medirel

Sécurité & conformité

Vos données patients en sécurité.

Architecture détaillée de Medirel : conformité RGPD, certification HDS en cours, hébergement souverain français, chiffrement bout-en-bout. Page destinée aux DSI, RSSI et DPO.

RGPD

Conformité totale au Règlement Européen 2016/679

Medirel applique le RGPD sans concession depuis le jour 1 :

  • Registre des traitements tenu à jour, exportable sur demande pour vos audits internes.
  • DPO (Délégué à la Protection des Données) interne dédié, joignable à dpo@medirel.fr.
  • Droit à l'oubli implémenté : suppression complète sous 30 jours via une seule API call.
  • Portabilité : export complet de vos données en JSON via GET /api/me/export.
  • Consentement explicite requis pour chaque finalité (analytics, IA, transferts).
  • DPA (Data Processing Agreement) standard signé avec chaque client. Disponible en français/anglais.
  • AIPD (Analyse d'Impact) réalisée pour le traitement IA des emails médicaux. Document fourni sur demande.

HDS — Hébergement Données de Santé

Certification en cours · Objectif Q3 2026

Le référentiel HDS de l'ANS (Agence du Numérique en Santé) est obligatoire pour tout outil traitant des données de santé en France.

État actuel :

  • Hébergement HDS-certifié: OVH Roubaix dispose déjà de la certification. Vos données reposent physiquement sur des serveurs HDS dès aujourd'hui.
  • 🟡 Audit Medirel en cours : nous suivons les référentiels Soyouss/Bureau Veritas pour la certification globale plateforme. Audit prévu Q2 2026, certification Q3 2026.
  • 📄 Politique de Sécuritéet plan de continuité d'activité disponibles sur demande (NDA requis).

Pour les CHU et grosses cliniques nécessitant la certification HDS officielle dès aujourd'hui, nous recommandons d'attendre Q3 2026 ou de nous contacter pour une convention spécifique.

Hébergement & Souveraineté

100% Europe · Pas de Cloud Act, pas de Patriot Act

  • Hébergeur principal : OVH Roubaix (France) — datacenter HDS-certifié, conformité ISO 27001.
  • Réplication : OVH Strasbourg pour la haute disponibilité (RPO < 5 min).
  • Aucun transfert hors UE : ni vers les USA, ni vers UK post-Brexit, ni vers ailleurs. Garantie contractuelle.
  • Anthropic Claude : appels API depuis nos serveurs FR vers claude.eu-west-1 (zone européenne Anthropic). Zero-data-retention activé.
  • Pas de CDN US : nos statiques sont servis depuis OVH (pas Cloudflare US, pas AWS US).
  • Stripe : paiements via Stripe Europe (Irlande) — conforme RGPD.

Chiffrement bout-en-bout

Au repos et en transit

  • Au repos : AES-256 sur tous les volumes (PostgreSQL, R2, backups). Clés gérées par AWS KMS-compatible (Vault).
  • En transit : TLS 1.3 minimum partout (front ↔ back ↔ tiers). HSTS activé.
  • Mots de passe : Argon2id (jamais bcrypt/PBKDF2), salt aléatoire 32 bytes.
  • Tokens : JWT signés HS256/256 bits, refresh tokens en cookie httpOnly + SameSite=Strict.
  • Secrets API : isolés via Vault, jamais commités, rotation trimestrielle.

Audits & opérations

Surveillance continue + audit externe annuel

  • Audit externe annuel par cabinet tiers indépendant (Bureau Veritas, premier audit Q4 2026).
  • Audit logs RGPD : qui a accédé à quoi, quand, depuis quel IP. Traçabilité complète sur 5 ans (AuditLogService backend).
  • Penetration testing : tests trimestriels par YesWeHack (programme bug bounty fermé).
  • Monitoring 24/7 : Sentry (erreurs), Datadog (perfs), uptime ≥ 99.9% mensuel SLA.
  • Plan de continuité : RTO 4h, RPO 5min, tests de restauration trimestriels.
  • Notification d'incident : sous 72h auprès de la CNIL (RGPD art. 33).

Sous-processeurs

Liste complète et publique de nos partenaires

Conformément au RGPD art. 28, voici la liste publique de nos sous-processeurs :

PartenaireRôleLocalisation
OVHHébergement infrastructure🇫🇷 Roubaix + Strasbourg
Anthropic (Claude)IA classification + résumé🇪🇺 Paris (eu-west)
Voyage AIEmbeddings (RAG)🇪🇺 Frankfurt
StripePaiement🇮🇪 Dublin
ResendEmail transactionnel🇪🇺 Frankfurt
SentryMonitoring erreurs🇪🇺 Frankfurt

Mise à jour: tout ajout/modification de sous-processeur est notifié 30 jours à l'avance par email à tous les clients (droit d'objection).

Contact équipe sécurité

Audit, vulnérabilité, demande de documentation : notre équipe sécurité répond sous 24h ouvrées.

security@medirel.frdpo@medirel.fr

Programme bug bounty privé sur YesWeHack — disclosure responsable récompensée.

Convaincu(e) ? Démarrez en 5 minutes.

30 jours gratuits, hébergement France, conformité RGPD native.

Démarrer 30 jours gratuits