Politique de Confidentialité
Version 1.3, Dernière mise à jour : 7 juin 2026
1. Objet
La présente Politique de Confidentialité explique comment Leximed Solutions Ltd traite les données à caractère personnel :
lors de l'utilisation du site public
leximed.fr;lors de l'utilisation de l'application Leximed par les médecins experts.
2. Identité du responsable et rôles RGPD
Pour les données du site public :
Responsable de traitement : Leximed Solutions Ltd (société de droit anglais).
Pour les données de santé et dossiers traités dans l'application :
Le médecin expert utilisateur agit comme Responsable de traitement.
Leximed Solutions Ltd agit comme Sous-traitant au sens de l'article 28 du RGPD.
Contact protection des données (questions/exercice de droits) : rgpd@leximed.fr
Référent à la protection des données : Leximed a désigné un référent RGPD (point de contact interne), joignable à l'adresse ci-dessus.
Délégué à la protection des données (DPO) : aucun DPO n'est formellement désigné à ce stade. Au regard de l'article 37 du RGPD, les traitements de Leximed ne constituent pas, à la date de la présente version, un traitement « à grande échelle » rendant la désignation obligatoire. Leximed désignera un DPO (mutualisé/externalisé) en cas d'évolution de l'échelle de ses traitements.
3. Données traitées
3.1 Données collectées via le site public
Lors d'une demande de contact ou d'accès pilote, nous pouvons collecter :
nom et prénom ;
email professionnel ;
spécialité médicale (optionnel) ;
contenu libre du message.
Lors de la souscription d'un abonnement via le site, des données d'identification et de facturation sont traitées (nom, email, données d'abonnement et de paiement). Le paiement est opéré par Paddle, qui agit en qualité de Merchant of Record : Paddle collecte et traite les données de paiement (y compris les données de carte) pour son propre compte en tant que vendeur officiel, et émet la facture. Leximed ne stocke pas les données de carte.
3.2 Données traitées dans l'application Leximed
Selon les usages du médecin expert, les traitements peuvent inclure :
données d'identification de patients et parties prenantes ;
données médico-légales nécessaires à la mission d'expertise ;
documents, brouillons, métadonnées et journaux techniques associés.
Ces données sont traitées sur instruction documentée du médecin responsable de traitement.
4. Finalités et bases légales
4.1 Site public
Finalités principales :
répondre aux demandes entrantes ;
évaluer une candidature au pilote ;
assurer le suivi commercial et produit pré-contractuel ;
gérer les abonnements, le paiement et la facturation.
Bases légales :
consentement (article 6.1.a RGPD), lorsque la demande repose sur un formulaire volontaire ;
intérêt légitime (article 6.1.f RGPD), pour répondre aux sollicitations professionnelles ;
exécution du contrat (article 6.1.b RGPD), pour la gestion de l'abonnement, du paiement et de la facturation ;
obligation légale (article 6.1.c RGPD), pour la conservation des pièces comptables.
4.2 Application Leximed
Le traitement des données de santé repose sur la base légale déterminée par le médecin expert (responsable de traitement).
Leximed agit comme sous-traitant et n'utilise pas ces données pour son propre compte hors nécessité technique et sécuritaire.
5. Sous-traitants ultérieurs (subprocessors)
Fournisseur | Finalité | Localisation | HDS | Commentaires |
|---|---|---|---|---|
Scaleway | Hébergement cloud (compute), stockage objet, secrets techniques | France (Paris) | Oui (addendum contractuel) | Utilisé pour les composants backend et stockage |
Resend | Envoi d'emails transactionnels | UE | Non | Aucun PHI ne doit être transmis dans les emails |
Sentry | Monitoring d'erreurs et crash reporting | UE | Non | Données de santé exclues/"scrubbées" |
Paddle | Paiement et facturation (Merchant of Record) | Royaume-Uni / UE | Non | Traite uniquement les données de facturation du médecin client ; aucune donnée de santé (PHI). Paddle agit comme vendeur officiel et gère la TVA. |
Leximed maintient une liste de sous-traitants ultérieurs et informe ses clients en cas d'évolution matérielle du périmètre.
6. Transferts hors UE/EEE
Leximed privilégie un hébergement et des opérations dans l'UE.
Si un transfert hors UE/EEE devait intervenir, Leximed mettrait en place un mécanisme juridique approprié (clauses contractuelles types ou mécanisme équivalent) et en informerait le responsable de traitement.
6 bis. Représentant dans l'Union européenne (article 27 RGPD)
Leximed Solutions Ltd est une société de droit anglais (hors UE).
Compte tenu d'une offre de services destinée à des professionnels établis dans l'UE, une désignation d'un représentant dans l'Union européenne peut être requise en application de l'article 27 RGPD, sauf exception légale documentée.
Statut à date :
Représentant UE : désigné.
Coordonnées du représentant UE :
Entité : Euverify Ltd (Ireland)
Adresse : Unit 3D North Point House, North Point Business Park, New Mallow Road, Cork, T23 AT2P, Ireland
Email :
gdpr@euverify.comPortail DSAR / demandes RGPD : https://gdpr.euverify.com/verify/abeab166-65a9-40c5-9468-d19e5a95b27e
7. Durées de conservation
7.1 Site public
Données de contact/prospection : maximum 3 ans à compter du dernier contact actif.
Pièces contractuelles et échanges précontractuels : selon obligations légales applicables.
Pièces comptables et de facturation : conservées conformément aux obligations légales applicables (à titre indicatif, 10 ans ).
7.2 Application
Les durées de conservation sont définies par le médecin expert responsable de traitement.
Leximed applique les instructions contractuelles de rétention/suppression dans le cadre du DPA.
8. Droits des personnes concernées
Conformément au RGPD, les personnes concernées disposent notamment des droits suivants :
accès ;
rectification ;
effacement ;
limitation ;
opposition ;
portabilité (lorsqu'applicable).
Pour les données du site public, les demandes peuvent être adressées à rgpd@leximed.fr.
Pour les données traitées dans l'application, Leximed assiste le médecin expert (responsable de traitement) pour répondre aux demandes.
Une réclamation peut également être adressée à l'autorité de contrôle compétente (notamment la CNIL pour les personnes en France).
9. Sécurité des données
Leximed met en œuvre des mesures techniques et organisationnelles appropriées, notamment :
hébergement sur infrastructure européenne avec composantes HDS selon périmètre contractuel ;
contrôle d'accès logique et gestion des secrets ;
chiffrement des données en transit (TLS) et au repos selon les capacités fournisseurs ;
journalisation technique et procédures de gestion d'incident.
10. Violation de données
En cas de violation de données personnelles relevant du périmètre sous-traité, Leximed :
notifie le responsable de traitement sans délai indu et, dans la mesure du possible, dans les 24 heures suivant la prise de connaissance ;
fournit les informations nécessaires à l'analyse d'impact et aux notifications réglementaires ;
documente les actions de correction et de prévention.
Si toutes les informations ne sont pas disponibles immédiatement, Leximed envoie une notification initiale puis des compléments successifs sans délai indu, avec un premier complément cible dans les 72 heures lorsque cela est raisonnablement possible.
11. Cookies et traceurs
Le site public peut utiliser des cookies/traceurs strictement nécessaires au fonctionnement technique.
Si des traceurs non essentiels sont activés ultérieurement, une information dédiée et, le cas échéant, un mécanisme de consentement seront mis en place.
12. Mises à jour de la politique
La présente politique peut être mise à jour pour tenir compte d'évolutions juridiques, techniques ou opérationnelles.
La date de dernière mise à jour est indiquée en tête du document.