📄 Date : 9 octobre 2025
✍️ Éditeur : Dr Nicolas Lecat, Psychiatre - Bordeaux
DÉCLARATION
Je, soussigné Dr Nicolas Lecat, psychiatre en exercice à Bordeaux, éditeur et développeur de l'application web MindScaler, atteste sur l'honneur que :
1. ABSENCE TOTALE D'HÉBERGEMENT CENTRALISÉ
L'application MindScaler ne dispose d'aucun serveur centralisé hébergeant ou stockant des données de santé patient.
Architecture technique :
- Application web statique (HTML/CSS/JavaScript)
- Stockage exclusif dans le navigateur de l'utilisateur (localStorage/sessionStorage)
- Aucune base de données serveur
- Aucun système de synchronisation cloud
Toutes les données patient sont stockées :
- Dans le navigateur du praticien utilisateur
- Sur le poste de travail local du praticien
- Sous la responsabilité exclusive du praticien
Aucune donnée patient n'est :
- Transmise à un serveur distant (hors API IA - voir section 3)
- Stockée sur un serveur tiers
- Accessible par l'éditeur (Dr Lecat)
- Partagée avec des tiers
- Sauvegardée dans un cloud
3. UTILISATION DE L'API OPENAI (OPTIONNELLE)
⚠️ Service optionnel d'analyse par IA
L'application propose un service optionnel d'analyse par Intelligence Artificielle utilisant l'API OpenAI (GPT-4).
Données transmises à OpenAI (USA) :
- Scores psychométriques (anonymisés)
- Interprétations cliniques
- Frise chronologique (événements, symptômes, traitements)
- Compte-rendu médical (si fourni par le praticien)
Données NON transmises :
- Nom du patient
- Prénom du patient
- Date de naissance complète
- Numéro de sécurité sociale
- Adresse
- Coordonnées
Identifiants utilisés :
- Clé d'identification anonyme (ex: "NL", "AB")
- Mois/année de naissance uniquement (pour calcul d'âge)
⚠️ Consentement requis :
- L'utilisation de l'analyse IA nécessite le consentement explicite du praticien
- Le praticien doit informer le patient de l'utilisation potentielle d'une IA pour analyse
- Les données sont transmises de manière anonymisée
- OpenAI ne conserve pas les données au-delà du traitement de la requête (selon leurs CGU)
📌 État actuel (octobre 2025) :
- 🔒 Service d'analyse IA DÉSACTIVÉ temporairement
- 🔒 Aucune transmission de données à OpenAI
- 🔒 En attente d'un système d'abonnement avec consentement formalisé
4. TRAFIC RÉSEAU SORTANT
Destinations autorisées (Content Security Policy) :
https://api.openai.com - Analyse IA (optionnelle, désactivée)https://cdnjs.cloudflare.com - Bibliothèques JS (jsPDF, html2canvas) avec SRIhttps://api.stripe.com - Paiements (futur système d'abonnement)
✅ Toute autre destination est bloquée par Content Security Policy.
5. CHIFFREMENT LOCAL
Mécanisme de protection :
- Algorithme : AES-GCM 256 bits
- Clé de chiffrement : Générée localement, stockée en sessionStorage (volatile)
- Données chiffrées : Réponses aux questionnaires, frise chronologique, analyses IA
- Durée de vie de la clé : Session du navigateur uniquement
Destruction de la clé :
- Automatique à la fermeture du navigateur
- Sur demande via "Retour à l'accueil" (Menu.html)
6. RESPONSABILITÉS
Responsabilité de l'éditeur (Dr Lecat) :
- Fourniture d'un outil sécurisé
- Mise à jour des vulnérabilités de sécurité
- Documentation claire des flux de données
- Respect des standards de sécurité web
Responsabilité du praticien utilisateur :
- ⚠️ Sécurisation de son poste de travail
- ⚠️ Utilisation d'un navigateur à jour
- ⚠️ Connexion HTTPS vérifiée
- ⚠️ Information du patient (données transmises à OpenAI si IA utilisée)
- ⚠️ Obtention du consentement patient pour analyse IA
- ⚠️ Sauvegarde locale des données (export PDF recommandé)
ANNEXE : CONFORMITÉ RGPD
Base légale du traitement
- Intérêt légitime : Aide au diagnostic médical
- Consentement : Pour utilisation de l'IA (OpenAI)
Droits des patients (indirects via le praticien)
- Droit d'accès : Le praticien peut fournir une copie (PDF)
- Droit de rectification : Modification possible par le praticien
- Droit à l'effacement : Suppression via "Retour à l'accueil"
- Droit à la portabilité : Export PDF disponible
Mesures de sécurité
- Chiffrement local (AES-GCM 256)
- Clé volatile (sessionStorage)
- CSP/HSTS/SRI
- HTTPS obligatoire (production)
- Pas de cookies tiers
- Pas de tracking
DPO (Délégué à la Protection des Données)
Nécessaire si : N/A (pas de traitement de données à grande échelle côté serveur)
Contact sécurité : [Email à compléter]
SIGNATURE
Je certifie l'exactitude des informations ci-dessus.
Fait à Bordeaux, le 9 octobre 2025
Dr Nicolas Lecat
Psychiatre
📌 VERSION
Document version : 1.0
Dernière mise à jour : 9 octobre 2025
Valable jusqu'au : Architecture inchangée
⚠️ En cas de modification de l'architecture (ajout de serveur centralisé) :
- Cette attestation devra être mise à jour
- Nouvelle évaluation RGPD requise
- Possible notification CNIL si traitement de données de santé à grande échelle
Attestation de Zéro Hébergement - Version 1.0
MindScaler - Application de psychométrie médicale
