Aperçu de la sécurité
Dernière mise à jour : 12 juillet 2026
Psychiatrie.Ink est conçu pour la documentation psychiatrique et considère donc la confidentialité, la minimisation et le contrôle des accès comme des exigences fondamentales du produit.
Cette page fournit un aperçu public. Des mesures techniques et organisationnelles détaillées peuvent être communiquées aux clients dans le cadre de l’accord de traitement des données ou d’un processus de revue de sécurité.
1. Principes de sécurité
Psychiatrie.Ink est conçu autour des principes suivants :
- minimiser les identifiants directs des patients ;
- conserver localement, dans la mesure du possible, la correspondance avec l’identité des patients ;
- utiliser le chiffrement en transit et au repos ;
- restreindre l’accès par rôle et par organisation ;
- journaliser les événements de sécurité et d’audit pertinents ;
- séparer les données des clients, le cas échéant ;
- éviter d’envoyer des identifiants inutiles aux fournisseurs d’IA ;
- laisser aux cliniciens la responsabilité de la relecture et de l’approbation finales des résultats.
2. Chiffrement côté client (zero-knowledge)
Dans les modes de synchronisation de compte, les données sensibles sont chiffrées de bout en bout dans le navigateur avant d’atteindre nos serveurs, au moyen de clés qui ne quittent jamais l’appareil du clinicien :
- À la première utilisation, l’application génère une paire de clés RSA-OAEP-2048 dans le navigateur. La clé privée est stockée uniquement dans le stockage local de l’appareil (IndexedDB) et ne nous est jamais transmise ; nos serveurs reçoivent au plus la clé publique.
- Les identifiants des patients (nom, date de naissance) sont chiffrés avec AES-GCM-256, et la clé de contenu est enveloppée avec la clé publique de l’appareil.
- Les dossiers de cas (notes cliniques, plans de médication, résultats d’examens) sont stockés et synchronisés uniquement sous forme chiffrée. L’âge peut figurer dans le contenu chiffré ; le nom et la date de naissance ne font pas partie d’un dossier de cas synchronisé.
Où réside la correspondance entre patient et dossier
Chaque dossier est référencé par un identifiant aléatoire (un UUID). Le lien entre cet identifiant et le patient réel — le nom et la date de naissance — n’existe que sous forme chiffrée : sur l’appareil, dans le coffre-fort chiffré ; et, si le clinicien active la sauvegarde chiffrée du compte, sur le serveur, uniquement au sein d’un bloc chiffré par une phrase secrète.
Exemple. Nos serveurs peuvent stocker « le dossier a1b2c3… possède un instantané chiffré de 12 Ko, mis à jour pour la dernière fois le 3 juillet ». Ils ne stockent pas — et ne peuvent pas stocker — le fait que a1b2c3… correspond à « Jane Doe, née en 1980 ». Résoudre l’identifiant vers un patient nécessite la clé privée présente sur l’appareil du clinicien (ou, pour la copie de sauvegarde, la phrase secrète de récupération du clinicien).
Documents numérisés et PDF
Les PDF et documents numérisés téléversés sont stockés chiffrés sur l’appareil du clinicien (dans le navigateur) et ne sont pas transférés vers nos serveurs. Ils ne font jamais l’objet d’une reconnaissance optique de caractères (OCR) ni d’aucune autre lecture automatisée : un document numérisé peut contenir des identifiants dans l’image elle-même (en-têtes, tampons) qui ne peuvent pas être supprimés de manière fiable. Le clinicien peut ouvrir et consulter le fichier et saisit manuellement les éventuelles données structurées. Seuls les formats texte (DOCX, TXT, CSV, XLSX, JSON) sont analysés.
Ce qu’une compromission du serveur révélerait — et ne révélerait pas
Le serveur ne détenant que des contenus chiffrés et des métadonnées non identifiantes, une compromission de notre infrastructure révélerait qu’un compte existe, approximativement combien de dossiers il contient (sous forme d’identifiants aléatoires), ainsi que leurs tailles et horodatages ; elle ne révélerait ni les noms ou dates de naissance des patients, ni la correspondance entre identifiants et patients, ni le contenu clinique d’un dossier de cas, ni aucun document numérisé (celui-ci n’étant pas du tout stocké sur le serveur).
La frontière de confiance est donc l’appareil du clinicien et sa phrase secrète de récupération, et non nos serveurs. La perte de la clé de l’appareil ou de la phrase secrète de récupération peut rendre les données chiffrées irrécupérables (voir la section 7), et le client demeure responsable de la sécurité de ses terminaux.
3. Chiffrement
Nous utilisons HTTPS/TLS pour les données en transit. Les fournisseurs d’infrastructure peuvent assurer le chiffrement au repos des données stockées. Certains composants locaux du produit peuvent utiliser un chiffrement côté client pour les correspondances sensibles ou le stockage local.
Les contrôles de chiffrement dépendent de la configuration du produit sélectionnée, du navigateur, de l’appareil et de l’environnement d’infrastructure.
4. Contrôle des accès
Psychiatrie.Ink utilise des contrôles d’accès fondés sur les comptes. Les fonctionnalités d’organisation peuvent inclure des rôles tels que propriétaire, administrateur, clinicien, assistant, lecteur, consultant externe ou d’autres types de rôles, selon la formule et la configuration.
Les utilisateurs sont responsables de la protection de leurs identifiants, de l’utilisation de mots de passe robustes, de l’activation des protections d’authentification disponibles et de la suppression rapide des utilisateurs qui ne doivent plus avoir accès.
5. Journalisation d’audit
Le service peut enregistrer des journaux d’audit et de sécurité tels que les événements de connexion, les actions sur les documents, les événements de génération par IA, la consommation de crédits, les événements d’accès, les événements d’erreur et les actions administratives. La disponibilité des journaux d’audit dépend de la formule et de la configuration.
6. Minimisation des données pour l’IA
Les fonctionnalités d’IA sont conçues pour faciliter la rédaction et la documentation. Les utilisateurs doivent éviter les identifiants directs inutiles dans les invites et les textes sources. Lorsqu’ils sont disponibles, la dé-identification, les garde-fous de confidentialité ou les modes exclusivement locaux doivent être utilisés avant d’envoyer des textes cliniques à des fournisseurs d’IA externes.
Les résultats de l’IA doivent toujours être relus par un professionnel qualifié avant toute utilisation clinique, juridique ou administrative.
7. Sauvegardes et restauration
L’infrastructure de production peut comprendre des sauvegardes, des instantanés et des processus de restauration. Les durées de conservation des sauvegardes et les procédures de restauration dépendent de la configuration de déploiement finale et de la formule du client.
Les données du coffre-fort local chiffré peuvent ne pas être récupérables par Psychiatry Ink Ltd si l’utilisateur perd la clé locale, le profil de navigateur ou le stockage de l’appareil.
8. Réponse aux incidents
Si nous prenons connaissance d’un incident de sécurité ou d’une violation de données à caractère personnel affectant les données des clients, nous mènerons une enquête et notifierons les clients concernés lorsque la loi et le contrat l’exigent.
Contact sécurité et protection des données :
9. Divulgation responsable
Si vous pensez avoir découvert une vulnérabilité, contactez-nous avant de la divulguer publiquement. Veuillez inclure suffisamment d’informations pour permettre de reproduire le problème. N’accédez pas à des données qui ne vous appartiennent pas et ne les modifiez, téléchargez ou divulguez pas.
Signalez les vulnérabilités à :
10. Limites actuelles
Aucun système logiciel n’est totalement sécurisé. Psychiatrie.Ink ne doit pas être utilisé pour des données de patients en production tant que le déploiement concerné, le DPA, la liste des sous-traitants ultérieurs, les garanties de transfert de données, les paramètres de conservation, les contrôles d’accès et la configuration de confidentialité n’ont pas été approuvés pour la juridiction et l’organisation visées.