Kodō Lab collecte le strict minimum de données nécessaires à la fourniture de ses services. Les données de consultation traitées par INAMI Optimizer ne sont jamais stockées : chaque analyse est traitée en mémoire puis supprimée. Toutes les données sont hébergées dans l'Union européenne ou encadrées par des Clauses Contractuelles Types pour les sous-traitants hors UE.
1. Qui est responsable du traitement ?
- Responsable
du traitement - Kodō Lab
[Forme juridique et BCE à compléter]
[Adresse à compléter] - Contact DPO
- kodo.websites@gmail.com
(aucun DPO désigné à ce jour — les demandes sont traitées directement par la direction) - Autorité
de contrôle - Autorité de protection des données (APD) belge
www.autoriteprotectiondonnees.be
2. Deux types de données, deux rôles
Il est important de distinguer deux situations dans lesquelles des données sont traitées via Kodō Lab :
| Type de données | Rôle de Kodō Lab |
|---|---|
| Données du praticien (compte, facturation, utilisation de la plateforme) | Responsable du traitement |
| Données de patients traitées à travers nos outils (ex. descriptions de consultation saisies dans INAMI Optimizer) | Sous-traitant du praticien, qui reste responsable du traitement |
Cette distinction est essentielle : en tant que praticien utilisant nos outils, vous restez le responsable du traitement des données de vos patients. Kodō Lab agit pour votre compte et selon vos instructions, conformément à l'article 28 du RGPD. Un accord de sous-traitance (DPA) est disponible sur demande.
3. Données collectées directement par Kodō Lab
3.1 Lors de la visite du site
| Données | Finalité | Base légale | Conservation |
|---|---|---|---|
| Adresse IP, user-agent, pages consultées (anonymisé) | Mesure d'audience, détection d'abus | Intérêt légitime | 14 mois |
| Cookies de mesure (Google Analytics) | Statistiques de visite | Consentement | 14 mois |
3.2 Lors de la prise de contact ou demande de démo
| Données | Finalité | Base légale | Conservation |
|---|---|---|---|
| Nom, prénom, email, spécialité, message | Répondre à votre demande, vous recontacter | Mesures précontractuelles | 3 ans après dernier contact |
3.3 Lors de la souscription à un plan
| Données | Finalité | Base légale | Conservation |
|---|---|---|---|
| Identité, coordonnées du cabinet, n° BCE, informations de paiement (via prestataire), logs de connexion | Exécution du contrat, facturation, support | Exécution du contrat, obligation légale comptable | Pendant le contrat + 7 ans (obligation comptable belge) |
4. Données traitées via nos outils (INAMI Optimizer)
Les descriptions de consultation que vous saisissez dans INAMI Optimizer sont transmises en temps réel à notre moteur d'analyse, puis immédiatement supprimées. Elles ne sont ni stockées, ni archivées, ni utilisées pour entraîner un modèle d'intelligence artificielle.
Plus précisément, lors d'une analyse dans INAMI Optimizer :
- Vous saisissez une description de consultation en langage naturel.
- Cette description est transmise de manière chiffrée (TLS 1.3) à notre moteur d'analyse.
- Notre moteur s'appuie sur l'API d'Anthropic (Claude) pour identifier les codes INAMI/RIZIV pertinents.
- La réponse vous est renvoyée.
- La description et la réponse sont supprimées des systèmes de Kodō Lab. Anthropic conserve les requêtes pendant maximum 30 jours pour des raisons de sécurité (abus, trust & safety), puis les supprime. Anthropic n'utilise pas les données de nos clients API pour entraîner ses modèles.
Nous vous recommandons néanmoins de ne pas inclure de données directement identifiantes (nom complet, NISS, date de naissance) dans vos descriptions de consultation. La fonctionnalité ne nécessite pas ces informations pour fonctionner.
5. Sous-traitants et transferts de données
Pour fournir nos services, nous faisons appel à des sous-traitants soigneusement sélectionnés :
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| Netlify, Inc. | Hébergement du site et des outils | États-Unis (CDN mondial) | Clauses Contractuelles Types (CCT) de la Commission européenne |
| Anthropic, PBC | Moteur d'IA pour INAMI Optimizer | États-Unis | CCT, API Zero Data Retention disponible sur demande, données non utilisées pour l'entraînement |
| Google LLC (Google Analytics) | Mesure d'audience anonymisée | États-Unis / UE | CCT, Consent Mode, IP anonymisée |
| [Prestataire de paiement à préciser — Stripe, Mollie, etc.] | Traitement des paiements | UE / États-Unis | PCI-DSS, CCT |
Conformément à l'arrêt Schrems II de la CJUE (C-311/18), les transferts vers les États-Unis sont encadrés par les Clauses Contractuelles Types de la Commission européenne et, le cas échéant, par des mesures supplémentaires (chiffrement, minimisation).
6. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès — obtenir confirmation du traitement et une copie de vos données.
- Droit de rectification — corriger des données inexactes ou incomplètes.
- Droit à l'effacement (« droit à l'oubli ») — demander la suppression de vos données, sous réserve des obligations légales (ex. conservation comptable).
- Droit à la limitation — demander le gel temporaire du traitement.
- Droit à la portabilité — recevoir vos données dans un format structuré et lisible par machine.
- Droit d'opposition — vous opposer à un traitement fondé sur l'intérêt légitime.
- Droit de retirer votre consentement à tout moment, sans affecter la licéité des traitements antérieurs.
- Droit d'introduire une réclamation auprès de l'APD belge.
Pour exercer l'un de ces droits, contactez-nous à kodo.websites@gmail.com. Nous répondons dans un délai maximum d'un mois. Nous pourrons vous demander une preuve d'identité en cas de doute raisonnable.
7. Sécurité
Kodō Lab met en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données :
- Chiffrement des communications en TLS 1.3
- Authentification par mot de passe haché (SHA-256 côté serveur, bcrypt en développement)
- Headers de sécurité stricts (Content-Security-Policy, X-Frame-Options, X-Content-Type-Options)
- Accès aux données limité aux seules personnes habilitées
- Journalisation des accès aux comptes clients
- Principe de minimisation — seules les données strictement nécessaires sont collectées
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à vous notifier dans les meilleurs délais, conformément à l'article 34 du RGPD, et à informer l'APD dans les 72 heures.
8. Cookies
Notre site utilise les cookies suivants :
| Cookie | Finalité | Type | Durée |
|---|---|---|---|
_ga, _ga_* |
Google Analytics — mesure d'audience | Tiers, soumis à consentement | 14 mois |
kodo_session |
Session Mon Espace (authentification) | Premier niveau, essentiel | 24 h |
kodo_consent |
Mémorisation de votre consentement cookies | Premier niveau, essentiel | 6 mois |
Vous pouvez à tout moment modifier vos préférences en [À COMPLÉTER — lien vers bandeau ou gestionnaire de cookies à implémenter] ou en paramétrant votre navigateur pour refuser les cookies.
9. Données de santé — précisions importantes
Les données de santé sont des données sensibles au sens de l'article 9 du RGPD. Leur traitement est en principe interdit, sauf exceptions (consentement explicite, soins de santé, etc.).
Kodō Lab ne traite aucune donnée de santé directement identifiante. Les descriptions de consultation saisies dans INAMI Optimizer ne sont pas destinées à contenir d'éléments directement identifiants (nom, NISS, date de naissance). Elles sont traitées en mémoire volatile et supprimées immédiatement après analyse.
En tant que praticien, vous êtes responsable de vous assurer que les informations saisies respectent les principes de minimisation et de confidentialité vis-à-vis de vos patients. Kodō Lab s'engage à vous fournir un accord de sous-traitance (DPA) conforme à l'article 28 du RGPD sur simple demande.
10. Modifications
Cette politique peut être mise à jour pour refléter des évolutions légales ou fonctionnelles. Toute modification substantielle vous sera notifiée par email au moins 30 jours avant son entrée en vigueur. La version en vigueur est toujours consultable à cette URL.
11. Contact
Pour toute question concernant cette politique ou pour exercer vos droits :
📧 kodo.websites@gmail.com
🏛️ Autorité de contrôle : Autorité de protection des données (APD)