Ce qui nous engage, et ce que nous refusons

Nos serveurs sont hébergés en France, uniquement, chez des acteurs français (Scalingo à Paris, OVHcloud à Roubaix et Gravelines). Aucune donnée de santé ne quitte le territoire national, même pour une sauvegarde.

L'intelligence artificielle clinique est opérée par Mistral AI (Paris), avec une double anonymisation préalable à toute transmission. Pour les usages non-cliniques (contenu du blog, chatbot commercial), nous utilisons également des modèles nord-américains — mais jamais sur des données patient.

Coût assumé : certaines technologies américaines sont moins chères et plus matures. Nous préférons payer le prix français.

Les dossiers cliniques sont chiffrés en AES-256-GCM dès leur création, avec une clé dérivée unique par cabinet. Même un employé Kymélis disposant d'un accès administrateur à la base de données ne peut pas lire les notes cliniques en clair.

Les archives long-terme (facturation 10 ans, dossiers post-résiliation) sont stockées dans un coffre Object Lock Compliance — un mécanisme OVH certifié HDS qui rend la suppression techniquement impossible avant le terme légal, y compris pour Kymélis elle-même.

Chaque accès à un dossier est tracé dans un journal immuable, consultable par le professionnel titulaire du cabinet.

L'IA clinique n'est jamais imposée. Chaque cabinet décide d'activer ou non chaque fonctionnalité IA, et chaque patient peut refuser via son consentement.

Les données transmises à l'IA sont préalablement anonymisées par deux étapes indépendantes (pseudonymisation + masquage sémantique). Nos contrats avec Mistral AI interdisent explicitement la réutilisation pour l'entraînement de modèles.

Les suggestions IA restent des suggestions — toujours validables ou rejetables par le praticien. Le jugement clinique humain n'est jamais court-circuité.

Vos données vous appartiennent. À tout moment, vous pouvez exporter l'intégralité de vos dossiers au format FHIR R4 (standard européen d'interopérabilité santé, adopté par l'ANS dans le cadre du Ségur du numérique).

Si vous décidez de nous quitter, nous vous remettons vos données en 30 jours, puis nous supprimons tout — à l'exception des archives légales obligatoires (factures, logs de sécurité) que nous conservons sans possibilité d'accès par nos équipes.

Pas de lock-in propriétaire. Pas de format fermé. Pas de frais de sortie.

Notre liste complète de sous-traitants est publiée en clair, avec la localisation, le rôle, et les garanties de conformité. Pas de « partenaires tiers » flous dans une ligne de conditions générales.

Nos registres de traitement, notre analyse d'impact (DPIA) et nos journaux d'audit sont mis à disposition des auditeurs (CNIL, ANSSI, HDS) et de chaque cabinet qui en fait la demande.

Notre architecture de sécurité est documentée publiquement — nous pensons que la sécurité par l'obscurité est une illusion.

• De vendre ou revendre les données cliniques sous quelque forme que ce soit — anonymisées ou non.
• De monétiser l'attention des patients par de la publicité.
• De s'appuyer sur des services américains pour les données de santé (même « chiffrés »).
• De facturer les exports ou la résiliation.
• De masquer nos sous-traitants ou d'en ajouter sans notification.
• De prétendre remplacer le jugement clinique par de l'IA.