Confidentialité

Politique de confidentialité

Dernière mise à jour : Mars 2026

AURU SAS (« AURU », « nous ») édite une plateforme d'assistance à la documentation médicale destinée aux chirurgiens orthopédistes. La présente politique décrit comment nous collectons, utilisons et protégeons les données personnelles dans le respect du Règlement (UE) 2016/679 (RGPD), de la Loi n° 78-17 du 6 janvier 1978 modifiée et du Code de la Santé Publique.

Pour le traitement des données de santé patient, AURU intervient en qualité de sous-traitant du chirurgien (responsable de traitement). Les modalités de cette sous-traitance sont définies dans notre Contrat de Sous-traitance des Données (DPA) conforme à l'Article 28 du RGPD.

1. Responsable de traitement

AURU SAS
7 Avenue Tristan Bernard, 06400 Cannes, France
SIREN 101 753 069
DPO : privacy@auru.ai

2. Données collectées

2.1 Données du compte chirurgien

  • Identité : civilité, nom, prénom
  • Coordonnées : email professionnel, téléphone
  • Identifiants professionnels : numéro RPPS, spécialité, lieu d'exercice
  • Données d'authentification : mot de passe (haché), jetons de session

2.2 Données de patients (en qualité de sous-traitant)

  • Données d'identification : nom, prénom, date de naissance, identifiant interne
  • Données de santé : motif de consultation, examen clinique, antécédents, allergies, imagerie, comptes rendus, ordonnances
  • Enregistrements vocaux des consultations (transmis pour transcription, non conservés au-delà du traitement)
  • Documents générés : CRO, lettres au médecin traitant, prescriptions

2.3 Données techniques

  • Journaux d'accès (logs) anonymisés à des fins de sécurité et de traçabilité
  • Préférences utilisateur, configuration de la persona chirurgien (style rédactionnel)

3. Bases légales du traitement

  • Article 6.1.b RGPD — exécution du contrat conclu avec le chirurgien
  • Article 6.1.c RGPD— respect d'obligations légales (conservation des dossiers médicaux)
  • Article 9.2.h RGPD— données de santé traitées aux fins de la médecine préventive, du diagnostic médical et de la prise en charge sanitaire, sous la responsabilité d'un professionnel de santé soumis au secret médical

4. Hébergement et localisation des données

Toutes les données sont hébergées en France, sur l'infrastructure AWS Paris (eu-west-3), certifiée Hébergeur de Données de Santé (HDS)au sens de l'article L.1111-8 du Code de la Santé Publique.

Aucune donnée n'est transférée hors de l'Union européenne. Les modèles d'intelligence artificielle utilisés pour la génération de documents sont également hébergés au sein de l'UE.

5. Sécurité

  • Chiffrement en transit (TLS 1.3) et au repos (AES-256)
  • Authentification forte par jetons JWT à durée de vie limitée, rotation automatique
  • Cloisonnement strict entre les espaces de chaque chirurgien
  • Journaux d'audit horodatés et inviolables
  • Procédure documentée de notification des violations de données à la CNIL et aux personnes concernées dans les 72 heures (Art. 33 et 34 RGPD)

6. Sous-traitants ultérieurs

Nous recourons aux sous-traitants ultérieurs suivants :

  • Amazon Web Services EMEA SARL (AWS) — hébergement HDS, région Paris (eu-west-3)
  • Anthropic via AWS Bedrock (UE)— modèles d'intelligence artificielle, hébergés en UE, sans réutilisation pour entraînement
  • ElevenLabs (UE) — synthèse vocale, traitement éphémère sans rétention
  • Resend — envoi des emails transactionnels (codes de vérification, notifications)

Aucun de ces sous-traitants n'est autorisé à utiliser les données pour un usage propre, ni à les transférer hors de l'UE. Les contrats de sous-traitance sont disponibles sur demande.

7. Durées de conservation

  • Données de santé patient: 20 ans à compter de la dernière consultation, conformément à l'article R.1112-2 du Code de la Santé Publique
  • Données du compte chirurgien : pendant la durée du contrat, puis suppression dans un délai de 7 jours après résiliation
  • Logs techniques : 12 mois maximum
  • Enregistrements vocaux bruts : supprimés immédiatement après transcription

8. Vos droits (RGPD)

Vous disposez d'un droit d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition au traitement de vos données. Vous pouvez également retirer votre consentement à tout moment et définir des directives relatives à la conservation, à l'effacement et à la communication de vos données après votre décès.

Pour exercer ces droits, contactez notre DPO : privacy@auru.ai

Vous avez également le droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr.

9. Réversibilité

En cas de résiliation, l'ensemble des données est exporté dans un format structuré et lisible (JSON, PDF) puis supprimé de nos systèmes dans un délai de 7 jours. Aucune copie n'est conservée au-delà de cette période, à l'exception des obligations légales de conservation.

10. Cookies

Le site auru.ai utilise uniquement des cookies strictement nécessaires au fonctionnement de la plateforme (authentification, préférences). Aucun cookie publicitaire ou de mesure d'audience tiers n'est déposé sans votre consentement préalable.

11. Modification

La présente politique peut être modifiée à tout moment. Toute modification substantielle vous sera notifiée par email avec un préavis raisonnable.

12. Contact

Pour toute question relative à la protection de vos données :
privacy@auru.ai