OraData
Join us
Retour accueil

Partie C

Politique de confidentialité

Version : v1.0 — Avril 2026Entrée en vigueur : 1er mai 2026

Cette politique explique comment OraData LLC collecte, utilise, partage et protège les données personnelles des Utilisateurs. Elle est conforme au Règlement Général sur la Protection des Données (RGPD / UE), au California Consumer Privacy Act (CCPA/ USA), et à toute loi applicable de protection des données dans le pays de résidence de l'Utilisateur.

Article 1 — Responsable du traitement

OraData LLC, Bloomington, Minnesota, USA. Contact Data Protection Officer : dpo@oradata.ai.

Article 2 — Données collectées

  • Identification — nom, prénom, email, pays, pièce d'identité (hashée), selfie de vérification.
  • Compte — tier, historique de tâches, reliability score, Cohen's Kappa, solde wallet.
  • Paiement — IBAN, numéros Wave/Chipper/PayPal (chiffrés), identifiants Stripe Connect.
  • Techniques — adresse IP, user agent, logs de connexion, cookies analytiques (consentement préalable).
  • Contenus uploadés — images, vidéos, audios, textes, annotations, géolocalisation quand pertinent.
  • Communications — tickets support, messages chat, emails.

Article 3 — Finalités et bases légales

  • Exécution du contrat — gestion du compte, attribution des tâches, paiements.
  • Obligation légale — KYC, facturation, conservation comptable, conformité HIPAA.
  • Intérêt légitime — détection de fraude, scoring qualité, sécurité de la Plateforme.
  • Consentement — cookies analytiques, emails marketing facultatifs.

Article 4 — Destinataires et transferts

Les données personnelles ne sont jamais vendues. Elles sont partagées uniquement avec :

  • Sous-traitants techniques — Supabase (hébergement), AWS (stockage S3), Cloudflare (CDN), Resend (email), Stripe/Wave/Chipper/Wise (paiements). Tous soumis à des Data Processing Agreements.
  • Clients acheteurs de datasets — uniquement les Contenus anonymisés/cédés (jamais l'identité du Freelance producteur, sauf consentement explicite).
  • Autorités légales — sur réquisition judiciaire motivée uniquement.

Les données sont hébergées principalement aux États-Unis (Supabase US + AWS us-east-1). Les transferts hors UE sont encadrés par les Clauses Contractuelles Types (CCT) de la Commission européenne et, le cas échéant, par le Data Privacy Framework USA-UE.

Article 5 — Droits des Utilisateurs

Conformément au RGPD, au CCPA et aux lois équivalentes, chaque Utilisateur dispose des droits suivants :

  • Accès et portabilité — obtenir copie de ses données dans un format lisible via /app/settings/export.
  • Rectification — corriger ses données dans /app/settings/profile.
  • Effacement (droit à l'oubli) — supprimer son compte via /app/settings/delete-account. Les Contenus cédés restent propriété d'OraData mais l'identité du contributeur est anonymisée.
  • Opposition et limitation du traitement.
  • Retrait du consentement à tout moment pour les traitements basés sur consentement.
  • Réclamation auprès de l'autorité de contrôle compétente (CNIL en France, ICO au UK, Datatilsynet, etc.).

Toute demande est traitée sous 30 jours par email à dpo@oradata.ai.

Article 6 — Sécurité

  • Chiffrement au repos — AES-256 sur tous les buckets S3 et disques Supabase.
  • Chiffrement en transit — TLS 1.3 obligatoire sur tous les endpoints.
  • Authentification — MFA optionnelle pour tous, obligatoire pour les comptes admin et les radiologues DICOM.
  • Row Level Security (RLS) Postgres sur toutes les tables sensibles.
  • Audit log permanent de tous les accès aux données PHI (imagerie médicale).
  • Tests de pénétration annuels par prestataire externe.
  • Plan de réponse à incident : notification sous 72h en cas de violation de données, conformément au RGPD.

Article 7 — Cookies

La Plateforme utilise (a) des cookies strictement nécessaires(session, authentification, CSRF) — pas de consentement requis ; (b) des cookies analytiques anonymes(durée, parcours) — consentement opt-in via bandeau ; (c) aucun cookie publicitaire tiers.

Article 8 — Avenant HIPAA (imagerie médicale)

Pour les données d'imagerie médicale (Protected Health Information / PHI) traitées dans le cadre de campagnes sous HIPAA :

  • OraData agit en qualité de Business Associate au sens du 45 CFR § 164.502.
  • Un BAA (Business Associate Agreement) est signé avec chaque client producteur de PHI et avec chaque Freelance radiologue.
  • Seuls les Freelances tier Or+ ayant signé leur BAA ont accès aux tâches DICOM.
  • Toute violation présumée de PHI est notifiée au client producteur sous 24h et aux personnes concernées conformément au Breach Notification Rule.
  • Registre d'accès PHI conservé 6 ans minimum.

Article 9 — Données des mineurs

La Plateforme est strictement réservée aux personnes majeures (18 ans). Aucune donnée de mineur n'est collectée sciemment. En cas d'apparition d'un mineur identifiable dans un Contenu uploadé, le Freelance est tenu de flouter le visage ou d'obtenir consentement parental documenté ; à défaut, le Contenu est rejeté et non rémunéré.

Article 10 — Modification de la présente Politique

Toute modification substantielle est notifiée aux Utilisateurs par email 30 jours avant prise d'effet, avec mise en évidence des changements. L'accès continu à la Plateforme vaut acceptation des modifications.

Ce document est en cours de relecture par conseil juridique (avocat Minnesota + spécialiste RGPD). La version signée sera publiée ici avant le lancement officiel.