ART. 1 Responsable de traitement
Thread of Life Prime SAS
60 avenue de Grammont, 37000 Tours
SIREN : 953 895 109 — RCS Tours
Capital : 22 222 €
Email : contact@toha.care
DPO : dpo@toha.care
Thread of Life Prime agit en qualité de responsable de traitement au sens de l’article 4 du Règlement (UE) 2016/679 (RGPD) pour les données relatives aux comptes des Utilisateurs de TOHA®.
S’agissant des données de santé des patients, Thread of Life Prime agit en qualité de sous-traitant au sens de l’article 28 du RGPD, le professionnel de santé Utilisateur demeurant responsable de traitement vis-à-vis de ses patients.
ART. 2 Données collectées
2.1 Données relatives aux Utilisateurs (professionnels et étudiants)
- Données d’identification — nom, prénom, adresse email professionnelle
- Données professionnelles — numéro d’identification professionnel (RPPS en France ou équivalent national), spécialité, structure d’exercice
- Données de connexion — identifiants, historique de connexion, adresse IP
- Données de facturation — informations de paiement dans le cadre de la souscription à l’abonnement, traitées via Stripe (Thread of Life Prime ne stocke pas les données de carte bancaire)
- Données d’usage — métriques d’utilisation agrégées et anonymisées (taux d’utilisation des fonctionnalités, temps moyen de rédaction, fréquence d’envoi des PROMs — sans lien possible avec un patient ou praticien identifié)
2.2 Données relatives aux patients
Ces données sont saisies par le professionnel de santé dans le cadre de son activité clinique. Thread of Life Prime les traite en qualité de sous-traitant, sous la seule instruction du professionnel responsable de traitement.
- Données d’identification du patient — nom, prénom, date de naissance, coordonnées
- Données cliniques — évaluations kinésithérapiques, anamnèse, comptes-rendus, bilans
- Données PROMs — réponses aux questionnaires de résultats rapportés par le patient
- Données d’exercices — programmes transmis au patient
- Documents médicaux — ordonnances, photos, vidéos, pièces jointes
2.3 Données non collectées
ART. 3 Finalités et bases légales
ART. 4 Données de santé — protection renforcée
Les données de santé des patients constituent une catégorie particulière de données au sens de l’article 9 du RGPD. Elles bénéficient d’une protection renforcée et font l’objet de mesures de sécurité spécifiques.
4.1 Responsabilité du professionnel de santé
Le professionnel de santé Utilisateur est responsable de traitement des données de santé de ses patients. À ce titre, il lui appartient de :
- informer ses patients de l’utilisation de TOHA® dans le cadre de leur suivi ;
- recueillir, si nécessaire, leur consentement ou s’appuyer sur la base légale appropriée ;
- respecter les droits des patients sur leurs données (accès, rectification, effacement).
4.2 Accès aux données patients
Les données de santé d’un patient sont accessibles uniquement aux professionnels de santé qui ont été autorisés par l’Utilisateur principal dans le cadre d’une prise en charge partagée, et sous réserve que ces professionnels aient accepté les conditions d’utilisation de TOHA®.
Thread of Life Prime n’accède aux données de santé des patients qu’à des fins strictement techniques (maintenance, support, sécurité), dans le respect du secret professionnel et des obligations du sous-traitant au sens du RGPD.
4.3 MoIA et données de santé
Le système d’IA hybride MoIA traite les données cliniques saisies par le praticien lors des évaluations pour générer des comptes-rendus. Ce traitement est effectué dans un environnement sécurisé HDS. Le modèle Mistral AI est hébergé par Cloud Temple en France — les données ne quittent pas cette infrastructure et ne sont pas transmises à des tiers à des fins d’entraînement ou d’amélioration des modèles.
ART. 5 Hébergement des données de santé (HDS)
Conformément aux articles L.1111-8 et R.1111-8-8 du Code de la santé publique, les données de santé collectées via TOHA® sont hébergées exclusivement par des prestataires certifiés Hébergeur de Données de Santé (HDS) :
Thread of Life Prime s’engage à informer les Utilisateurs de tout changement d’hébergeur HDS dans un délai de 30 jours avant toute migration des données.
ART. 6 Sous-traitants et services tiers intégrés
Thread of Life Prime fait appel aux sous-traitants et services tiers suivants dans le cadre du fonctionnement de TOHA® :
Thread of Life Prime s’assure que chaque sous-traitant présente des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, conformément à l’article 28 du RGPD.
Thread of Life Prime ne saurait être tenu responsable des dysfonctionnements propres aux services tiers intégrés (Omnidoc), qui disposent de leurs propres politiques de confidentialité et conditions d’utilisation.
ART. 7 Durée de conservation
ART. 8 Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
Pour exercer vos droits, contactez le DPO à l’adresse dpo@toha.care. Thread of Life Prime s’engage à répondre dans un délai de 30 jours à compter de la réception de votre demande.
En cas de réponse insatisfaisante, vous disposez du droit d’introduire une réclamation auprès de la CNIL (Commission Nationale de l’Informatique et des Libertés) — cnil.fr.
8.1 Droits spécifiques aux données de santé des patients
Les droits des patients sur leurs données de santé (accès, rectification, effacement) s’exercent en priorité auprès du professionnel de santé responsable de traitement. Thread of Life Prime peut être contacté en cas de difficulté à dpo@toha.care.
ART. 9 Cookies et traceurs
TOHA® utilise des cookies et traceurs techniques strictement nécessaires au fonctionnement de l’outil (authentification, sécurité, préférences de session). Ces cookies ne requièrent pas de consentement préalable.
Des cookies d’analyse d’audience peuvent être utilisés pour mesurer l’utilisation de l’outil à des fins d’amélioration du service. Dans ce cas, votre consentement est recueilli préalablement via un bandeau dédié.
TOHA® n’utilise pas de cookies publicitaires ou de traçage à des fins commerciales tierces.
ART. 10 Sécurité des données
Thread of Life Prime met en œuvre les mesures techniques et organisationnelles suivantes pour assurer la sécurité, la confidentialité et l’intégrité des données :
- Chiffrement — données chiffrées en transit (TLS) et au repos
- Hébergement certifié HDS — Scalingo et Cloud Temple (voir Article 5)
- Contrôle des accès — authentification sécurisée, gestion des droits par rôle
- Journalisation — traçabilité des accès et des actions sur les données de santé
- Tests de sécurité — audits et tests réguliers de sécurité applicative
- Procédure de violation — procédure de notification à la CNIL et aux personnes concernées en cas de violation de données, dans les délais prévus par le RGPD (72h)
En cas de violation de données susceptible d’engendrer un risque pour vos droits et libertés, Thread of Life Prime s’engage à vous en informer dans les meilleurs délais.
ART. 11 Modifications de la politique
Thread of Life Prime se réserve le droit de modifier la présente politique de confidentialité à tout moment, notamment pour se conformer à toute évolution législative, réglementaire ou technique. Les Utilisateurs seront informés de toute modification substantielle par email et/ou notification dans l’outil, avec un préavis minimum de 30 jours.
La version en vigueur est toujours accessible depuis le site toha.care.
ART. 12 Contact et DPO
Registre des traitements
Thread of Life Prime tient un registre des activités de traitement conformément à l’article 30 du RGPD. Ce registre recense l’ensemble des traitements mis en œuvre via TOHA®. Le Délégué à la Protection des Données (DPO) est chargé de garantir cette conformité et peut être contacté à dpo@toha.care.