Bloodsense logo
Interprétez vos analyses

Politique de Confidentialité

Dernière mise à jour : 2 juillet 2025

1. Introduction

Bienvenue sur Bloodsense, une marque gérée par SMC (« nous », « notre »). Nous nous engageons à protéger la confidentialité et la sécurité des données personnelles de nos utilisateurs (« vous », « votre »).

Cette Politique de Confidentialité explique comment nous collectons, utilisons, partageons, stockons et protégeons vos données personnelles lorsque vous utilisez notre site web bloodsense.ai (le « Site ») et nos services d’explication de résultats de laboratoire utilisant l’intelligence artificielle (les « Services »). Elle vous informe également de vos droits en matière de protection des données et des recours possibles. Nous vous encourageons à lire attentivement cette politique.

En utilisant nos Services, vous reconnaissez avoir pris connaissance de cette politique. Le traitement de vos données de santé est basé sur votre consentement explicite obtenu séparément.

2. Responsable du traitement

Le responsable du traitement de vos données personnelles est : SMC Siège social : 167-169 Great Portland Street, 5th Floor, London, W1W 5PF, United Kingdom Numéro d’enregistrement : 15309552 E-mail de contact : contact@bloodsense.ai

3. Contact pour la confidentialité

Pour toute question concernant cette politique ou vos données personnelles, vous pouvez nous contacter à : contact@bloodsense.ai.

4. Données personnelles que nous collectons

Nous collectons différentes catégories de données personnelles pour fournir et améliorer nos Services :

  • Données d’identification et de contact : Nom, adresse e-mail. Nous utilisons votre nom principalement pour faciliter le processus d’anonymisation de votre rapport d’analyse avant le traitement par l’IA. Nous utilisons votre adresse e-mail pour vous envoyer le rapport généré par l’IA.

  • Données de santé et contextuelles (catégories particulières de données) :

    • Le fichier de votre rapport d’analyse de laboratoire (sang, urine, selles) que vous téléchargez (au format PDF).

    • Les informations contextuelles que vous fournissez via notre formulaire en ligne pour nous aider à générer une explication plus pertinente : âge, sexe, taille, poids, antécédents médicaux personnels et familiaux, allergies, mode de vie, etc. Ces informations peuvent être considérées comme des informations de santé protégées (PHI) en vertu de la loi américaine (HIPAA).

  • Données de transaction : Informations relatives à votre achat du Service, traitées directement by notre prestataire de paiement Stripe (nous ne stockons pas les informations complètes de votre carte de crédit). Votre historique de transactions avec nous.

  • Données techniques d’utilisation et d’interaction : Informations sur la manière dont vous interagissez avec notre Site et nos Services, collectées via des outils d’analyse comme Microsoft Clarity et Google Analytics (sous réserve de votre consentement via notre bannière de cookies). Cela peut inclure votre adresse IP (anonymisée lorsque possible), le type de navigateur, les pages visitées, le temps passé, les clics, le parcours utilisateur.

  • Données issues des cookies et technologies similaires : Informations collectées via les cookies lorsque vous naviguez sur notre Site, conformément à notre Politique de Cookies et à vos choix de consentement. Cela inclut des données pour l’analyse d’audience et potentiellement pour analyser la performance des campagnes publicitaires (Google Ads).

  • Données de communication : Toute information que vous fournissez lorsque vous contactez notre support client ou nous donnez votre avis.

5. Comment nous utilisons vos données personnelles (finalités et bases légales)

Nous traitons vos données personnelles à des fins spécifiques et uniquement lorsque nous disposons d’une base légale appropriée en vertu des lois applicables sur la protection des données (y compris le RGPD, en raison de notre base au Royaume-Uni, et les lois américaines comme HIPAA pour les PHI). Voici comment nous utilisons vos données et les bases légales sur lesquelles nous nous appuyons :

  • Pour fournir le service Bloodsense : Nous utilisons vos Données d’identification, Données de santé et contextuelles (PHI), et le rapport PDF que vous téléchargez pour analyser votre rapport et générer l’explication par l’IA demandée. La base légale principale pour le traitement des PHI est votre Consentement Explicite (requis en vertu de l’Art. 9(2)(a) du RGPD et nécessaire pour la conformité HIPAA), que nous recueillons via une case à cocher obligatoire avant le début du traitement de votre rapport. Pour les données non-PHI impliquées, la base est la nécessité pour l’exécution d’un contrat (Art. 6(1)(b) du RGPD).

  • Pour faciliter l’anonymisation du rapport PDF : Nous utilisons votre Nom et le Rapport PDF pour permettre la suppression des identifiants directs du document avant l’analyse par l’IA. Ce traitement est nécessaire à l’exécution du contrat (Art. 6(1)(b) du RGPD) et relève du champ du traitement basé sur votre consentement explicite pour les données de santé (Art. 9(2)(a) du RGPD).

  • Pour envoyer le rapport généré par l’IA : Nous utilisons votre Adresse e-mail et le Rapport généré pour vous livrer le résultat de notre Service. La base légale est la nécessité pour l’exécution d’un contrat (Art. 6(1)(b) du RGPD).

  • Pour gérer votre compte utilisateur (le cas échéant) et la relation client : Nous utilisons vos Données d’identification, de Contact et de Transaction pour gérer votre compte et notre relation commerciale. La base légale est la nécessité pour l’exécution d’un contrat (Art. 6(1)(b) du RGPD).

  • Pour traiter les paiements : Nous utilisons vos Données d’identification, de Contact et de Transaction pour permettre le traitement sécurisé des paiements via notre fournisseur Stripe. La base légale est la nécessité pour l’exécution d’un contrat (Art. 6(1)(b) du RGPD).

  • Pour analyser l’utilisation du site et du service à des fins d’amélioration et de sécurité : Nous utilisons les Données d’utilisation et les données des Cookies (Analytiques comme Microsoft Clarity, Google Analytics). La base légale pour l’utilisation des cookies non essentiels est votre Consentement (Art. 6(1)(a) du RGPD), recueilli via la bannière de cookies. Pour les aspects liés à la sécurité du service, la base légale est notre Intérêt Légitime (Art. 6(1)(f) du RGPD).

  • Pour améliorer nos modèles d’IA (avec des données dé-identifiées) : Nous pouvons utiliser des Données de santé dé-identifiées (dérivées de vos rapports après suppression des identifiants conformément aux normes HIPAA) pour améliorer la qualité et la pertinence de nos services. La base légale en vertu du RGPD pour le traitement de ces données dé-identifiées est notre Intérêt Légitime (Art. 6(1)(f) du RGPD), sous réserve de votre droit d’opposition. Ce traitement n’a lieu qu’après que les données ont été correctement dé-identifiées.

  • Pour analyser l’efficacité des campagnes marketing : Nous utilisons les données des Cookies (Publicitaires/Marketing comme ceux de Google Ads). La base légale est votre Consentement (Art. 6(1)(a) du RGPD), recueilli via la bannière de cookies.

  • Pour répondre à vos demandes : Nous utilisons vos Données d’identification, de Contact et de Communication lorsque vous contactez le support client ou posez des questions. La base légale est la nécessité pour l’exécution d’un contrat (Art. 6(1)(b) du RGPD) ou notre Intérêt Légitime (Art. 6(1)(f) du RGPD) à répondre à vos demandes.

  • Pour envoyer des communications marketing (newsletters, offres) : Si nous mettons en place ce type de communication, nous n’utiliserons votre Adresse e-mail que sur la base de votre Consentement spécifique (Opt-in) (Art. 6(1)(a) du RGPD). Ce consentement sera demandé séparément et ne sera jamais présumé de votre utilisation du Service principal.

  • Pour se conformer aux obligations légales et réglementaires : Nous pouvons traiter toute donnée personnelle pertinente si cela est nécessaire pour se conformer à une obligation légale (Art. 6(1)(c) du RGPD).

Anonymisation/dé-identification et amélioration de l’IA : Notre outil interne supprime votre nom de votre rapport PDF avant toute analyse par l’IA. Nous pouvons utiliser ces données de santé, une fois correctement dé-identifiées selon les normes HIPAA (rendant la ré-identification très difficile), pour entraîner et améliorer nos modèles d’IA afin de rendre nos explications plus précises et utiles. Ceci est basé sur notre intérêt légitime (en vertu du RGPD). Vous avez le droit de vous opposer à cette utilisation de vos données dé-identifiées pour l’amélioration de nos modèles en envoyant un e-mail à contact@bloodsense.ai, comme mentionné dans nos Conditions d’utilisation.

6. Partage de vos données personnelles

Nous ne vendons pas vos données personnelles. Nous pouvons partager vos données personnelles avec des tiers uniquement dans les cas suivants et avec des garanties appropriées :

  • Prestataires de services (sous-traitants/partenaires commerciaux) :

    • Hébergement : Microsoft Azure (serveurs situés aux États-Unis pour les utilisateurs américains, opérés par Microsoft pour l’hébergement sécurisé de nos systèmes et de vos données, en vertu d’accords conformes à HIPAA le cas échéant).

    • Traitement des paiements : Stripe, Inc. pour traiter vos paiements en toute sécurité. Stripe peut collecter vos données de paiement directement.

    • Analyse d’audience et d’interaction : Google (pour Google Analytics, Google Ads) et Microsoft (for Microsoft Clarity), sous réserve de votre consentement aux cookies.

  • Fournisseurs d’infrastructure d’IA (pour les données dé-identifiées uniquement) : Nous utilisons une combinaison de modèles d’IA développés en interne et de services tiers. Seules les données de vos rapports qui ont été préalablement dé-identifiées par nos soins sont envoyées à ces fournisseurs tiers pour générer l’explication. Ils agissent en tant que sous-traitants/partenaires commerciaux pour cette tâche spécifique sur des données dé-identifiées.

  • Obligations légales : Si la loi l’exige, nous pouvons divulguer vos données aux autorités compétentes (tribunaux, régulateurs, forces de l’ordre).

  • Transferts d’entreprise : En cas de fusion, d’acquisition ou de vente de tout ou partie de nos actifs, vos données pourraient être transférées à l’entité acquéreuse, à condition qu’elle adhère à des engagements de confidentialité similaires.

Nous exigeons de tous nos sous-traitants/partenaires commerciaux qu’ils respectent la sécurité de vos données personnelles et les traitent conformément à la loi (y compris la signature d’Accords de Partenariat Commercial (BAA) en vertu de HIPAA si nécessaire). Ils ne sont autorisés à traiter vos données qu’à des fins spécifiées et selon nos instructions.

7. Transferts internationaux de données

En tant qu’entreprise basée au Royaume-Uni, nos opérations principales sont soumises aux lois sur la protection des données du Royaume-Uni/de l’UE (RGPD). Certains de nos prestataires de services (Stripe, Google, Microsoft, etc.) sont basés ou opèrent en dehors du Royaume-Uni, principalement aux États-Unis. Vos données, en particulier lors de l’utilisation du service depuis les États-Unis, seront traitées sur des serveurs situés aux États-Unis.

Lorsque nous transférons des données personnelles provenant du Royaume-Uni/EEE en dehors de ces régions (par exemple, vers des fournisseurs basés aux États-Unis), nous nous assurons qu’un niveau de protection adéquat est garanti par des mesures telles que :

  • Les décisions d’adéquation (par exemple, l’extension britannique au Cadre de protection des données UE-États-Unis pour les entreprises certifiées).

  • Les garanties appropriées comme les Clauses Contractuelles Types (CCT) approuvées par les autorités compétentes, accompagnées d’évaluations d’impact sur les transferts si nécessaire.

Veuillez noter que les données envoyées à des fournisseurs d’IA tiers sont dé-identifiées par nos soins avant le transfert. Les transferts de données d’utilisateurs américains vers notre siège au Royaume-Uni à des fins opérationnelles sont effectués sous des garanties appropriées.

8. Sécurité des données

Nous avons mis en place des mesures de sécurité techniques et organisationnelles appropriées pour empêcher la perte accidentelle, l’utilisation ou l’accès non autorisé, l’altération ou la divulgation de vos données personnelles. Celles-ci incluent :

  • Hébergement sur des serveurs sécurisés (Microsoft Azure aux États-Unis pour les utilisateurs américains), conformes aux normes requises par HIPAA.

  • Dé-identification des rapports avant le traitement par l’IA.

  • Chiffrement des données en transit et au repos, le cas échéant.

  • Contrôles d’accès stricts pour limiter l’accès aux données personnelles aux seules personnes qui en ont besoin pour leurs fonctions.

  • Procédures de gestion des violations de données présumées.

9. Durée de conservation des données

Nous ne conservons vos données personnelles que le temps nécessaire pour atteindre les finalités pour lesquelles nous les avons collectées, y compris pour satisfaire à toute exigence légale, comptable ou de reporting.

  • Données de compte, de contact et contextuelles : Conservées tant que votre compte est actif, puis pour une période maximale (par exemple, 3 ans) après votre dernière interaction, sauf si vous demandez une suppression plus précoce.

  • Rapport d’analyse PDF original : Nous conserverons le rapport d’analyse que vous avez téléchargé pour une durée maximale de 90 jours afin de résoudre tout problème de livraison potentiel, après quoi il sera supprimé de manière sécurisée de nos systèmes actifs.

  • Rapport IA généré (dé-identifié) : Ce rapport, qui ne contient plus d’identifiants directs, est conservé pour vous permettre d’y accéder (par exemple, via le futur portail patient) et à des fins d’analyse interne. Nous le conserverons pendant une période (par exemple, 3 à 5 ans) après la dernière activité du compte, sauf si une suppression anticipée de votre compte est demandée.

  • Données dé-identifiées pour l’amélioration de l’IA : Les données qui ont été dé-identifiées de manière irréversible (ne permettant plus la ré-identification) ne sont pas considérées comme des données personnelles en vertu de HIPAA ou du RGPD et peuvent être conservées plus longtemps, potentiellement indéfiniment à des fins de recherche et d’amélioration des modèles.

  • Données de transaction : Conservées pendant la période requise par les obligations légales et comptables (par exemple, généralement 6 ans au Royaume-Uni après la fin de l’année fiscale concernée).

10. Vos droits en matière de protection des données

Selon les lois applicables comme le RGPD pour les interactions au Royaume-Uni/UE, et potentiellement les lois des États américains comme le CCPA/CPRA, vous pouvez avoir les droits suivants concernant vos données personnelles :

  • Droit d’accès : Demander une copie des données que nous détenons à votre sujet.

  • Droit de rectification : Demander la correction des données inexactes ou incomplètes.

  • Droit à l’effacement (« droit à l’oubli ») : Demander la suppression de vos données, sous certaines conditions. (Remarque : HIPAA peut exiger la conservation de certains dossiers de santé pour des périodes spécifiques).

  • Droit à la limitation du traitement : Demander la limitation du traitement de vos données, sous certaines conditions.

  • Droit d’opposition : Vous opposer au traitement basé sur notre intérêt légitime (y compris l’utilisation de données dé-identifiées pour l’amélioration de l’IA via l’opt-out). Vous opposer au marketing direct.

  • Droit à la portabilité des données : Demander à recevoir les données que vous avez fournies dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable du traitement, sous certaines conditions.

  • Droit de retirer son consentement : Si le traitement est basé sur le consentement (en particulier pour les données de santé/PHI et le marketing), vous pouvez le retirer à tout moment sans affecter la légalité du traitement antérieur.

Comment exercer vos droits : Actuellement, vous pouvez exercer vos droits en contactant notre Contact pour la confidentialité par e-mail à contact@bloodsense.ai. Nous prévoyons de mettre en place un portail utilisateur qui vous permettra également de gérer certaines de vos données et demandes directement. Nous pouvons vous demander de vérifier votre identité avant de répondre à votre demande.

11. Enfants/mineurs

Nos Services ne sont pas destinés aux personnes de moins de 18 ans. Nous mettons en œuvre une vérification de l’âge (confirmation d’avoir au moins 18 ans) avant le paiement. Nous ne collectons pas sciemment de données personnelles auprès de personnes de moins de 18 ans.

12. Cookies

Nous utilisons des cookies et des technologies similaires sur notre Site. Pour plus d’informations sur les cookies que nous utilisons, leurs finalités et comment gérer vos préférences, veuillez consulter notre Politique de Cookies.

13. Modifications de cette politique de confidentialité

Nous pouvons mettre à jour cette politique de temps à autre. La date de la dernière mise à jour sera indiquée en haut de cette page. Nous vous encourageons à consulter cette page régulièrement pour rester informé de la manière dont nous protégeons vos données.

14. Droit d’introduire une réclamation

Si vous avez des préoccupations concernant la manière dont nous traitons vos données personnelles, nous vous encourageons à contacter d’abord notre Contact pour la confidentialité. Vous avez également le droit d’introduire une réclamation auprès de l’autorité de contrôle compétente.

  • Au Royaume-Uni, l’autorité est l’Information Commissioner’s Office (ICO) (www.ico.org.uk).

  • Aux États-Unis, selon la nature de la plainte, vous pouvez contacter le Bureau des droits civils du Département de la Santé et des Services sociaux (HHS) (pour les questions HIPAA/PHI), la Federal Trade Commission (FTC) (pour les questions générales de confidentialité ou de protection des consommateurs), ou le procureur général de votre État.

Bloodsense logo

Suivez-nous :

Facebook Twitter Linkedin Instagram Youtube

Abonnez-vous à notre newsletter :

Services

Conformité

Entreprise

Publications

Copyright © 2025 BloodSense, Tous droits réservés.