Sécurité · Conformité

Sécurité et conformité de Scielle

Scielle est un outil de génération de comptes-rendus destiné aux orthophonistes et aux logopèdes. Les données de santé que vous y saisissez sont hébergées en France sur une infrastructure certifiée HDS, et leur traitement par intelligence artificielle reste dans le périmètre certifié de notre hébergeur. Cette page décrit notre architecture et liste les preuves vérifiables que nous mettons à disposition.

1. Hébergement des données

Vos données sont hébergées intégralement chez Amazon Web Services (AWS), en région Europe (Paris, eu-west-3). AWS est certifié Hébergeur de Données de Santé (HDS) par l'Agence du Numérique en Santé (ANS), conformément au décret n°2018-137 du 26 février 2018.

Notre application bénéficie des certifications de l'infrastructure AWS :

  • HDS (Hébergeur de Données de Santé, délivrée par l'ANS)
  • ISO/IEC 27001 (sécurité de l'information)
  • ISO/IEC 27017 (sécurité du cloud)
  • ISO/IEC 27018 (protection des données personnelles dans le cloud)
  • ISO/IEC 27701 (gestion de la vie privée)
  • SOC 1, SOC 2 et SOC 3

Vérifications publiques :

2. Traitement par intelligence artificielle

La génération des comptes-rendus s'appuie sur Amazon Bedrock, le service d'intelligence artificielle managé d'AWS, opéré en région Europe (Paris) dans le périmètre certifié HDS de notre hébergeur. Amazon Bedrock figure dans le périmètre ISO/IEC 27001 d'AWS, et donc dans le périmètre HDS.

Engagements contractuels d'AWS Bedrock :

  • Vos données ne sont jamais utilisées pour entraîner les modèles.
  • Vos données ne sont jamais partagées avec les fournisseurs de modèles.
  • Le traitement reste exclusivement dans la région que nous avons choisie (Paris).

Avant l'envoi à l'IA, Scielle masque automatiquement les identifiants directs les plus sensibles : le numéro de sécurité sociale et les noms des médecins (prescripteur, référent) sont remplacés par des marqueurs. Le prénom (enfant) ou le nom (adulte) du patient reste utilisé pour que le compte-rendu se lise naturellement ; ce contenu est traité exclusivement dans l'infrastructure HDS d'AWS, en Europe.

Vérification publique :

3. Sous-traitants

Nous travaillons avec les sous-traitants suivants, tous liés par des contrats conformes à l'article 28 du RGPD. Aucune donnée de santé n'est transmise à Stripe ni à Google.

Sous-traitant Rôle Localisation
Amazon Web Services Hébergement et traitement IA (Bedrock) Région Europe (Paris) — HDS
Stripe Paiement des abonnements (aucune donnée de santé) Union européenne
Google Authentification OAuth uniquement (aucune donnée de santé) Union européenne

4. Sécurité technique

  • Chiffrement des données en transit (TLS) et au repos (AES-256).
  • Authentification sécurisée des comptes (mot de passe ou OAuth Google).
  • Accès aux serveurs restreint, tracé et audité.
  • Sauvegardes automatiques de la base de données via AWS RDS.
  • Pare-feu applicatif AWS WAF et surveillance continue.
  • Aucun cookie de tracking publicitaire, aucun Google Analytics, aucun pixel Facebook.

5. RGPD et responsabilités

Au sens du RGPD, Scielle agit comme sous-traitant (article 28) pour les données patients que vous saisissez. Chaque praticien·ne reste responsable de traitement de ses propres données patients, sans mutualisation ni partage entre utilisateurs.

Cette répartition des rôles est formalisée dans nos conditions générales d'utilisation et détaillée dans notre politique de confidentialité, qui précise également les durées de conservation, les bases légales et l'exercice de vos droits (accès, rectification, effacement, portabilité, limitation, opposition).

Autorité de contrôle compétente : CNIL — Commission nationale de l'informatique et des libertés.

6. Documents disponibles sur demande

Les documents suivants sont communiqués sur demande motivée à contact@scielle.com :

  • Accord de traitement des données (DPA) signé avec AWS.
  • Certificat HDS d'AWS délivré par l'ANS.
  • Attestation des certifications ISO 27001 / SOC d'AWS (via AWS Artifact).

7. Contact

Pour aller plus loin : Sécurité et traitement de vos données de santé (article détaillé).

Dernière mise à jour : 28 mai 2026.