Politique de confidentialité

SAS ALAXIONE — 6, place de la République, 66270 Le Soler, France
Site web : www.alaxione.fr

Dernière mise à jour : 18 mars 2026

1. Préambule

La société SAS ALAXIONE (ci-après « Alaxione ») est un éditeur de solutions logicielles de e-santé destinées aux professionnels et établissements de santé.

Cette politique vous informe sur la collecte, le traitement et la protection de vos données personnelles, conformément au :

• Règlement (UE) 2016/679 (« RGPD »)
• Loi n° 78-17 du 6 janvier 1978 (« Loi Informatique et Libertés »)
• Code de la santé publique (articles L.1111-8 et suivants)

2. Responsable de traitement et rôles RGPD

2.1 Alaxione — Responsable de traitement

Pour la gestion du site web alaxione.fr, les comptes utilisateurs clients et les données de ses collaborateurs.

2.2 Alaxione — Sous-traitant

Pour ses solutions SaaS (agenda, RDV en ligne, borne d’accueil, rappels, enquêtes…), Alaxione agit en qualité de sous-traitant pour le compte des professionnels de santé clients, qui sont les responsables de traitement vis-à-vis de leurs patients.

3. Données collectées

3.1 Via le site web

Nom, prénom, email professionnel, téléphone, spécialité, adresse IP, navigateur, messages de contact.

3.2 Via les solutions SaaS

Identité patient, coordonnées, données de santé, historique RDV, données vocales, satisfaction, données financières, messages WhatsApp, consentements, scores prédictifs pseudonymisés.

4. Finalités et bases légales

Site web : Contact (intérêt légitime), démonstrations (précontractuel), newsletters (consentement), audience (consentement), comptes clients (contrat), prospection B2B (intérêt légitime).

Solutions SaaS : Agenda, Widget, Borne (contrat de soins), Rappels (intérêt légitime), Secretar’IA (contrat), Survey (intérêt légitime/consentement), Profilage (consentement), RecouvrSanté (intérêt légitime/obligation légale), No Show IA (intérêt légitime), WhatsApp (consentement).

Données de santé (art. 9 RGPD) : autorisé sur le fondement des articles 9.2.h et 9.2.a.

5. Durées de conservation

• Formulaire contact : 3 ans
• Newsletter : jusqu’au retrait du consentement
• Cookies analytiques : 13 mois
• Dossier patient : 20 ans (art. R.1112-7 CSP)
• Facturation : 10 ans
• Enregistrements vocaux : 6 mois après transcription
• Enquêtes satisfaction : 3 ans
• Consentements (preuves) : 5 ans
• Scores prédiction : 2 ans
• Messages WhatsApp : selon le responsable de traitement
• Logs techniques : 12 mois

6. Destinataires et sous-traitants

Accès limité aux collaborateurs habilités. Sous-traitants :

• OVH Cloud — Hébergement (France, certifié HDS)
• Mailjet / Sinch — Emails transactionnels (UE)
• Meta / WhatsApp Business API — Messagerie patient (USA/Irlande, CCT)
• Google Analytics / DoubleClick — Audience et publicité (USA, CCT)
• Google Cloud Dialogflow CX — IA conversationnelle (UE)
• YouTube — Vidéos intégrées (USA, CCT)
• Voxygen — Synthèse vocale (France)

Alaxione ne vend jamais les données personnelles à des tiers.

7. Transferts hors UE

Garanties : Clauses contractuelles types (CCT), Data Privacy Framework UE-USA, chiffrement, pseudonymisation.

WhatsApp (Meta)

CCT, chiffrement de bout en bout (protocole Signal), minimisation des données. Consentement explicite du patient requis.

Google Analytics

Anonymisation IP, conservation limitée à 14 mois, consentement préalable via bandeau cookies.

8. Données de santé — Cadre spécifique

9. Intelligence artificielle — Transparence

9.1 Secretar’IA et rappels vocaux IA

Assistant vocal IA (Dialogflow CX, Voxygen). Patient informé dès le début de l’appel, transfert humain possible à tout moment. Enregistrements supprimés sous 6 mois. Pas de décision automatisée (art. 22 RGPD).

9.2 Prédiction No Show

Modèle XGBoost sur données pseudonymisées. Explicabilité SHAP. Score indicatif sans action automatique.

9.3 Garanties

Aucune donnée patient utilisée pour entraîner des IA généralistes. Contrôle humain systématique.

10. Cookies

• Cookies techniques (nécessaires, pas de consentement requis)
• Google Analytics (_ga, _gid) — analytique, consentement requis
• DoubleClick (IDE) — publicitaire, consentement requis
• YouTube (VISITOR_INFO1_LIVE, YSC) — multimédia, consentement requis

Bandeau de gestion des cookies au premier accès. Modification possible à tout moment.

11. Sécurité des données

Mesures techniques : TLS 1.2+, AES-256, MFA, WAF, sauvegardes géo-distribuées, cloisonnement, journalisation.

Mesures organisationnelles : PSSI, moindre privilège, formation, engagement de confidentialité, gestion des incidents, évaluation des sous-traitants.

12. Droits des personnes

Conformément au RGPD, vous disposez des droits suivants :

• Accès (art. 15), rectification (art. 16), effacement (art. 17)
• Limitation (art. 18), portabilité (art. 20), opposition (art. 21)
• Retrait du consentement, directives post-mortem
• Droit de ne pas faire l’objet d’une décision automatisée (art. 22)

13. Exercice de vos droits

Pour les données patient traitées via nos solutions SaaS, adressez-vous d’abord au professionnel de santé (responsable de traitement).

14. Notification de violation

CNIL notifiée sous 72 heures. Personnes concernées informées si risque élevé. Client responsable de traitement notifié sans délai. Registre des violations tenu.

15. Réclamation CNIL

16. WhatsApp — Dispositions spécifiques

17. Mise à jour

Cette politique peut être modifiée à tout moment. Information en cas de modification substantielle.

18. Contact

Politique rédigée en français. En cas de traduction, seule la version française fait foi.
Document du 18 mars 2026 — Version 1.0