Politique de confidentialité

Dernière mise à jour : 17 mars 2026

Introduction à notre politique de confidentialité

Bienvenue sur BloodSense ! Smart Medical Care Ltd (“ SMC ”, “ nous ”, “ notre ”) s’engage pleinement à protéger la confidentialité et la sécurité de vos données personnelles. BloodSense est une marque commerciale de SMC, société immatriculée en Angleterre et au Pays de Galles (numéro d’immatriculation : 15309552).

La présente politique de confidentialité explique comment nous recueillons, utilisons, partageons, stockons et protégeons vos données personnelles lorsque vous utilisez notre site web bloodsense.ai (le “ Site ”) et nos services d’interprétation des résultats d’analyses de laboratoire basés sur l’intelligence artificielle (les “ Services ”). Elle vous informe également de vos droits en matière de protection des données et des recours dont vous disposez.

Nous vous invitons à lire attentivement l'intégralité de la présente Politique de confidentialité. En utilisant nos Services, vous reconnaissez avoir pris connaissance de cette politique. Le traitement de vos données de santé repose sur votre consentement explicite, obtenu séparément.

1. Responsable du traitement des données et contact pour la protection de la vie privée

Notre rôle en tant que responsable du traitement des données

Le responsable du traitement de vos données personnelles est :

  • Entreprise: Smart Medical Care Ltd
  • Type d'entreprise : Société à responsabilité limitée de type anglais“
  • Siège Social : 167-169 Great Portland Street, 5th Floor, London, W1W 5PF, United Kingdom
  • Numéro d’enregistrement : 15309552
  • Adresse électronique de contact : contact@bloodsense.ai

Votre contact de confidentialité

Pour toute question relative à cette politique, à vos données personnelles ou à l'exercice de vos droits, vous pouvez contacter notre responsable de la protection des données. Courriel : contact@bloodsense.ai

Présence dans l'Espace économique européen

SMC opère en coordination avec Smart Medical Care SAS Smart Medical Care SAS (société par actions simplifiée de droit français, RCS Nice 932 924 194), dont le siège social est situé au 37 avenue Maréchal Foch, 06000 Nice, France, exerce ses activités au sein de l'Espace économique européen (EEE) et peut également servir de point de contact pour les utilisateurs de l'EEE concernant les questions relatives à la protection de leurs données.

Pour les utilisateurs résidant dans l'EEE, toutes les données de santé traitées via le service BloodSense sont hébergées exclusivement sur des serveurs Microsoft Azure situés en France, bénéficiant de la certification française d'hébergement de données de santé. Cela garantit la conformité aux exigences réglementaires européennes les plus strictes en matière de données de santé sensibles.

Note importante : À ce jour, SMC n'a pas désigné de délégué à la protection des données (DPO) au sens des articles 37 à 39 du RGPD. Julien P. est notre responsable de la protection des données et votre interlocuteur privilégié pour toute question relative à la protection de vos données personnelles.

2. Portée de la présente politique

La présente politique de confidentialité s’applique à toutes les données personnelles traitées via le site web BloodSense (bloodsense.ai) et les services BloodSense, quel que soit votre pays de résidence. Elle s’applique aux utilisateurs de l’Espace économique européen (EEE), du Royaume-Uni, des États-Unis et de tous les autres pays depuis lesquels les services sont accessibles.

Lorsque des dispositions spécifiques s'appliquent aux utilisateurs dans certaines juridictions (par exemple, des droits supplémentaires en vertu du RGPD pour les utilisateurs de l'EEE/du Royaume-Uni ou des droits spécifiques à un État pour les utilisateurs américains), celles-ci sont clairement identifiées dans les sections pertinentes.

3. Données personnelles que nous collectons

Nous collectons les catégories de données personnelles suivantes afin de fournir et d'améliorer nos Services :

  • Données d'identification et de contact : Nom et adresse courriel. Nous utilisons votre nom principalement pour faciliter la pseudonymisation (suppression des identifiants directs) de votre rapport d'analyse avant le traitement par l'IA. Nous utilisons votre adresse courriel pour vous envoyer le rapport généré par l'IA.
  • Données sanitaires et contextuelles (catégories particulières de données) : Cela inclut le fichier de votre rapport d'analyse (sang, urine, selles) que vous téléchargez, ainsi que les informations contextuelles que vous fournissez via notre formulaire en ligne afin de nous aider à générer une explication plus pertinente : âge, sexe, taille, poids, antécédents médicaux personnels et familiaux, allergies, médicaments, symptômes, habitudes de vie et motif de l'analyse. Ces informations constituent des données de santé et bénéficient d'une protection renforcée en vertu des lois applicables en matière de protection des données.
  • Données de transaction : Les informations relatives à votre achat du Service sont traitées directement par notre prestataire de paiement Stripe, Inc. Nous ne conservons pas l'intégralité de vos informations de carte bancaire. Votre historique de transactions est conservé à des fins comptables et de conformité légale.
  • Données techniques d'utilisation et d'interaction : Les informations relatives à votre interaction avec notre Site et nos Services sont collectées via des outils d'analyse tels que Microsoft Clarity et Google Analytics (sous réserve de votre consentement via notre bandeau de cookies). Ces informations peuvent inclure votre adresse IP (tronquée lorsque cela est possible), le type de navigateur, les pages consultées, le temps passé, les clics et votre parcours utilisateur.
  • Données issues des cookies et technologies similaires : Les informations collectées via les cookies lors de votre navigation sur notre Site sont conformes à vos choix de consentement exprimés via notre bandeau d'information sur les cookies. Ces données servent notamment à l'analyse d'audience et, avec votre consentement, à l'analyse des performances des campagnes publicitaires (Google Ads). Pour plus d'informations sur les types de cookies utilisés, leurs finalités et la gestion de vos préférences, veuillez consulter la section 11 de la présente Politique de confidentialité.
  • Données de communication : Toute information que vous fournissez lorsque vous contactez notre support client ou nous donnez votre avis.

4. Comment nous utilisons vos données personnelles (Finalités et bases légales)

  • Fournir le service BloodSense : Nous utilisons vos données d'identification, de santé et contextuelles, ainsi que les informations que vous téléchargez, pour analyser votre rapport et générer l'explication par IA demandée. Le traitement de vos données de santé repose principalement sur votre consentement explicite (conformément à l'article 9, paragraphe 2, point a), du RGPD), que nous recueillons via une case à cocher obligatoire avant le début du traitement de votre rapport. Pour les données non liées à la santé, le traitement est fondé sur la nécessité de l'exécution d'un contrat (article 6, paragraphe 1, point b), du RGPD).
  • Pour faciliter la pseudonymisation de vos informations : Nous utilisons votre nom pour permettre la suppression des identifiants directs du document avant l'analyse par l'IA. Ce processus constitue une pseudonymisation au sens de l'article 4, paragraphe 5, du RGPD : vos données de santé ne peuvent plus vous être attribuées sans l'utilisation d'informations supplémentaires (votre adresse électronique), conservées séparément. Ce traitement est nécessaire à l'exécution du contrat (RGPD, art. 6, paragraphe 1, point b)) et relève du traitement fondé sur votre consentement explicite (RGPD, art. 9, paragraphe 2, point a)).
  • Pour envoyer le rapport généré par l’IA : Nous utilisons votre adresse électronique et le rapport généré pour vous fournir les résultats de notre service. Le fondement juridique de ce traitement est la nécessité de l'exécution d'un contrat (RGPD, art. 6, paragraphe 1, point b)).
  • Pour gérer votre compte utilisateur et la relation client : Nous utilisons vos Données d’identification, de Contact et de Transaction pour gérer votre compte et notre relation commerciale. La base légale est la nécessité pour l’exécution d’un contrat (Art. 6(1)(b) du RGPD).
  • Pour traiter les paiements : Nous utilisons vos Données d’identification, de Contact et de Transaction pour permettre le traitement sécurisé des paiements via notre fournisseur Stripe. La base légale est la nécessité pour l’exécution d’un contrat (Art. 6(1)(b) du RGPD).
  • Pour analyser l’utilisation du site et du service à des fins d’amélioration et de sécurité : Nous utilisons les Données d’utilisation et les données des Cookies (Analytiques comme Microsoft Clarity, Google Analytics). La base légale pour l’utilisation des cookies non essentiels est votre Consentement (Art. 6(1)(a) du RGPD), recueilli via la bannière de cookies. Pour les aspects liés à la sécurité du service, la base légale est notre Intérêt Légitime (Art. 6(1)(f) du RGPD).
  • Pour améliorer nos modèles d'IA : Afin d'améliorer nos services pour tous, nous pouvons utiliser vos données après un processus d'agrégation et d'anonymisation irréversibles (rendant impossible votre réidentification, même par recoupement) pour entraîner et perfectionner nos algorithmes. Conformément à nos Conditions d'utilisation, vous pouvez vous opposer à ce traitement à tout moment en nous contactant à l'adresse contact@bloodsense.ai. Ce traitement est fondé sur notre intérêt légitime (RGPD, art. 6, paragraphe 1, point f), sous réserve de votre droit d'opposition.
  • Pour analyser l’efficacité des campagnes marketing : Nous pouvons utiliser les données issues des cookies (à des fins publicitaires et marketing, comme celles de Google Ads). La base juridique est votre consentement (RGPD, art. 6, paragraphe 1, point a)).
  • Pour répondre à vos demandes : Nous utilisons vos Données d’identification, de Contact et de Communication lorsque vous contactez le support client ou posez des questions. La base légale est la nécessité pour l’exécution d’un contrat (Art. 6(1)(b) du RGPD) ou notre Intérêt Légitime (Art. 6(1)(f) du RGPD) à répondre à vos demandes.
  • Pour se conformer aux obligations légales et réglementaires : Nous pouvons traiter toute donnée personnelle pertinente si cela est nécessaire pour se conformer à une obligation légale (Art. 6(1)(c) du RGPD).

Amélioration de la pseudonymisation et de l'IA

Notre outil interne supprime vos identifiants directs (nom) de vos analyses de laboratoire avant toute analyse par intelligence artificielle. Ce processus constitue une pseudonymisation au sens de l'article 4, paragraphe 5, du RGPD : vos données de santé ne permettent plus de vous identifier directement, mais restent des données personnelles au sens de la législation applicable en matière de protection des données tant qu'elles peuvent être associées à vous via votre adresse électronique. Les informations complémentaires nécessaires à la réidentification des données (votre adresse électronique) sont conservées séparément et font l'objet de mesures techniques et organisationnelles garantissant l'anonymat.

Nous pourrons ensuite utiliser ces données pseudonymisées, après un processus d'agrégation et d'anonymisation irréversibles (rendant votre réidentification véritablement impossible, même par recoupement), afin d'entraîner et d'améliorer nos modèles d'IA et ainsi rendre nos explications plus précises et utiles. Une fois anonymisées de manière irréversible, les données ne sont plus considérées comme des données personnelles au sens du RGPD et peuvent être conservées indéfiniment. Ce traitement est fondé sur notre intérêt légitime. Vous avez le droit de vous opposer à tout moment à l'utilisation de vos données pour l'amélioration des modèles d'IA en envoyant un courriel à contact@bloodsense.ai, comme indiqué dans nos Conditions d'utilisation.

5. Partage de vos données personnelles

Nous ne vendons pas vos données personnelles. Nous pouvons les partager avec des tiers uniquement dans les cas suivants et avec des garanties appropriées :

Prestataires de services (sous-traitants)

  • Hébergement : Microsoft Azure (Microsoft Ireland Operations Limited pour les utilisateurs de l'EEE, avec des serveurs situés en France bénéficiant de la certification Health Data Hosting — HDS ; Microsoft Corporation pour les utilisateurs hors EEE, avec des serveurs situés aux États-Unis), pour l'hébergement sécurisé de nos systèmes et de vos données.
  • Traitement des paiements : Stripe, Inc. (basée aux États-Unis) traite vos paiements en toute sécurité. Stripe peut collecter directement vos données de paiement.
  • Fournisseur d'infrastructure d'IA : OpenRouter, Inc. (basée aux États-Unis) utilise des modèles d'IA tiers pour générer votre rapport. Nous transmettons uniquement des données pseudonymisées à OpenRouter : votre nom et vos identifiants directs sont supprimés par nos systèmes internes avant tout transfert. OpenRouter et les fournisseurs des modèles d'IA sous-jacents n'ont jamais accès à vos informations personnelles.
  • Livraison d'e-mails transactionnels : Nous utilisons le service de messagerie SendGrid (Twilio Inc.) pour vous envoyer par courriel votre rapport d'IA généré. Ce prestataire agit en tant que sous-traitant et traite temporairement votre adresse courriel et le contenu de votre rapport (qui constitue des données de santé) uniquement à des fins d'acheminement et de livraison.
  • Analyse de l'audience et des interactions : Google LLC (Analytics, Ads) et Microsoft Corporation (Clarity), sous réserve de vos choix de consentement aux cookies exprimés via notre bannière de cookies.

Autres informations à divulguer

  • Obligations légales : Si la loi l’exige, nous pouvons divulguer vos données aux autorités compétentes (tribunaux, régulateurs, forces de l’ordre).
  • Transferts d’entreprise : En cas de fusion, d'acquisition ou de vente, les données pourront être transférées sous des engagements de confidentialité équivalents.

Veuillez noter que les données transmises aux fournisseurs d'infrastructure d'IA sont pseudonymisées par nos systèmes (les identifiants directs sont supprimés) avant leur transfert. Ces fournisseurs traitent les données pour notre compte et sont contractuellement tenus de ne pas les utiliser à leurs propres fins, notamment pour l'entraînement de leurs propres modèles d'IA.

6. Transferts internationaux de données

Vos données peuvent être traitées en dehors du Royaume-Uni/EEE, notamment aux États-Unis, par nos prestataires de services (OpenRouter, Stripe, Google). Ces transferts sont effectués en respectant les garanties appropriées, notamment :

  • Le cadre de protection des données UE-États-Unis (DPF) et son extension britannique, pour les entreprises certifiées telles que Stripe, Google et Microsoft.
  • Clauses contractuelles types (CCT) approuvées par la Commission européenne et/ou le Bureau du commissaire à l'information du Royaume-Uni, accompagnées, le cas échéant, d'évaluations d'impact sur les transferts.
  • Mesures de pseudonymisation des données envoyées aux fournisseurs d'IA, garantissant la suppression des données personnelles permettant l'identification directe avant tout transfert hors de l'EEE.

7. Sécurité des données

Nous avons mis en œuvre des mesures de sécurité techniques et organisationnelles appropriées afin de prévenir toute perte accidentelle, utilisation non autorisée, accès, modification ou divulgation de vos données personnelles. Ces mesures comprennent :

  • Hébergement sur des serveurs sécurisés et certifiés (Microsoft Azure – certifié HDS en France pour les utilisateurs de l’EEE ; conforme aux normes ISO 27001 et SOC 2 Type II pour tous les utilisateurs). Notre infrastructure est conçue selon des pratiques de sécurité conformes aux exigences techniques de la loi HIPAA.
  • Pseudonymisation des rapports (suppression de vos identifiants directs) avant traitement par l'IA.
  • Chiffrement des données en transit (TLS 1.2+) et au repos (AES-256).
  • Des contrôles d'accès stricts afin de limiter l'accès aux données personnelles aux seules personnes qui en ont besoin pour exercer leurs fonctions.
  • Procédures de traitement des violations de données présumées, conformément aux articles 33 et 34 du RGPD.

8. Durée de conservation des données

Nous conservons différents types de données pendant des périodes spécifiques, en fonction des exigences légales et des besoins opérationnels :

  • Test de laboratoire original (PDF) : Le rapport d'IA est conservé pendant 90 jours maximum après sa génération et sa livraison, puis supprimé de manière sécurisée. Ceci est conforme au principe de minimisation des données (RGPD, art. 5, paragraphe 1, point c)).
  • Données du compte et des contacts : Pendant toute la durée de la relation avec le compte actif, plus un maximum de 3 ans après la dernière interaction ou la désactivation du compte, après quoi il est définitivement supprimé.
  • Rapport d'IA généré et données de santé contextuelles : Pendant toute la durée de vie du compte actif, plus un maximum de 3 ans après la désactivation du compte, afin de permettre la réactivation du compte et l'accès via un futur portail patient.
  • Données de transaction : Pendant au moins 6 ans pour se conformer aux lois comptables et fiscales britanniques, et jusqu'à 10 ans pour les factures et les documents comptables conformément au Code de commerce français (art. L123-22) le cas échéant.
  • Données des cookies analytiques (Google Analytics) : Pour une durée maximale de 14 mois, conformément aux recommandations de la CNIL et des autorités de protection des données équivalentes.
  • Données relatives aux cookies publicitaires et de consentement (Clarity, Google Ads) : Pour une durée maximale de 6 mois.
  • Journaux du serveur (adresse IP) : Pour une durée maximale de 90 jours, sur la base de notre intérêt légitime à garantir la sécurité du service.
  • Données anonymisées et agrégées de manière irréversible pour l'amélioration de l'IA : Les données anonymisées de manière irréversible (rendant impossible votre réidentification, même par recoupement) ne sont plus considérées comme des données personnelles au sens du RGPD et peuvent être conservées indéfiniment à des fins de recherche et d'amélioration des modèles d'IA.

Une demande de suppression définitive de compte entraînera l'effacement de toutes les données énumérées ci-dessus, à l'exception des données que nous sommes légalement tenus de conserver (par exemple, les données de transaction à des fins de conformité fiscale) et des données qui ont déjà été anonymisées de manière irréversible.

9. Vos droits en matière de protection des données

Selon votre juridiction, vous pouvez disposer des droits suivants concernant vos données personnelles :

Droits pour tous les utilisateurs

  • Droit d’accès: Demandez une copie de vos données personnelles.
  • Droit de rectification: Demander la correction des données inexactes ou incomplètes.
  • Droit à l’effacement (“droit à l’oubli”) : Vous pouvez demander la suppression de vos données (“ droit à l’oubli ”), sous réserve des obligations légales de conservation.
  • Droit à la limitation du traitement : Limitez la manière dont nous traitons vos données dans certaines circonstances.
  • Droit d’opposition : Vous pouvez vous opposer au traitement de vos données fondé sur notre intérêt légitime (y compris l’utilisation de vos données pour l’amélioration des modèles d’IA) ou au marketing direct.
  • Droit à la portabilité des données : Recevez vos données dans un format structuré et lisible par machine.
  • Droit de retirer son consentement : Vous pouvez retirer votre consentement à tout moment, sans que cela n'affecte la licéité du traitement effectué avant ce retrait.

Droits supplémentaires pour les utilisateurs de l'EEE et du Royaume-Uni

Conformément au RGPD et au RGPD britannique, vous bénéficiez de tous les droits mentionnés ci-dessus. Nous répondrons à votre demande dans un délai d'un mois, pouvant être prolongé de deux mois pour les demandes complexes. Le traitement de votre demande est gratuit, sauf si elle est manifestement infondée ou excessive.

Droits supplémentaires pour les utilisateurs américains

Selon votre État de résidence, vous pouvez bénéficier de droits supplémentaires en vertu des lois étatiques applicables en matière de protection de la vie privée (telles que la loi californienne sur la protection de la vie privée des consommateurs, telle que modifiée par la loi CPRA, ou des lois similaires en Virginie, au Colorado, au Connecticut et dans d'autres États). Ces droits peuvent inclure le droit de savoir quelles informations personnelles nous collectons et partageons, le droit à l'effacement, le droit de refuser la vente de vos informations personnelles (nous ne vendons pas vos données) et le droit à la non-discrimination pour l'exercice de vos droits.

Pour exercer l'un de ces droits, veuillez contacter notre responsable de la protection des données à l'adresse contact@bloodsense.ai. Nous sommes là pour vous aider.

10. Enfants et mineurs

Nos services ne sont pas destinés aux personnes de moins de 18 ans. Nous procédons à une vérification de l'âge et ne collectons pas sciemment de données auprès de mineurs. Si nous constatons avoir collecté des données personnelles concernant une personne de moins de 18 ans, nous prendrons les mesures nécessaires pour supprimer ces informations sans délai.

11. Cookies et technologies similaires

Nous utilisons des cookies et des technologies similaires sur notre Site. Les cookies sont de petits fichiers texte enregistrés sur votre appareil lorsque vous visitez le Site, sous réserve de vos choix en matière de consentement.

Types de cookies que nous utilisons

  • Cookies strictement nécessaires : Ces cookies sont indispensables au fonctionnement de notre site (par exemple, gestion de session, sécurité). Ils ne nécessitent pas votre consentement.
  • Cookies analytiques : Nous utilisons Google Analytics et Microsoft Clarity pour comprendre comment les visiteurs interagissent avec notre site. Ces cookies ne sont déposés qu'avec votre consentement, que vous pouvez donner via notre bandeau d'information sur les cookies.
  • Cookies publicitaires/marketing : Nous pouvons utiliser des cookies Google Ads pour analyser l'efficacité de nos campagnes marketing. Ces cookies ne sont déposés qu'avec votre consentement, que vous pouvez donner via notre bandeau de cookies.

Gestion de vos préférences

Lors de votre première visite sur notre Site, une bannière de cookies vous permet d'accepter ou de refuser les cookies non essentiels. Vous pouvez modifier vos préférences à tout moment en effaçant les cookies de votre navigateur et en revenant sur le Site, ou en utilisant les paramètres de cookies disponibles sur le Site. Vous pouvez également configurer votre navigateur pour refuser tous les cookies, mais cela pourrait affecter certaines fonctionnalités du Site.

12. Modifications de la présente politique de confidentialité

Cette politique peut être mise à jour périodiquement. La date de la dernière mise à jour figure en haut de page. En cas de modifications importantes, nous vous en informerons avant leur entrée en vigueur. Veuillez consulter régulièrement cette page.

13. Droit de porter plainte

Si vous avez des questions concernant le traitement de vos données, veuillez contacter en premier lieu notre responsable de la protection des données. Vous pouvez également déposer une plainte auprès des autorités de contrôle compétentes.

  • ROYAUME-UNI: Bureau du commissaire à l'information (ICO) — www.ico.org.uk
  • France (pour les utilisateurs de l'EEE) : Commission Nationale de l'Informatique et des Libertés (CNIL) — www.cnil.fr
  • Autres pays de l'EEE : Vous avez le droit de déposer une plainte auprès de l'autorité de surveillance de votre pays de résidence.
  • NOUS: Commission fédérale du commerce (FTC) pour les questions générales de confidentialité — www.ftc.gov, ou votre procureur général d'État.

BloodSense
Analyse de test sanguin par IA

Vos données restent sécurisées. Nous sommes pleinement conformes aux normes HIPAA et GDPR.