← Back to home

Politique de confidentialité

Service de transcription vocale — Dya Voice

Dernière mise à jour : 19 Juillet 2025

Dya Voice (le « Service ») est édité par Blue Lantern Sàrl (« Dya », « nous »). Nous traitons les données personnelles de manière responsable, conformément à la Loi fédérale sur la protection des données (nLPD / FDPA) et, lorsque applicable, au RGPD.

La présente politique décrit quelles données nous traitons, à quelles fins, sur quelles bases légales, où elles sont hébergées, à qui elles peuvent être communiquées, et quels sont les droits des personnes concernées.

1. Contact

Blue Lantern Sàrl

Email : contact@dyaclinical.com

Site web : https://www.dyaclinical.com

Application : https://app.dyaclinical.com

2. Définitions et rôles (RGPD)

2.1 Site public (dyaclinical.com)

Pour les données collectées via le site (prospects, formulaires, métriques d'audience), Blue Lantern Sàrl agit en tant que responsable du traitement.

2.2 Application (app.dyaclinical.com)

Deux situations coexistent :

  • Données « patients / clients finaux » traitées par un cabinet (ex. audio, transcriptions, notes cliniques) : Dya agit en tant que sous-traitant ; le cabinet/clinique est le responsable du traitement.
  • Données « compte client B2B » (ex. utilisateurs autorisés, facturation, support) : Dya agit en tant que responsable du traitement.

Un accord de traitement des données (DPA / AVV) encadre la relation avec chaque cabinet (sur demande).

3. Catégories de données traitées

3.1 Visiteurs / prospects (site web)

  • Données fournies via formulaires (nom, email, société, message)
  • Données techniques (adresse IP, user-agent, logs, diagnostics)
  • Données d'utilisation agrégées (mesure d'audience)

3.2 Clients (cabinets) & utilisateurs autorisés

  • Identité et coordonnées professionnelles
  • Données d'authentification (mots de passe hachés), paramètres de compte
  • Historique de support (tickets, emails)
  • Données contractuelles et de facturation (consommation, statut de paiement, factures) — hors données de carte bancaire brutes, gérées par Stripe (voir §7)

3.3 Données traitées dans le Service de transcription (pour le compte des cabinets)

Selon l'usage :

  • Enregistrements audio (voix) et/ou fichiers audio importés
  • Transcriptions (texte)
  • Sorties automatisées (ex. résumé, structuration de notes) générées à partir de l'audio/texte
  • Potentiellement des données sensibles (ex. santé) si l'utilisateur dicte des éléments cliniques

3.4 Journaux techniques

  • Logs d'accès, événements de sécurité, traces d'audit, diagnostics applicatifs

4. Minimisation, séparation et « privacy by design »

Nous appliquons des principes de minimisation et de séparation des données :

  • Champs d'identité patient : les champs identifiants (ex. nom, prénom, coordonnées, identifiants internes) sont stockés séparément et ne sont pas inclus dans les requêtes vers des services externes de traitement.
  • Requêtes externes : lorsque nous utilisons des prestataires externes (ex. OpenAI via API), nous n'envoyons que les éléments nécessaires au traitement (par ex. audio et/ou texte à transcrire/structurer).
  • Cloisonnement : les accès aux données sont restreints selon le principe du « besoin d'en connaître » (RBAC), avec journalisation des actions significatives.

5. Finalités et bases légales (RGPD)

Nous traitons les données pour :

  1. Fournir le Service (enregistrement/import audio, transcription, génération de résumés/structuration, sauvegarde)
    Base légale (B2B) : exécution du contrat. Pour les données patients : le cabinet détermine la base légale applicable (Dya agit comme sous-traitant).
  2. Sécurité (prévention/détection d'incidents, contrôle d'accès, logs d'audit)
    Base légale : intérêt légitime et/ou obligation légale
  3. Support client (assistance, résolution d'incidents)
    Base légale : exécution du contrat et intérêt légitime
  4. Facturation (mesure de consommation, factures, paiement, communications opérationnelles)
    Base légale : exécution du contrat et obligations légales (comptabilité)
  5. Amélioration du produit (statistiques agrégées/anonymisées, corrections de bugs)
    Base légale : intérêt légitime. Nous privilégions des métriques agrégées et évitons l'analyse du contenu patient.

6. Hébergement, localisation, transferts et sous-traitants

6.1 Hébergement principal en Suisse

  • Base de données & stockage : hébergés en Suisse (région Zurich) via Supabase (Zurich).
  • Serveurs applicatifs : hébergés en Suisse chez Nine (nine.ch).

6.2 Sous-traitants (subprocessors) et finalités

Nous faisons appel à des sous-traitants pour fournir le Service. La liste ci-dessous peut évoluer ; une version à jour peut être fournie sur demande.

  • Supabase (Suisse – Zurich) : hébergement base de données, stockage, authentification (le cas échéant). DPA : disponible sur demande.
  • Nine (Suisse – Zurich) : hébergement des serveurs applicatifs en Suisse.
  • OpenAI : services de transcription et de traitement automatisé via l'API OpenAI (ex. transcription, résumé, structuration). Données envoyées via l'API OpenAI : conformément à la documentation d'OpenAI, les données transmises via l'API ne sont pas utilisées pour entraîner/améliorer les modèles OpenAI. DPA OpenAI : https://openai.com/policies/data-processing-addendum/
  • Stripe (hors Suisse potentiellement) : paiements, facturation et gestion des moyens de paiement. Dya ne stocke pas les données de carte bancaire brutes. DPA Stripe : https://stripe.com/legal/dpa

6.3 Transferts transfrontaliers et garanties

Lorsque des données personnelles sont communiquées à des sous-traitants situés à l'étranger (directement ou indirectement), nous mettons en place des garanties appropriées lorsque requis (p. ex. accords de traitement des données (DPA), clauses contractuelles standard, et mesures techniques/organisationnelles).

6.4 Registre

Nous tenons un registre interne des traitements et des sous-traitants, disponible sur demande.

7. Paiements (Stripe)

Les paiements sont traités via Stripe. Dya ne stocke pas les données de carte bancaire brutes. Stripe traite les données de paiement conformément à ses propres documents contractuels et politiques.

8. Conservation (rétention)

8.1 Audio

  • Les fichiers audio sont supprimés au plus tard dans les 24 heures suivant leur création/import (souvent plus tôt, une fois le traitement terminé).
  • Cette règle s'applique aussi aux fichiers temporaires liés au traitement.

8.2 Données du compte, transcriptions, notes

  • Conservées tant que le compte est actif.
  • En cas de fermeture/suppression de compte, les données sont purgées au plus tard dans le mois (≤ 1 mois), sous réserve d'obligations légales (ex. comptabilité) et des contraintes techniques de sauvegardes.

8.3 Données de facturation et obligations légales

Certaines données (factures, écritures, preuves) peuvent être conservées plus longtemps si requis par le droit suisse (obligations comptables), même après fermeture.

8.4 Journaux techniques

Conservés pour une durée limitée et proportionnée aux besoins de sécurité et d'audit. Sauvegardes : des copies de sauvegarde peuvent exister pendant une période limitée ; la purge complète intervient selon les cycles de sauvegarde, au plus tard dans les délais ci-dessus, sauf obligation légale.

9. Droits des utilisateurs (clients B2B)

Sous réserve des limites légales et du rôle (responsable/sous-traitant), vous disposez notamment des droits suivants :

9.1 Accès

Obtenir la confirmation que des données vous concernant sont traitées et y accéder.

9.2 Rectification

Vous pouvez corriger/mettre à jour les données saisies (patients, titres, notes, etc.) via l'application lorsque cela est disponible, ou en nous contactant.

9.3 Effacement (suppression) & suppression sélective

  • Suppression de compte : une option « Delete account » (ou une demande par email) entraîne une suppression logique immédiate puis une purge ≤ 1 mois.
  • Audio : purge ≤ 24h.
  • Suppression sélective : vous pouvez demander la suppression d'un élément précis (ex. transcription, patient, note) via l'interface lorsque disponible, ou via email.

9.4 Portabilité (export)

Sur demande (ou via l'interface lorsque disponible), vous pouvez télécharger un export JSON/CSV (idéalement un ZIP) comprenant typiquement : Profil & paramètres, Patients (données saisies dans l'app), Consultations / transcriptions / notes, Consommation et éléments de facturation hors données de paiement brutes Stripe.

9.5 Opposition / limitation

Dans certains cas, vous pouvez vous opposer à certains traitements ou en demander la limitation.

9.6 Réclamation

Si le RGPD s'applique, vous pouvez introduire une réclamation auprès d'une autorité de contrôle de l'EEE. En Suisse, vous pouvez contacter le PFPDT (Préposé fédéral à la protection des données et à la transparence).

10. Droits des tiers enregistrés (ex. patients, accompagnants)

Le Service peut être utilisé pour enregistrer la voix et des informations concernant des tiers (ex. patients). Dans ce contexte :

  • Le cabinet est généralement le responsable du traitement des données patient ; Dya agit comme sous-traitant.
  • Les tiers peuvent exercer leurs droits principalement auprès du cabinet (accès, rectification, effacement, etc.).
  • Dya assiste le cabinet, sur instruction, pour répondre aux demandes relatives aux données traitées via le Service.

Important : le cabinet/utilisateur est responsable : d'informer les personnes concernées (p. ex. affichage en salle, information orale), d'obtenir tout consentement requis, de s'assurer d'une base légale valable pour l'enregistrement et le traitement, y compris en présence de données sensibles.

11. Procédure DSAR (demandes RGPD / nLPD)

Pour toute demande (accès, export, suppression, etc.) :

  • Canal : contact@dyaclinical.com
  • Délai : nous répondons en principe sous 30 jours (prolongeable si la demande est complexe, conformément au RGPD).
  • Vérification d'identité : nous pouvons demander des informations supplémentaires raisonnables pour vérifier l'identité et/ou l'autorité (ex. utilisateur d'un cabinet).
  • Traçabilité : nous conservons un journal des demandes (date, nature, résultat) à des fins de conformité.

12. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées au risque, notamment :

  • Chiffrement en transit (TLS) et, lorsque applicable, au repos
  • Journalisation et surveillance de sécurité
  • Sauvegardes et tests de restauration
  • Gestion des vulnérabilités et des secrets

Aucune mesure ne garantit un risque zéro, mais nous cherchons à maintenir un niveau de sécurité adapté à la sensibilité des données.

13. Cookies et technologies similaires

Site public

Cookies nécessaires (langue, sécurité) et, le cas échéant, mesure d'audience limitée. Les cookies non essentiels nécessitent un consentement.

Application

Google Analytics et Vercel Analytics pour la mesure d'audience ; cookies d'authentification nécessaires et stockage local pour préférences d'interface.

14. Modifications

Nous pouvons mettre à jour cette politique en cas d'évolution légale, technique ou opérationnelle. En cas de changements substantiels, un avis approprié sera fourni (email et/ou message in-app). La version publiée fait foi.