Home

Sécurité et conformité

Version 1.2 · en vigueur depuis le 2026-05-13 · dernière mise à jour 2026-05-17

Remarque : ceci est une version française de notre aperçu de sécurité, fournie pour l'accessibilité. La page italienne est la référence la plus à jour.

neonatae. est un canal de communication structuré entre les parents et le pédiatre. Nous traitons les données de santé de mineurs, et pour cette raison la sécurité n'est pas une couche optionnelle : c'est le fondement de l'architecture. Cette page décrit exactement comment nous protégeons les données, quelles normes nous respectons, et quand arriveront les certifications indépendantes.

Qui peut voir les données de votre enfant

En langage simple, avant le détail technique :

  • Votre pédiatre ne voit que les enfants de son propre cabinet. Il ne peut pas voir les patients d'autres pédiatres. Cette limite est imposée par la base de données, pas seulement par l'application.
  • Vous, le parent, ne voyez que vos propres enfants et vos propres conversations. Vous ne pouvez pas voir d'autres familles.
  • Neo, l'assistant IA, traite les messages pour composer l'anamnèse mais ne reçoit jamais de nom de famille, code fiscal, adresse e-mail ni l'identité du parent (voir la section dédiée ci-dessous).
  • neonatae. en tant qu'entreprise : pour faire fonctionner et maintenir le service, le personnel technique dispose d'un accès administrateur à l'infrastructure. Nous sommes une entreprise en phase d'amorçage et aujourd'hui cet accès est restreint à une seule personne, le fondateur. Nous ne le cachons pas : contrairement à une grande entreprise, nous ne pouvons pas dire « 99 % du personnel ne peut pas accéder aux données ». Ce que nous garantissons est différent et vérifiable : chaque accès aux données cliniques laisse une ligne dans un journal d'audit append-only, et la nomination d'un DPO externe indépendant est prévue (T2-T3 2026). Notre défense n'est pas « nous sommes nombreux », c'est « tout est tracé ».
  • Personne d'autre. Aucun annonceur, aucun courtier de données, aucun tiers commercial. La liste complète des prestataires techniques qui traitent des données pour notre compte est publique sur /legal/subprocessors.

Chiffrement et résidence des données

  • En transit : TLS 1.3 obligatoire sur toutes les communications (HSTS preload activé). Score SSL Labs visé : A+.
  • Au repos : AES-256 sur l'ensemble de la base de données Postgres et sur le stockage des pièces jointes cliniques. Clés gérées par AWS KMS.
  • Sauvegardes : instantanés quotidiens chiffrés en AES-256 avec Point-in-Time Recovery sur 7 jours. Premier test de reprise après sinistre prévu T4 2026.
  • Résidence : toutes les données au repos sont hébergées exclusivement au sein de l'Union européenne, région AWS Francfort (eu-central-1). Le seul traitement transitoire en dehors de notre propre stockage est l'inférence LLM de Neo (voir la section Intelligence artificielle) : prestataire UE, Zero Data Retention, Clauses Contractuelles Types de l'UE comme garantie.
  • Notifications push : les charges utiles des notifications sont chiffrées selon le standard Web Push (RFC 8291) avec des clés VAPID que nous générons nous-mêmes. Apple/Google/Mozilla agissent comme des relais opaques et ne voient pas le contenu de la notification.

Contrôle des accès

  • Row-Level Security (RLS) au niveau de la base de données : chaque table applique des politiques Postgres qui restreignent la visibilité ligne par ligne. Un pédiatre ne peut pas lire les données de patients qui ne sont pas dans son panel. Un parent ne peut pas lire les enfants d'autres familles. Appliqué au niveau Postgres, pas seulement au niveau applicatif.
  • Principe du moindre privilège : chaque identité ne dispose que des permissions strictement nécessaires. La clé service-role est utilisée exclusivement dans des fonctions serveur contrôlées.
  • Authentification : hachage des mots de passe en bcrypt (coût ≥ 10). MFA active pour le Fondateur ; MFA obligatoire pour les pédiatres prévue pour le T3 2026.
  • Rotation des clés : la clé service-role et la clé API Resend sont renouvelées chaque année ; sous 24 heures en cas d'incident.

Journal d'audit médico-légal

Chaque message envoyé, chaque lecture, chaque suppression est enregistré dans une table audit_log append-only : aucune politique SQL n'autorise UPDATE ou DELETE sur cette table, pas même avec des privilèges de service.

Le pédiatre consulte son propre historique depuis /pilot/pediatra/audit-log. Conservation : 10 ans (art. 2946 du code civil italien et pratique médico-légale). Intégrité tamper-evident par chaîne de hachage prévue pour le T4 2026.

Droits des personnes concernées

Le RGPD garantit des droits que neonatae. honore dans un délai de 30 jours à compter de la demande :

  • accès aux données (art. 15) ;
  • rectification (art. 16) - modifiable directement depuis /pilot/me ;
  • effacement, « droit à l'oubli » (art. 17) - bouton direct dans le profil ;
  • limitation du traitement (art. 18) ;
  • portabilité (art. 20) - export structuré sur demande ;
  • opposition (art. 21) ;
  • réclamation auprès du Garante per la protezione dei dati personali (l'autorité italienne de protection des données).

Contact : privacy@neonatae.it.

Différence avec les messageries grand public

Une conversation clinique sur WhatsApp peut sembler pratique, mais il lui manque les garde-fous essentiels pour un usage médical :

Caractéristiqueneonatae.WhatsApp
Résidence des données UE garantieOui - FrancfortRésidence UE non garantie par Meta
Journal d'audit médico-légal inspectableOui, 10 ans append-onlyNon
Droit à l'effacement (art. 17 RGPD) appliquéOui, cascade en baseSur votre appareil, pas sur les sauvegardes Meta
Séparation clinique/personnelPar conceptionTout dans le même compte
RLS vérifiable au niveau base de donnéesOui, schéma ouvertBoîte noire
Chiffrement de bout en bout du contenuNon (traitement côté serveur) ; E2E sélectif prévu pour 2027Oui (protocole Signal)

WhatsApp est excellent pour les messages entre amis. Pour un usage clinique, les prérequis manquent.

Alignement sur les normes reconnues

neonatae. maintient un Système de management de la sécurité de l'information (ISMS) aligné sur ISO/IEC 27001:2022 et un Système de management des informations relatives à la vie privée (PIMS) aligné sur ISO/IEC 27701:2019. Le statut actuel est auto-attesté, pas encore certifié ; la certification formelle est programmée pour le T1-T2 2027.

Les documents ISMS/PIMS sont disponibles sous NDA pour les partenaires d'entreprise qui en font la demande par écrit à privacy@neonatae.it :

  • Information Security Policy (ISP)
  • Data Processing Register (Art. 30 GDPR)
  • Data Protection Impact Assessment (Art. 35 GDPR)
  • Data Retention Policy
  • Incident Response Plan
  • Access Control Policy
  • Cryptography Policy
  • ISO 27001/27701 Self-Assessment Matrix

Intelligence artificielle (Neo)

Neo est l'assistant d'anamnèse et de support opérationnel intégré à neonatae. Il remplit sept fonctions distinctes, toujours sous le contrôle du pédiatre :

  1. Classification d'intention sur chaque message du parent (clôture de la conversation, suivi urgent, nouvelle demande). Si le parent écrit « ok merci », Neo reconnaît la clôture et ne rouvre PAS l'anamnèse ; la notification au pédiatre est suspendue pour éviter les interruptions inutiles.
  2. Routage par cluster clinique : 11 protocoles (fièvre, vomissements, diarrhée, symptômes respiratoires, éruption cutanée, pleurs inconsolables, traumatisme, douleur abdominale, alimentation, sommeil/comportement, autre). Chaque cluster comporte des questions, des signaux d'alerte stratifiés par âge et un jeu de données minimal dérivé de recommandations pédiatriques (SICuPP, NICE, Schmitt-Thompson).
  3. Anamnèse structurée : Neo pose au parent les questions du protocole (3-5, configurables par le pédiatre), puis compose un seul message structuré (cluster, faits recueillis, signaux d'alerte, urgence, complétude) prêt pour le pédiatre. Jamais de diagnostic, jamais d'interprétation.
  4. Bulle d'estimation de réponse (ETA) : juste après l'anamnèse, Neo informe le parent du moment où la réponse du pédiatre arrivera (sur la base des heures de disponibilité + le temps de réponse médian historique). En dehors des heures : il renvoie au prochain créneau disponible et affiche le numéro d'urgence configuré par le pédiatre.
  5. Suggestions de réponse pour le pédiatre : le pédiatre peut demander 3 variantes courtes au-dessus du champ de saisie. Il clique, modifie, envoie. Le message final est toujours celui du pédiatre. L'écart (edit ratio) entre la suggestion et le texte envoyé est suivi pour la boucle d'amélioration.
  6. Mémoire clinique de l'enfant : Neo lit l'anamnèse (allergies, pathologies chroniques, traitements en cours, notes libres du pédiatre) + les 5 dernières conversations de cluster pour reconnaître des schémas récurrents (par ex. troisième fièvre en deux mois) et les citer dans le passage de relais. Jamais utilisée pour générer des diagnostics automatiques.
  7. Apprentissage adaptatif par pédiatre : 17 réglages isolés pour chaque pédiatre (ton, seuils d'urgence, terminologie, politique de demande de photo, opt-out par cluster, nombre max de tours). Une boucle de feedback à 7 motifs (erreur clinique, signal d'alerte manqué, urgence erronée, trop long, trop court, mauvaises questions, mauvais ton) : chaque feedback modifie le comportement de Neo UNIQUEMENT pour ce pédiatre au tour suivant, jamais au niveau global.

Garde-fous non négociables :

  • Neo ne pose pas de diagnostic, ne prescrit pas de médicaments, ne rassure pas sur des symptômes graves.
  • Les signaux d'alerte pédiatriques (fièvre >38°C avant 3 mois, dyspnée, léthargie, convulsions, sang, vomissements persistants, fontanelle bombée, éruption + fièvre, traumatisme crânien, déshydratation sévère) → urgence emergency et push immédiat, sans questions supplémentaires.
  • Le pédiatre dispose d'un interrupteur général (Neo on/off) et peut le désactiver par cluster (par ex. uniquement pour « sommeil »).
  • Les notifications push au pédiatre sont filtrées par Neo : elles n'arrivent que lorsque Neo détermine que le pédiatre doit intervenir (passage de relais terminé, suivi urgent, anamnèse sautée). Aucun push sur les questions intermédiaires ou les confirmations de clôture - moins d'interruptions que WhatsApp.
  • Chaque appel au LLM (prompt complet + réponse + tokens + latence) est enregistré dans une table d'audit append-only ai_interactions avec une conservation de 10 ans.
  • En cas d'erreur du LLM, le message original du parent est remis au pédiatre sans modification et sans délai.
  • Aucun nom de famille, code fiscal, e-mail ni identité du parent n'est envoyé au modèle : le parent est toujours identifié comme « maman de {nom} » et les identifiants uniques sont des pseudonymes locaux (mitigation DPIA R-18).

Fournisseur : Mistral AI SAS, société française (UE). Neo utilise deux modèles selon la tâche : mistral-large-latest pour les étapes critiques en qualité (handoff structuré, réponses suggérées) et mistral-small-latest pour la classification rapide. Mistral fonctionne sur le plan Scale avec Zero Data Retention activé : il n'entraîne pas ses modèles sur nos données et ne conserve ni les prompts ni les réponses au-delà de la requête unique. Le traitement est EU-first ; le DPA de Mistral intègre les Clauses Contractuelles Types de l'UE (2021/914) comme garantie pour tout traitement effectué en dehors de l'Espace économique européen. Feuille de route T4 2026 : fine-tuning sur un jeu de données propriétaire de feedback (cible 500 exemples). T1 2027 : auto-hébergement sur une infrastructure UE propriétaire (Hetzner EU), zéro sous-traitant LLM.

Modification bilatérale des données d'identité

Les données identifiantes de l'enfant (nom affiché, date de naissance, sexe) ne peuvent être modifiées qu'avec le double consentement parent + pédiatre. Une partie propose, l'autre accepte, refuse ou retire. La modification appliquée se limite aux champs d'identité whitelistés par un déclencheur PostgresSECURITY DEFINER : les champs cliniques (allergies, pathologies, traitements) restent sous l'autorité exclusive du pédiatre.

Chaque demande, décision ou retrait est enregistré dans le journal d'audit avec un motif textuel et des acteurs pseudonymisés. Le flux élimine la possibilité qu'une partie modifie unilatéralement l'identité de l'enfant sans laisser de trace (mitigation DPIA R-21).

Sous-traitants ultérieurs

La liste complète des prestataires qui traitent des données pour le compte de neonatae. est publiée à l'adresse /legal/subprocessors. Tout nouveau sous-traitant ultérieur est notifié avec un préavis de 30 jours aux Pédiatres (Responsables de traitement autonomes des données cliniques de leurs patients).

Gestion des incidents et notifications

En cas de violation de données à caractère personnel :

  • confinement et triage dans l'heure suivant la découverte (Sev-1) ;
  • notification au Garante dans les 72 heures (art. 33 RGPD) ;
  • notification aux personnes concernées sans délai en cas de risque élevé (art. 34 RGPD) ;
  • notification aux Pédiatres (Responsables cliniques) dans les 24 heures (DPA) ;
  • post-mortem écrit dans les 10 jours ouvrés.

Transparence de l'IA et contenus générés

Conformément à l'art. 50 du règlement (UE) 2024/1689 (le règlement IA) et aux lignes directrices de l'autorité italienne de protection des données sur la divulgation des contenus synthétiques, neonatae. déclare ouvertement quand elle utilise l'intelligence artificielle :

  • Images de produit et illustrations marketing : certaines images de ce site (par ex. visualisations conceptuelles d'un pédiatre devant l'écran, maquettes de produit dans des contextes pas encore en ligne) ont été générées par des modèles d'intelligence artificielle à des fins illustratives. L'interface fonctionnelle du produit est accessible à tout moment au chemin /pilot - ce que vous y voyez est le produit réel, pas une maquette.
  • Photos de l'équipe et du fondateur : les photos des personnes réelles de l'équipe sont des photographies authentiques, pas générées par IA.
  • La communication clinique de la Plateforme : Neo s'identifie toujours dans le chat avec des étiquettes explicites et une typographie distincte des bulles humaines : « Neo · collecte de données » pour les questions, « Composé par Neo à partir des réponses de la maman » pour le passage de relais structuré, « Neo · réponse estimée » pour la bulle ETA, « Neo · modification des données d'identité » pour les demandes de modification. Les suggestions de réponse au pédiatre sont étiquetées comme telles et ne deviennent des messages humains qu'après confirmation. Le consentement au traitement des données du mineur inclut explicitement ces traitements (voir /fr/privacy § 9).
  • Journal d'audit : chaque interaction avec un modèle d'IA (prompt complet + réponse) est enregistrée dans la table append-onlyai_interactions pour la responsabilité médico-légale, conservation de 10 ans.
  • Aucune IA dans des contextes de décision clinique autonomes : Neo ne pose pas de diagnostic, ne prescrit pas, ne rassure pas sur des symptômes graves. La décision clinique reste toujours celle du pédiatre humain.

Feuille de route certifications et durcissement

QuandQuoi
T2-T3 2026Nomination d'un DPO externe spécialisé en santé. MFA obligatoire pour les pédiatres. Suite de tests RLS automatisée.
T3-T4 2026Pen-test externe indépendant. Exercice de reprise après sinistre. Chaîne de hachage du journal d'audit. Sentry + Plausible intégrés avec nettoyage des données personnelles.
T1-T2 2027Audit ISO/IEC 27001 Stage 1 + Stage 2. Extension ISO/IEC 27701.
T2-T3 2027Chiffrement de bout en bout sélectif pour les pièces jointes cliniques (comptes rendus, ordonnances).
Lorsque applicableMarquage CE MDR Classe IIa si/quand nous ajouterons un support à la décision par IA (le chat humain structuré V1 n'est pas un SaMD).

Contacts

Cette page est le résumé public de la posture de sécurité de neonatae. Pour la documentation complète, écrire à privacy@neonatae.it. Les documents internes de l'ISMS sont versionnés dans git dans le dépôt du produit (docs/policy/).