact protection des données

    Kevin Lardinois — Responsable de la protection des données
    [email protected]
    LDS Agency — BE0748495550 — Gembloux, Belgique

    Documents juridiques complémentaires

    Politique de Confidentialité →Conditions Générales →Mentions Légales →Politique de Cookies →

    © 2026 LDS Agency — Melvina. Tous droits réservés.