top of page

Politique de Gestion des Données (RGPD)
 

Dernière mise à jour : 5 mai 2026
 

La présente politique décrit comment PhoxRay traite les données personnelles dans le cadre de son application web et de ses services associés, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi française « Informatique et Libertés ». Elle complète les Conditions Générales d'Utilisation.
 

1. Responsable du traitement

Le responsable du traitement des données collectées via PhoxRay est l'éditeur du service opérant sous la marque PhoxRay. Pour toute question relative à cette politique ou à vos droits, vous pouvez écrire à : contact@phoxray.com.
 

2. Données collectées

Selon votre utilisation, nous pouvons traiter notamment :

  • Données de compte et d'identification : identifiant membre, nom, prénom, adresse e-mail, et le cas échéant informations transmises par la plateforme d'hébergement du site ou d'authentification (ex. Wix Members), selon votre profil.

  • Données d'usage du service : contenus que vous téléversez ou générez dans l'application (notamment images de radiographies et fichiers dérivés : masques, résultats de traitement), métadonnées techniques associées (identifiants de fichiers, journaux de génération, paramètres de workflow dans la mesure où ils permettent de vous identifier ou de lier un traitement à votre compte).

  • Données de relation commerciale : abonnements, crédits ou consommation liée aux offres, dans la mesure où ces éléments sont traités pour la facturation ou la gestion du contrat.

  • Données techniques et de sécurité : adresse IP, journaux serveurs, cookies ou traceurs strictement nécessaires au fonctionnement et à la sécurité du service, selon configuration.

Les contenus susceptibles de contenir des données de santé (notamment images de radiographies et fichiers dérivés) peuvent constituer des données de santé au sens du RGPD lorsqu'ils permettent d'identifier une personne physique ou d'être reliés à une personne identifiable. Vous ne devez soumettre de tels contenus qu'avec les bases légales et professionnelles qui vous incombent (consentement, obligation légale, exercice de la profession, etc.). Conformément aux CGU, vous devez privilégier le téléversement de contenus anonymisés ou, à défaut, pseudonymisés dans la mesure du possible ; la pseudonymisation ne supprime pas nécessairement le caractère personnel des données ni vos obligations (secret professionnel, dossier patient, etc.). Vous restez responsable de la licéité des contenus soumis et des mesures préalables que vous appliquez.
 

3. Finalités et bases légales

Nous traitons les données pour :

  • Fourniture et sécurisation du service (exécution du contrat / mesures précontractuelles ; intérêt légitime pour la sécurité et la prévention des abus) : authentification, stockage, traitement par IA des fichiers que vous soumettez, affichage dans votre espace, support technique.

  • Gestion des abonnements et paiements (exécution du contrat ; obligations légales comptables le cas échéant).

  • Amélioration et maintenance (intérêt légitime ou exécution du contrat selon le cas) : correction d'incidents, statistiques agrégées, évolution des fonctionnalités.

  • Communications commerciales : uniquement si vous y avez consenti ou dans les hypothèses prévues par la loi (base légale : consentement ou intérêt légitime avec droit d'opposition selon le canal).

Lorsque le traitement de données de santé est nécessaire au fonctionnement du service pour votre compte, la base juridique peut inclure l'exécution du contrat et, le cas échéant, des obligations propres à votre statut professionnel ; adaptez votre pratique aux patients conformément aux règles qui vous sont applicables.
 

4. Destinataires et sous-traitants

Les données peuvent être traitées par des prestataires agissant pour notre compte et sur nos instructions (sous-traitants), notamment : hébergement et stockage de fichiers (ex. cloud de type Google Cloud), traitements d'inférence ou files d'exécution (ex. environnements de type ComfyUI / services d'IA), hébergement du site front et gestion des comptes membres (ex. Wix), prestataires de paiement ou de facturation si utilisés.

Pour le stockage ou le traitement de contenus susceptibles de contenir des données de santé, nous pouvons recourir à des prestataires dont les offres, dans le périmètre applicable à la chaîne de traitement concernée, répondent aux exigences relatives aux hébergeurs de données de santé (HDS) lorsque la réglementation l'impose ou le prévoit pour ces traitements. Cela ne signifie pas que l'éditeur du service PhoxRay est lui-même titulaire d'une certification HDS au titre de sa personne morale.

Ces acteurs sont contractuellement tenus de respecter le RGPD. Une liste actualisée des catégories de sous-traitants peut être fournie sur demande raisonnable à contact@phoxray.com.

En cas de transfert hors de l'Espace économique européen, nous nous appuyons sur des garanties appropriées (clauses contractuelles types de la Commission européenne, décisions d'adéquation, ou autres mécanismes prévus par le RGPD), dans la mesure où les outils utilisés impliquent de tels transferts.
 

5. Durée de conservation

Les données sont conservées pendant la durée nécessaire aux finalités ci-dessus :

  • Compte actif : données de profil et contenus associés au service conservés tant que le compte est actif et selon les besoins du fonctionnement (galerie, historique de générations, etc.).

  • Après clôture ou demande de suppression : suppression ou anonymisation dans des délais compatibles avec les sauvegardes techniques, sauf conservation imposée par la loi (ex. obligations comptables ou preuve en cas de litige, dans des limites strictes).

  • Journaux de sécurité : durées courtes ou modérées selon les besoins de sécurité et la réglementation.

Pour une demande d'effacement ciblée, voir aussi la page Suppression des données.
 

6. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées (contrôle d'accès, chiffrement en transit lorsque pertinent, cloisonnement des environnements, gestion des habilitations) afin de protéger les données contre l'accès non autorisé, la perte ou l'altération. Aucun système n'étant exempt de risque, nous vous invitons à sécuriser vos identifiants et à ne partager des contenus sensibles que dans le cadre légal de votre activité. Vous demeurez responsable, au titre de vos obligations professionnelles, du choix des contenus transmis et des mesures d'anonymisation ou de pseudonymisation que vous appliquez préalablement au service, comme précisé dans les CGU.
 

7. Vos droits

Conformément au RGPD, vous disposez des droits suivants, dans les conditions et limites légales :

  • Droit d'accès et de rectification ;

  • Droit à l'effacement (« droit à l'oubli ») ;

  • Droit à la limitation du traitement ;

  • Droit d'opposition au traitement fondé sur l'intérêt légitime (y compris profilage lorsque applicable) ;

  • Droit à la portabilité des données que vous avez fournies, lorsque le traitement est automatisé et fondé sur le contrat ou le consentement ;

  • Droit de retirer votre consentement à tout moment lorsque le traitement en est fondé, sans affecter la licéité du traitement antérieur ;

  • Droit d'introduire une réclamation auprès de l'autorité de contrôle compétente (en France : la CNIL, www.cnil.fr).

Pour exercer vos droits : contact@phoxray.com. Nous pourrons vous demander un justificatif d'identité en cas de doute raisonnable.
 

8. Cookies et traceurs

Le site peut utiliser des cookies ou stockages locaux nécessaires à la session, aux préférences ou à la mesure d'audience, selon la mise en œuvre technique. Vous pouvez configurer votre navigateur pour refuser certains cookies ; certaines fonctions du service pourraient alors être dégradées.
 

8.1 Mesure d'audience — Microsoft Clarity

Sur les pages applicatives de PhoXray (hors pages légales et hors vue patient externe), nous utilisons Microsoft Clarity afin d'analyser l'ergonomie du service (heatmaps, replays anonymisés des sessions). Aucune donnée de santé ni image radiographique n'est transmise à Microsoft. La collecte n'est activée qu'après votre consentement explicite via la bannière affichée à votre première visite.

  • Finalité : compréhension des parcours utilisateur et amélioration de l'UX.

  • Base légale : votre consentement (art. 6.1.a RGPD).

  • Destinataire : Microsoft Corporation. Les transferts hors UE sont encadrés par les clauses contractuelles types de la Commission européenne mises en œuvre par Microsoft.

  • Cookies déposés : _clck, _clsk, CLID, MUID, ANONCHK, SM.

  • Durée : variable selon le cookie (de la session à 1 an maximum).

  • Politique de confidentialité Microsoft : privacy.microsoft.com/privacystatement.

Vous pouvez à tout moment réafficher la bannière de choix ou révoquer votre consentement :

 

9. Modifications

Nous pouvons mettre à jour cette politique. La date en tête de page sera modifiée ; une information plus visible pourra être donnée en cas de changement substantiel.
 

10. Contact
 

Pour toute question sur le traitement de vos données : contact@phoxray.com.

bottom of page