← Back to HealthGPT home
fr/data_security_statement_v1.5.md
Terms & Conditions Privacy Policy Refund Policy Cookie & Ad Preference Policy Data Security Statement Membership Terms Suppliers & Partners Policy

Data Security Statement

# 🔐 2Zone Therapy / HealthGPT – DĂ©claration de sĂ©curitĂ© des donnĂ©es v1.5

**Date d’entrĂ©e en vigueur :** 6 aoĂ»t 2025  
**DerniÚre mise à jour :** 27 février 2026  

---

## 1. Notre engagement

2Zone Therapy et HealthGPT sont conçus selon une architecture axée sur la sécurité dÚs la conception.

Nous protégeons les données des utilisateurs grùce à :

- Un chiffrement fort  
- Une infrastructure à accÚs limité  
- Une surveillance continue  
- Un modùle d’identifiants Zero-Knowledge  
- Un contrîle d’accùs interne strict  

Les donnĂ©es de santĂ© et les donnĂ©es gĂ©nĂ©rĂ©es par l’IA sont traitĂ©es comme des informations personnelles sensibles et gĂ©rĂ©es en consĂ©quence.

---

## 2. HĂ©bergement et infrastructure

- Les serveurs de production sont hĂ©bergĂ©s dans des centres de donnĂ©es sĂ©curisĂ©s situĂ©s dans l’Union europĂ©enne (UE).
- Les serveurs fonctionnent derriĂšre des pare-feu renforcĂ©s et des couches d’accĂšs restreintes.
- L’accĂšs administratif est limitĂ© au personnel autorisĂ© uniquement.
- Des sauvegardes chiffrées et redondantes sont maintenues.
- Des tests pĂ©riodiques de restauration sont effectuĂ©s afin de garantir l’intĂ©gritĂ© des donnĂ©es.

Les environnements de développement et de production sont strictement séparés.

---

## 3. Normes de chiffrement

### 3.1 Données au repos
- Les bases de donnĂ©es et les fichiers stockĂ©s sont chiffrĂ©s Ă  l’aide de **AES-256** ou de normes Ă©quivalentes.
- Les fichiers de configuration sensibles sont stockés en dehors des répertoires web publics.

### 3.2 Données en transit
- HTTPS/TLS 1.3 est appliqué sur tous les domaines.
- Les en-tĂȘtes HSTS sont activĂ©s lorsque cela est pris en charge.
- Les communications API avec des fournisseurs externes sont chiffrées.

---

## 4. Sécurité des identifiants

Nous appliquons un modĂšle **Zero-Knowledge** pour les identifiants :

- Les phrases secrÚtes (Secret PassPhrases) ne sont jamais stockées en clair.
- Les phrases secrĂštes sont hachĂ©es Ă  l’aide de **Argon2 ou bcrypt**.
- Une protection contre les attaques par force brute et une limitation du nombre de tentatives sont mises en place.
- Les jetons de session sont générés de maniÚre sécurisée et réguliÚrement renouvelés.

L’accĂšs administratif nĂ©cessite :

- Une authentification multi-facteurs (MFA)  
- Une surveillance des adresses IP  
- Une journalisation des activités  

---

## 5. Contrîle d’accùs et journalisation

Nous appliquons un modùle d’**accùs au moindre privilùge (Least Privilege)** :

- Autorisations basées sur les rÎles  
- PrivilÚges limités au niveau de la base de données  
- Services internes segmentés  

Les opérations critiques sont enregistrées, notamment :

- Activation de compte  
- Suppression de données  
- Génération de protocole  
- Ajustements de solde GC  
- Confirmations de paiement  

Les journaux sont conservés de maniÚre sécurisée à des fins de sécurité et de conformité.

---

## 6. Traitement IA et services tiers

HealthGPT utilise des services d’intelligence artificielle tiers pour gĂ©nĂ©rer des rĂ©ponses.

### 6.1 Traitement OpenAI
- Seules les informations strictement nécessaires sont transmises.
- Aucun accĂšs complet Ă  la base de donnĂ©es n’est accordĂ©.
- Les données sont transmises via des canaux API chiffrés.
- Le traitement respecte les standards de gestion des donnĂ©es d’entreprise d’OpenAI.

### 6.2 SynthĂšse vocale (TTS)
Lorsque des sorties vocales sont générées :
- Les services TTS d’OpenAI (par exemple les modĂšles Onyx) sont utilisĂ©s.
- Le texte est transmis de maniÚre sécurisée.
- Les fichiers audio sont stockés dans des répertoires serveur contrÎlés.

Aucun accĂšs persistant Ă  la base de donnĂ©es n’est accordĂ© aux fournisseurs tiers.

---

## 7. Sécurité des paiements

- Les paiements sont traités par des prestataires tiers sécurisés (par exemple Stripe).
- Nous ne stockons pas les informations complĂštes de carte bancaire.
- Les confirmations de paiement sont validées via des webhooks sécurisés.
- Les métadonnées de transaction sont enregistrées pour la réconciliation et la prévention de la fraude.

---

## 8. Minimisation des données

Nous collectons uniquement les données nécessaires pour :

- Fournir des conseils de santé générés par IA  
- Suivre les Guidance Credits (GCs)  
- Traiter les paiements  
- Maintenir la sécurité des comptes  

Nous ne collectons pas :

- NumĂ©ros d’identification gouvernementaux  
- Identifiants biométriques  
- Identifiants bancaires  

---

## 9. RĂ©ponse aux incidents et protocole en cas de violation

Nous assurons une surveillance continue pour détecter :

- Tentatives d’accĂšs non autorisĂ©es  
- Activité de connexion anormale  
- Anomalies de paiement  
- Utilisation abusive des API  

En cas de violation confirmée des données :

- Les utilisateurs concernés seront informés sans délai injustifié.
- Les autorités réglementaires seront notifiées dans un délai de **72 heures** lorsque requis (RGPD Art. 33).
- Des mesures immĂ©diates de confinement et de remĂ©diation seront mises en Ɠuvre.

---

## 10. Suppression des donnĂ©es contrĂŽlĂ©e par l’utilisateur

Les utilisateurs peuvent demander :

- La suppression complĂšte du compte  
- La suppression des protocoles  
- La suppression des journaux IA  
- La suppression des notes vocales  

La suppression nécessite :

1. Confirmation de la Secret PassPhrase  
2. VĂ©rification par e-mail  
3. Étape finale de confirmation  

Une fois effectuée, la suppression est permanente et irréversible.

---

## 11. Tests de sécurité et mises à jour

Nous :

- Mettons réguliÚrement à jour les logiciels serveurs  
- Corrigeons les vulnérabilités connues  
- Surveillons les mises à jour des dépendances  
- Examinons les journaux d’accùs  

Les pratiques de sécurité évoluent en permanence à mesure que la plateforme se développe.

---

## 12. Divulgation responsable

Si vous découvrez une vulnérabilité ou un problÚme de sécurité, veuillez le signaler de maniÚre responsable à :

**security@2zonetherapy.com**

Nous examinons tous les signalements et y répondons de maniÚre appropriée.

---

## 13. Amélioration continue

La sĂ©curitĂ© n’est pas statique.

À mesure que HealthGPT se dĂ©veloppe — y compris l’analytique TEL, les amĂ©liorations IA et la gĂ©nĂ©ration de protocoles — l’architecture de sĂ©curitĂ© est rĂ©Ă©valuĂ©e et amĂ©liorĂ©e en consĂ©quence.

---

**2Zone Therapy / HealthGPT**  
Engagés à protéger vos données de santé et votre identité numérique.
Tip: change language using ?lang=xx (example: ?type=terms&lang=fr). If a language folder doesn’t exist, it falls back to English.