Version 5.0 — Avril 2026

Politique de Confidentialité

Protection des Données Personnelles — Conforme à la nLPD (Suisse) et au RGPD (UE)

1. Responsable du Traitement

La présente politique de confidentialité s'applique à la plateforme Mynuvia, éditée par :

ChampInformation
Raison socialeMyNuvia SNC
Forme juridiqueSociété en nom collectif (SNC) — art. 552 ss CO
AdresseRoute des Cigognes 1, 1135 Denens
Emailhello@mynuvia.ch
Site webmynuvia.ch
AssociésÉtienne Robbe et Hortense Girel
Responsable des donnéesÉtienne Robbe — hello@mynuvia.ch

La présente politique est conforme au Règlement Général sur la Protection des Données (RGPD — UE 2016/679), à la nouvelle Loi fédérale sur la Protection des Données (nLPD — Suisse, en vigueur depuis le 1er septembre 2023) et aux principes de la directive ePrivacy.

2. Données Collectées

2.1 Données des praticiens de santé (Abonnés)

Dans le cadre de l'inscription et de l'utilisation de la plateforme Mynuvia, nous collectons :

  • Identité : nom, prénom, adresse professionnelle complète
  • Contact : numéro de téléphone, adresse email professionnelle
  • Données professionnelles : numéro RCC, numéro GLN, profession, spécialité, logo du cabinet, coordonnées bancaires IBAN
  • Connexion sécurisée : adresse email (identifiant), mot de passe haché et salé — jamais stocké en clair
  • Données d'utilisation : agenda, statistiques d'activité, préférences de configuration, raccourcis
  • Données techniques : adresse IP, journaux de connexion, identifiants de session, événements techniques

2.2 Données des patients (traitées pour le compte du praticien)

Mynuvia traite, pour le compte des praticiens (responsables du traitement au sens de la nLPD), les catégories de données suivantes concernant leurs patients :

  • Identité et contact : nom, prénom, date de naissance, adresse, email, numéro de téléphone
  • Données de santé (catégories spéciales — art. 5 let. c nLPD) : motifs de consultation, anamnèse, notes cliniques, comptes-rendus, score EVA, schéma corporel, historique des séances
  • Données administratives : numéro AVS, assurance maladie, numéro d'assuré
  • Données de facturation : prestations Tarif 590, montants, statuts de paiement
  • Données audio : traitées de manière éphémère pour la transcription — aucun fichier audio n'est conservé après conversion en texte
Les données de santé sont des données sensibles (catégories spéciales) au sens de l'art. 5 let. c nLPD. Leur traitement est soumis à des exigences renforcées. Mynuvia SNC n'utilise jamais ces données à des fins commerciales, publicitaires ou de profilage.

3. Finalités et Bases Légales du Traitement

FinalitéDétailsBase légaleDurée
Fourniture du serviceAgenda, dossiers, facturation, transcriptionExécution du contratDurée du contrat + 5 ans
Transcription audio IAConversion voix → texte via Voxtral/MistralExécution du contratDétruite immédiatement après transcription
Facturation et comptabilitéFactures Tarif 590, suivi des paiementsObligation légale (art. 958f CO)10 ans
Rappels SMS et emailRappels de rendez-vous aux patientsExécution du contrat3 ans après le dernier envoi
Support clientRéponses aux demandes d'assistanceIntérêt légitime3 ans
Sécurité et préventionJournaux d'accès, détection des anomaliesIntérêt légitime12 mois
Notifications techniquesEmails de service, mises à jourExécution du contratDurée du contrat
Statistiques anonymesAmélioration du service (données agrégées)Intérêt légitimeIllimité (données anonymes)

4. Intelligence Artificielle — Clauses Spécifiques

Mynuvia intègre des outils d'intelligence artificielle (Voxtral et Mistral Small 3.2) pour la transcription et la structuration des comptes-rendus. Les principes suivants s'appliquent :

  • L'IA ne remplace jamais le jugement clinique du praticien
  • L'IA n'intervient jamais directement dans la relation thérapeutique
  • Les comptes-rendus générés par l'IA sont des aides à la rédaction — le praticien reste seul responsable de leur contenu médical et de leur validation avant archivage
  • Les données de santé ne sont pas utilisées pour entraîner les modèles de Mistral AI (option de non-entraînement des modèles activée et confirmée le 27 avril 2026)
  • La transcription audio est traitée en flux direct — aucune donnée audio n'est conservée après la conversion en texte

5. Sous-traitants et Transferts de Données

Mynuvia SNC fait appel aux sous-traitants suivants, tous liés par des garanties contractuelles strictes. Aucune donnée n'est transmise à des tiers à des fins publicitaires ou commerciales.

Sous-traitantRôlePaysGarantie légaleDPA
Supabase Inc.Base de données, authentification, stockageUSA / UE (Francfort)SCCs + DPA✓ Signé
Vercel Inc.Hébergement de l'application webUSA / UESCCs + DPA✓ Signé
Mistral AI (Voxtral)Transcription audio des consultationsFrance (UE)DPA RGPD — accepté automatiquement✓ Actif
Mistral AI (Small 3.2)Structuration IA des comptes-rendusFrance (UE)DPA RGPD — accepté automatiquement✓ Actif
SMSPartner.chEnvoi des rappels SMS aux patientsFrance (UE)DPA RGPD✓ Signé avant utilisation
Resend Inc.Envoi des emails transactionnelsUSASCCs✓ Actif automatiquement
Infomaniak SANom de domaine mynuvia.ch et boîtes emailSuisseDroit suisseN/A
Supabase est hébergé à Francfort, Allemagne (région AWS eu-central-1). Les données patients ne quittent jamais l'Union Européenne côté base de données. Mistral AI : option de non-utilisation des données pour l'entraînement des modèles activée sur notre compte le 27 avril 2026.

6. Sécurité des Données

  • Chiffrement en transit : TLS 1.3 sur toutes les communications
  • Chiffrement au repos : AES-256 pour toutes les données stockées
  • Isolation des données : chaque praticien n'accède qu'à ses propres données patients (Row Level Security Supabase — politique RLS active)
  • Mots de passe : hachés et salés avec bcrypt — jamais stockés en clair, jamais connus de Mynuvia SNC
  • Données audio : détruites immédiatement après transcription — aucun stockage intermédiaire ni résiduel
  • Sauvegardes : chiffrées, quotidiennes, conservées 30 jours
  • Accès des employés : aucun accès au contenu médical des dossiers — isolation technique garantie par RLS
  • Journalisation : journaux des accès et événements de sécurité conservés 12 mois
  • Tests de sécurité : tests de pénétration planifiés avant le lancement commercial officiel

7. Droits des Personnes Concernées

Conformément à la nLPD (art. 25 à 27) et au RGPD (art. 15 à 22), toute personne concernée peut exercer les droits suivants en écrivant à hello@mynuvia.ch :

DroitDescriptionDélai de réponse
Accès (art. 25 nLPD / art. 15 RGPD)Obtenir une copie de ses données et des informations sur leur traitement30 jours
RectificationCorriger les données inexactes ou incomplètes30 jours
EffacementDemander la suppression des données dans les conditions légales30 jours
PortabilitéRecevoir ses données dans un format structuré, lisible par machine30 jours
OppositionS'opposer aux traitements basés sur l'intérêt légitime30 jours
LimitationDemander la limitation du traitement dans certains cas prévus par la loi30 jours

Contact pour exercer ces droits : hello@mynuvia.ch. Les patients exercent leurs droits auprès de leur praticien, qui transmet la demande à Mynuvia si nécessaire. Recours possible auprès du Préposé fédéral à la protection des données et à la transparence (PFPDT) : www.edoeb.admin.ch

8. Cookies et Traceurs

Mynuvia n'utilise aucun cookie publicitaire, de suivi comportemental ou de remarketing. Seuls des cookies techniques strictement nécessaires au fonctionnement du service sont déposés.

Cookie / TraceurFinalitéDuréeConsentement
Session JWT (Supabase)Maintien de la connexion authentifiéeDurée de la sessionNon — technique
Préférences utilisateurLangue, thème, paramètres d'affichage12 moisNon — technique
Jeton CSRFProtection sécurité des formulairesSessionNon — technique
Vercel Analytics (si actif)Statistiques agrégées anonymes30 joursOui — à vérifier
Avantage concurrentiel : contrairement à certains concurrents, Mynuvia n'intègre pas Google Analytics, Meta Pixel, Google Ads ou LinkedIn Insight Tag. Aucune donnée comportementale n'est transmise à des plateformes publicitaires.

9. Violations de Données

En cas de violation de données à caractère personnel, Mynuvia SNC s'engage à :

  • Notifier le praticien concerné dans les 72 heures suivant la découverte de la violation (art. 24 nLPD)
  • Documenter la violation, son étendue et les mesures correctives prises dans un registre interne
  • Fournir au praticien toutes les informations nécessaires pour évaluer la nécessité de notifier le PFPDT
  • Prendre immédiatement les mesures correctives et préventives appropriées

Le praticien reste responsable de la notification au PFPDT dans les 72 heures si la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées.

10. Modifications et Contact

Mynuvia SNC peut modifier la présente politique avec un préavis de 30 jours par email pour les modifications substantielles. La poursuite de l'utilisation du service après ce délai vaut acceptation des nouvelles conditions.

Pour toute question relative à la protection des données : hello@mynuvia.ch

Autorité de contrôle : Préposé fédéral à la protection des données et à la transparence (PFPDT) — www.edoeb.admin.ch

Version 5.0 — Avril 2026 — Mynuvia SNCContact : hello@mynuvia.ch