Politique de confidentialité

Conforme au RGPD (UE 2016/679) · Version 1.0 · 2026

Article 1 · Responsable du traitement

Le responsable du traitement des données personnelles collectées via le service MedNews est :

Association MedNews — 848 avenue Gustave Charpentier, 83370 Fréjus
Représentant légal : Maxence ALBERTIN, Président
Contact données personnelles : contact@med-news.fr

En l'absence de Délégué à la Protection des Données (DPO) obligatoire à ce stade (moins de 250 salariés, traitement non sensible à grande échelle), toute demande relative aux données personnelles est traitée directement par le responsable de traitement dans un délai de 30 jours calendaires.

Article 2 · Données collectées et finalités

L'association MedNews applique le principe de minimisation des données : seules les données strictement nécessaires à la fourniture du service sont traitées. Sont collectées :

• Identité : nom, prénom
• Contact professionnel : adresse email
• Profil métier : spécialité médicale (parmi les 36 couvertes), mode d'exercice (libéral, hospitalier, mixte)
• Données d'engagement : articles consultés, contenus mis en favoris, fréquence d'ouverture des newsletters
• Données de paiement : traitées exclusivement par Stripe (certifié PCI-DSS) — MedNews ne stocke aucune donnée bancaire

Finalités du traitement : filtrage personnalisé des alertes par spécialité, envoi des newsletters, amélioration des algorithmes de scoring, gestion des cotisations.

Aucune donnée relative aux patients n'est collectée. Le service s'adresse uniquement aux praticiens pour leur propre veille professionnelle.

Article 3 · Base légale des traitements

• Exécution du contrat (art. 6.1.b RGPD) : pour toutes les données nécessaires à la fourniture du service de veille médicale personnalisée
• Consentement explicite (art. 6.1.a RGPD) : pour les communications marketing optionnelles, recueilli via une case à cocher non pré-cochée à l'inscription
• Intérêt légitime (art. 6.1.f RGPD) : pour la sécurité de la plateforme, la prévention des fraudes et l'amélioration du service

Article 4 · Sous-traitants et transferts de données

L'association MedNews fait appel aux sous-traitants suivants, avec lesquels un Accord de Traitement des Données (DPA) est signé avant tout traitement :

• Anthropic (Claude) : analyse automatisée du contenu public uniquement. Vos données personnelles (nom, email) ne sont jamais transmises à l'IA
• SendGrid (Twilio) : envoi technique des newsletters et emails transactionnels
• Stripe : traitement sécurisé des cotisations (certifié PCI-DSS niveau 1)
• Render / Neon : hébergement de l'application et de la base de données, exclusivement sur des serveurs situés en Union Européenne

Aucun transfert de données personnelles vers des pays hors Union Européenne n'est effectué sans garanties appropriées conformément au chapitre V du RGPD.

Article 5 · Sécurité des données

• Chiffrement AES-256 des données sensibles stockées en base de données
• Hachage bcrypt avec salt des mots de passe — jamais stockés en clair
• Tokens JWT à durée de vie limitée avec refresh tokens rotatifs
• Chiffrement des communications via HTTPS/HSTS sur toutes les routes
• Headers de sécurité : X-Content-Type-Options, X-Frame-Options, Referrer-Policy
• Configuration CORS explicite (liste blanche d'origines autorisées)
• Logs anonymisés : les adresses email n'apparaissent jamais dans les journaux d'activité
• Registre des traitements tenu conformément à l'article 30 du RGPD

Article 6 · Droits des utilisateurs

Conformément au RGPD, chaque adhérent dispose des droits suivants sur ses données personnelles :

• Droit d'accès : obtenir une copie de l'ensemble de ses données traitées
• Droit de rectification : corriger des informations inexactes ou incomplètes
• Droit à l'effacement (droit à l'oubli) : demander la suppression de ses données
• Droit à la portabilité : recevoir ses données dans un format structuré et lisible par machine
• Droit d'opposition : s'opposer au traitement fondé sur l'intérêt légitime
• Droit de retrait du consentement : à tout moment pour les traitements fondés sur le consentement

Pour exercer ces droits : contact@med-news.fr — délai de réponse maximum 30 jours calendaires.

Désabonnement immédiat : lien de désinscription fonctionnel présent dans chaque newsletter.

Conservation des données : suppression ou anonymisation dans les 12 mois suivant la résiliation de la cotisation.

Droit de recours : en cas de réponse insatisfaisante, l'utilisateur peut saisir la CNIL à l'adresse www.cnil.fr.