Data Security Statement

> ⚠ **Traduction non officielle. En cas de divergence, la version anglaise prévaut.**

# Déclaration de sécurité et de protection des données – 2Zone Therapy v1.0

**Date d’entrée en vigueur :** 6 août 2025  
**Dernière mise à jour :** 23 octobre 2025  

---

## 1. Engagement en matière de sécurité
**2Zone Therapy**, opérant sous les marques **HealthGPT** et **ERRIC**, s’engage à assurer la **confidentialité, l’intégrité et la disponibilité** de vos données personnelles et de santé.  
Nous appliquons les meilleures pratiques internationales en matière de cybersécurité, de conformité RGPD et de gestion du risque.

---

## 2. Infrastructure et hébergement
- Nos serveurs sont hébergés dans des **centres de données conformes à la norme ISO 27001**.  
- Les communications entre le navigateur et nos serveurs utilisent un **chiffrement SSL/TLS 256 bits**.  
- Les sauvegardes sont effectuées quotidiennement et stockées de manière chiffrée dans plusieurs emplacements sécurisés.  
- Tous les accès système sont protégés par **authentification multifacteur (MFA)**.

---

## 3. Chiffrement et stockage
- Les **mots de passe et PassPhrases** sont hachés et salés ; ils ne peuvent pas être récupérés.  
- Les **protocoles de santé** et journaux ERRIC sont stockés sous forme **chiffrée AES-256**.  
- Les données sensibles ne sont jamais transmises ni stockées en clair.  
- Les échanges internes entre services utilisent des clés d’API sécurisées et des audits automatiques.

---

## 4. Contrôle d’accès et authentification
- Chaque utilisateur dispose d’identifiants uniques.  
- Les connexions suspectes (pays inhabituels, appareils inconnus) sont automatiquement bloquées.  
- Des journaux d’audit internes enregistrent toute tentative d’accès, de modification ou de suppression.

---

## 5. Détection et réponse aux incidents
- Les systèmes sont surveillés 24 h/24 pour détecter les intrusions et anomalies.  
- En cas de violation de données, une notification sera envoyée à toutes les personnes concernées dans un délai maximum de **72 heures**, conformément au RGPD.  
- Un rapport complet sera disponible sur demande auprès du Délégué à la Protection des Données (DPO).

---

## 6. Suppression et conservation des données
- Les utilisateurs peuvent demander la suppression complète de leurs données (voir la [Politique de confidentialité](../privacy_policy_v5.0.md)).  
- Les données supprimées sont effacées de façon définitive sous 30 jours.  
- Les sauvegardes associées sont automatiquement purgées après 60 jours.

---

## 7. Fournisseurs et transferts internationaux
Nous collaborons uniquement avec des **fournisseurs certifiés RGPD** ou **équivalents ISO 27001**.  
Les transferts hors de l’Espace Économique Européen sont protégés par les **clauses contractuelles types (SCC) de l’Union européenne** ou des cadres de protection équivalents.

---

## 8. Formation et conformité interne
- Tous les employés et partenaires suivent une **formation annuelle en cybersécurité et protection des données**.  
- Des audits internes sont réalisés deux fois par an pour garantir la conformité continue.  
- Toute violation potentielle de cette politique peut entraîner des sanctions disciplinaires ou la résiliation du contrat du prestataire.

---

## 9. Droits des utilisateurs
Vous pouvez :
- Consulter les données que nous détenons sur vous.  
- Demander leur correction ou suppression.  
- Contacter notre DPO pour toute question relative à la sécurité ou à la confidentialité.

---

## 10. Contact – Sécurité et conformité
**Délégué à la Protection des Données (DPO) – 2Zone Therapy**  
E-mail : **privacy@2zonetherapy.com**  
Assistance technique : **support@healthgpt.co.il**

---

## 11. Révisions de la politique
Cette politique de sécurité peut être mise à jour périodiquement.  
Toute modification substantielle sera communiquée aux utilisateurs enregistrés par e-mail et via leur tableau de bord.  
La version anglaise prévaut en cas d’interprétation juridique.

---