AIPD — Coffre juridique Giri Soins

Traitement : Plateforme Giri Soins — mise en relation Praticiens / Clients (politique « no-health-data »)

⓪ Politique « no-health-data » (version 2026-05-10)

La Plateforme Giri Soins ne collecte, ne traite, ni n'héberge aucune donnée médicale au sens du Code de la santé publique (art. L.1111-7, L.1111-8). Aucun champ ne permet la saisie de motif de consultation, symptôme, antécédent, contre-indication ou traitement.

Mesures techniques contraignantes en place :

colonne appointments.notes supprimée du schéma DB ;
champ contact_messages.message limité à 500 caractères (CHECK constraint PostgreSQL) avec avertissement explicite UI ;
purge automatique du contenu des messages de contact après 7 jours (cron quotidien, vérifiable via coffre juridique) ;
contenu des messages relayé immédiatement par e-mail au Praticien (le contenu utile sort de l'infrastructure de la Plateforme dès réception).

Conséquence : le traitement n'est pas soumis à l'obligation HDS (Hébergement de Données de Santé) prévue à l'article L.1111-8 du Code de la santé publique.

1. Description du traitement

Plateforme de mise en relation entre Praticiens en accompagnement bien-être (sophrologie, magnétisme, énergétique, hypnose non-médicale, naturopathie, soins traditionnels) et leurs Clients. Les Praticiens référencés n'exercent pas la médecine au sens de l'article L.4161-1 du Code de la santé publique.

Maha Giri intervient en qualité de sous-traitant RGPD (art. 28) du Praticien pour les métadonnées de mise en relation, et en qualité de responsable de traitement pour les données du compte Praticien.

Système d'archivage automatique quotidien des preuves légales : horodatage des acceptations CGV, journal des publications/dépublications, archive paiements (rétention 10 ans). Snapshot HTML+JSON généré chaque nuit à 04h00, gravé en immutable (chattr +i), ancré simultanément sur la blockchain Bitcoin (OpenTimestamps) et auprès de FreeTSA (RFC 3161, Allemagne), hash SHA-256 publié sur manifest public.

2. Données collectées via la Plateforme

Donnée	Source	Base légale	Durée
Email, nom, slug Praticien	Inscription Praticien	Contrat (art. 6.1.b)	Vie du compte + 5 ans
Métadonnées de RDV (nom, email, téléphone, créneau, service)	Réservation Client	Contrat / consentement	Vie du compte Praticien
Message de contact (≤ 500 caractères, sans donnée santé)	Formulaire de contact	Consentement	7 jours puis purge automatique du contenu
IP/UA acceptation CGV	Formulaire signature	Obligation légale (art. 6.1.c) — Code civil 1366-1367	5 ans, puis pseudonymisation
Hash SHA-256 du texte CGV signé	Calcul automatique	Preuve d'intégrité	Indéfinie (anonyme)
Données de paiement (montant, dates, ID Stripe)	Stripe Connect	Obligation comptable (Code commerce L123-22)	10 ans
Données médicales (motifs, symptômes, antécédents)	NON COLLECTÉES	—	—

3. Finalités

Prouver l'acceptation des CGV en cas de litige (Code consommation L221-1)
Tracer les versions successives des CGV signées + base de calcul des hashes pour preuve d'intégrité
Assurer la traçabilité des publications/dépublications (LCEN art. 6)
Conserver l'archive comptable 10 ans (Code commerce L123-22)

4. Mesures de sécurité techniques

Confidentialité Accès par token aléatoire 64 chars, comparaison timing-safe (crypto.timingSafeEqual)
Intégrité Snapshot quotidien chattr +i (immutable filesystem) + hash SHA-256 + ancrage Bitcoin OpenTimestamps
Intégrité DB Triggers PostgreSQL BEFORE UPDATE bloquent toute altération des colonnes-preuves
Cohérence Builder utilise transaction REPEATABLE READ (snapshot SQL atomique)
Disponibilité Sauvegarde quotidienne R2 (Cloudflare), watchdog PM2
Anti-bruteforce Rate-limit 10 req/s par IP, headers HSTS/CSP/Frame-Options
Auditabilité publique Manifest public des hash + fichiers .ots téléchargeables sans token

5. Droits des personnes (RGPD art. 12-22)

Droit	Mise en œuvre
Accès (art. 15)	Export JSON sur demande à [email protected] sous 30 jours
Rectification (art. 16)	Compte praticien : modification directe en self-service
Effacement (art. 17)	Suppression compte + pseudonymisation des preuves résiduelles (l'obligation légale de conservation primant pour la rétention probatoire)
Portabilité (art. 20)	Export JSON intégral disponible
Opposition (art. 21)	Désinscription possible, preuves CGV conservées comme prescription légale

6. Évaluation des risques résiduels

Risque	Probabilité	Gravité	Mesure
Fuite du token vault	Faible	Élevée	Token chmod 600 + rotation possible + rate-limit
Altération malveillante d'un snapshot	Très faible	Critique	chattr +i + ancrage Bitcoin (preuve tiers)
Perte hardware LAMA	Faible	Élevée	Backup R2 + manifest public (réplique des hash)
Compromission root serveur	Très faible	Critique	Triggers DB IMMUTABLE_PROOF empêchent modification, OTS ancrage Bitcoin externe

7. Vérification publique indépendante

Toute personne peut vérifier l'intégrité des preuves Giri Soins :

Télécharger le manifest : /soins/legal-vault/manifest
Pour une date, télécharger la preuve OpenTimestamps : /soins/legal-vault/ots/YYYY-MM-DD
Vérifier l'ancrage Bitcoin : ots verify YYYY-MM-DD.html.ots
L'absence de modification est garantie par la blockchain Bitcoin — un hash modifié donnerait un ancrage différent ou inexistant

Document publié au titre de la transparence (RGPD art. 12, 13, 35). Pour toute réclamation : CNIL — formulaire en ligne.

Analyse d'Impact relative à la Protection des Données (AIPD)