Version 2.0 en vigueur au 16 juin 2026
URGENCE MÉDICALE MEDVIR n’est pas un service d’urgence et n’est pas surveillé en continu. En cas d’urgence, de symptôme aigu, d’aggravation rapide ou de doute sérieux, l’Utilisateur doit contacter immédiatement les services d’urgence — en France, le 15 ou le 112, et le 114 pour les personnes sourdes ou malentendantes — ou un professionnel de santé compétent, sans attendre une réponse, un résultat ou une alerte de la Solution. MEDVIR est un outil d’assistance au pré-diagnostic médical uniquement. |
LE SERVICE MEDVIR NE PEUT ÊTRE UTILISÉ QU’APRÈS ACCEPTATION DES PRÉSENTES CONDITIONS GÉNÉRALES D’UTILISATION. L’ACCEPTATION DES CGU CONSTITUE UNE CONDITION D’ACCÈS À LA SOLUTION ; ELLE NE VAUT NI CONSENTEMENT MÉDICAL, NI CONSENTEMENT GLOBAL À L’ENSEMBLE DES TRAITEMENTS DE DONNÉES PERSONNELLES.
Les présentes CGU constituent le cadre commun applicable à l’utilisation de MEDVIR, indépendamment du canal d’accès retenu — navigateur web, application, interface ou service associé — et du contexte de mise à disposition. Elles organisent la relation avec l’Utilisateur tout en distinguant, lorsque la loi l’exige, les obligations propres au Fabricant du dispositif médical et celles du Distributeur et Fournisseur Technique délégué.
Elles s’appliquent sans préjudice des instructions d’utilisation, de l’étiquetage, de la documentation réglementaire du dispositif médical, d’une convention institutionnelle, d’un contrat de mise à disposition, d’un protocole de programme ou d’une annexe de sous-traitance au titre de l’article 28 du RGPD. En cas de contradiction, les règles impératives, les exigences de sécurité du dispositif médical, puis les stipulations particulières applicables au contexte concerné prévalent.
OPÉRATEURS DE LA SOLUTION Fabricant : MEDICAL INTELLIGENCE SERVICE (MIS), SAS, 9 avenue d’Italie, 75013 Paris, RCS Paris 795 177 146 — SRN EUDAMED : FR-MF-000042105. Hébergeur du Site public : OVH SAS, société par actions simplifiée au capital de 50 000 000 euros, RCS Lille Métropole 424 761 419, 2 rue Kellermann, 59100 Roubaix, France. |
Sommaire
Préambule
1. Définitions
2. Identification des opérateurs et répartition des rôles
3. Objet, champ d’application et hiérarchie contractuelle
4. Acceptation, capacité et opposabilité des CGU
5. Description, destination et périmètre de la Solution
6. Intelligence artificielle, limites et supervision humaine
7. Urgences, absence de diagnostic autonome et continuité des soins
8. Accès, comptes, authentification et habilitations
9. Obligations des professionnels de santé et des structures utilisatrices
10. Utilisation par les patients, usagers et représentants légaux
11. Programmes de repérage des maladies rares et partenariats pharmaceutiques
12. Usages autorisés et usages interdits
13. Vigilance, incidents, mises à jour et actions correctives de sécurité
14. Qualité des données, contenus et résultats
15. Protection des données personnelles et des données de santé
16. Confidentialité, secret médical et secret professionnel
17. Propriété intellectuelle et droit d’utilisation
18. Interopérabilité, services tiers et liens externes
19. Disponibilité, maintenance, support et sécurité opérationnelle
20. Conditions financières
21. Garanties et responsabilités
22. Suspension, résiliation et fin d’accès
23. Force majeure
24. Convention de preuve
25. Modification des CGU
26. Durée, divisibilité et absence de renonciation
27. Contacts, réclamations, droit applicable et juridiction
Annexe 1 — Synthèse de la répartition des rôles
Annexe 2 — Synthèse des traitements de données
Annexe 3 — Conduite à tenir en cas d’incident ou d’urgence
Préambule
MEDVIR est un outil d’aide au pré-diagnostic médical utilisant l’intelligence artificielle. La Solution peut notamment contribuer à l’orientation, au tri, à la prévention, à l’information médicale, à la formulation d’hypothèses diagnostiques et au repérage de situations nécessitant une évaluation clinique complémentaire.
MEDVIR n’établit pas de diagnostic autonome. Les résultats et hypothèses sont indicatifs, non exhaustifs et doivent être interprétés par un professionnel de santé compétent dans le contexte clinique du patient.
MEDVIR ne remplace ni l’examen clinique ni les examens complémentaires. La Solution ne prescrit pas un traitement, ne décide pas d’une prise en charge et ne doit pas être utilisée comme unique fondement d’une décision médicale, mais uniquement comme un outil d’assistance au pré-diagnostic médical.
Les décisions de prise en charge restent humaines. Elles relèvent exclusivement des professionnels de santé compétents et, le cas échéant, de l’établissement de santé responsable de la prise en charge.
À la date des présentes, le Fabricant indique que MedVir est un dispositif médical logiciel bénéficiant d’un marquage CE en classe I au titre de la directive 93/42/CEE et relevant, sous réserve du respect des conditions réglementaires applicables, du régime transitoire vers le règlement (UE) 2017/745, avec une classification envisagée en classe IIa. Cette mention ne constitue pas l’affirmation qu’une certification MDR de classe IIa a déjà été obtenue. Le statut réglementaire exact, la version, la destination, les performances revendiquées et les conditions d’utilisation opposables sont exclusivement ceux figurant dans la déclaration de conformité, l’étiquetage, les instructions d’utilisation et la documentation réglementaire du Fabricant applicables à la version utilisée.
La société MEDVIR assure la distribution et la gestion de la mise à disposition. Elle intervient en qualité de Fournisseur Technique délégué pour l’accès, l’exploitation de la Plateforme, le support, les intégrations et les services associés, sans se substituer aux responsabilités réglementaires propres au Fabricant.
1. Définitions
| Terme | Définition |
|---|---|
| Administrateur | Utilisateur habilité à créer, attribuer, modifier ou supprimer des accès et profils au sein d’une Structure utilisatrice. |
| Algorithme / Intelligence artificielle | Composants logiciels, règles, modèles, arbres de décision et mécanismes de traitement utilisés par la Solution pour produire des Résultats à partir des informations fournies. |
| CGU | Les présentes conditions générales d’utilisation, dans leur version datée et acceptée par l’Utilisateur. |
| Compte | Compte individuel, nominatif et sécurisé permettant l’accès aux fonctionnalités autorisées. |
| Convention institutionnelle | Tout contrat ou convention conclu entre MEDVIR, MIS et/ou une Structure utilisatrice, un professionnel de santé, un partenaire ou un promoteur de programme. |
| Données | Toutes informations, réponses, documents, traces, commentaires, contenus, paramètres, résultats ou exports traités dans le cadre de la Solution. |
| Données de santé | Données personnelles relatives à la santé physique ou mentale d’une personne, y compris les symptômes, antécédents, traitements, examens, évaluations, résultats et informations relatives à la prise en charge. |
| Données personnelles | Toute information se rapportant à une personne physique identifiée ou identifiable au sens du RGPD. |
| Dispositif médical / MedVir Prédiag | Le logiciel d’aide au pré-diagnostic fabriqué par MIS, incluant ses composants médicaux et algorithmiques, ses versions, contenus et instructions d’utilisation. |
| Distributeur / Fournisseur Technique délégué / MEDVIR SAS | La société MEDVIR, chargée de distribuer la Solution et d’en organiser la mise à disposition technique et opérationnelle. |
| Fabricant / MIS | La société MEDICAL INTELLIGENCE SERVICE, fabricant légal du dispositif médical et responsable des obligations réglementaires attachées à cette qualité. |
| HDS | Hébergement de données de santé à caractère personnel réalisé conformément à l’article L.1111-8 du Code de la santé publique et aux exigences de certification applicables. |
| Incident | Tout dysfonctionnement, altération des caractéristiques ou performances, erreur d’utilisation liée à l’ergonomie, inadéquation d’information ou événement ayant ou pouvant avoir une conséquence sur la sécurité, la santé ou la disponibilité du service. |
| Opérateurs MEDVIR | Désignation collective de MIS et MEDVIR SAS pour les obligations communes ou coordonnées. Cette désignation ne fusionne pas leurs personnalités juridiques et ne transfère pas les obligations réglementaires propres à chacun. |
| Patient | Personne dont les informations de santé sont traitées ou dont la situation est évaluée via la Solution, qu’elle utilise ou non elle-même un Compte. |
| Partenaire pharmaceutique / Promoteur | Entité finançant ou soutenant un programme de repérage, d’information, d’évaluation ou de recherche, sans être autorisée de ce seul fait à accéder aux Données identifiantes des Patients. |
| Plateforme | L’interface web, l’application, les API, modules, services d’hébergement, d’authentification, d’administration, de support et d’intégration permettant l’accès au Dispositif médical. |
| Professionnel de santé | Toute personne autorisée à exercer une profession de santé et utilisant la Solution dans le cadre de ses compétences, obligations déontologiques et habilitations. |
| Programme de repérage | Dispositif organisé de repérage de profils, notamment de maladies rares, mis en œuvre avec des professionnels ou structures partenaires, éventuellement avec le soutien d’un Promoteur. |
| Résultat | Toute hypothèse, synthèse, score, niveau d’orientation, alerte, recommandation d’action, contenu informatif ou rapport généré par la Solution. |
| RGPD | Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des données personnelles. |
| Solution MEDVIR / MEDVIR | Ensemble formé par le Dispositif médical, la Plateforme et les services associés effectivement mis à disposition de l’Utilisateur. |
| Structure utilisatrice | Établissement de santé, structure de soins, groupement, cabinet, réseau, association, organisme médico-social, laboratoire, partenaire ou autre entité ayant organisé l’accès à la Solution. |
| Utilisateur | Toute personne disposant d’un accès ou utilisant la Solution, notamment un professionnel de santé, un membre du personnel habilité, un administrateur, un patient, un représentant légal ou, lorsque cette fonctionnalité est ouverte, un usager du grand public. |
| DPO / DPD | Le délégué à la protection des données ou, à défaut, le référent protection des données désigné par le responsable de traitement concerné. |
| Site MEDVIR.FR | Le site internet public accessible à l’adresse medvir.fr, distinct de la Plateforme médicale authentifiée sauf indication contraire. |
| Traceur | Toute opération de lecture ou d’écriture d’informations dans le terminal d’un Utilisateur, notamment au moyen de cookies, pixels, identifiants ou technologies équivalentes. |
2. Identification des opérateurs et répartition des rôles
2.1 Fabricant du dispositif médical
MEDICAL INTELLIGENCE SERVICE (MIS), société par actions simplifiée, dont le siège social est situé 9 avenue d’Italie, 75013 Paris, immatriculée au Registre du commerce et des sociétés de Paris sous le numéro 795 177 146, est le Fabricant légal du dispositif médical MedVir / MedVir Prédiag.
Le numéro d’enregistrement unique du Fabricant dans EUDAMED (Actor ID / SRN) est : FR-MF-000042105. Toute communication relative au SRN, à la classe, au marquage CE, à l’organisme notifié ou à une certification doit reproduire une information vérifiée et à jour.
Dans le périmètre qui lui incombe au titre de cette qualité, MIS est notamment responsable de la définition de la destination médicale, de la conception et de l’évolution du cœur médical et algorithmique, de la conformité réglementaire, du marquage et de la documentation, de l’évaluation des performances, de la surveillance après commercialisation, de la matériovigilance, de l’analyse des incidents et des actions correctives de sécurité.
Les contenus relatifs au statut réglementaire, aux performances, aux études, aux validations scientifiques et à la démarche qualité sont soumis au circuit de validation qualité et affaires réglementaires du Fabricant. Les allégations commerciales, comparatives, exclusives ou superlatives ne peuvent être utilisées que si elles sont objectivement démontrées, précisément sourcées et cohérentes avec la destination et la documentation technique de la version concernée.
2.2 Distributeur et Fournisseur Technique délégué
MEDVIR, société par actions simplifiée, dont le siège social est situé 23-25 avenue Mac-Mahon, 75017 Paris, immatriculée au Registre du commerce et des sociétés de Paris sous le numéro 980 715 494, distribue la Solution et organise sa mise à disposition technique et opérationnelle.
MEDVIR assure notamment, selon le contexte contractuel, la gestion de la Plateforme, des Comptes et habilitations, l’assistance, le déploiement, les intégrations, la relation avec les Structures utilisatrices, l’organisation de l’hébergement et des sous-traitants techniques, la sécurité opérationnelle, ainsi que la transmission au Fabricant des informations nécessaires à la sécurité et à la vigilance.
2.3 Obligations coordonnées et absence de confusion des responsabilités
Lorsque les présentes CGU emploient l’expression « Opérateurs MEDVIR », MIS et MEDVIR s’engagent à coordonner leurs actions pour assurer l’information des Utilisateurs, la sécurité, le support, la gestion des incidents, la continuité du service et le respect des obligations de protection des données qui leur sont applicables.
Cette présentation commune n’a ni pour objet ni pour effet :
de transférer à MEDVIR les obligations réglementaires que les textes réservent au Fabricant ;
de transférer à MIS les obligations contractuelles ou opérationnelles propres au Distributeur et gestionnaire de la Plateforme ;
de créer entre les deux sociétés une solidarité au-delà de celle résultant expressément de la loi ou d’un contrat ;
de modifier les rôles de responsable de traitement, responsable conjoint ou sous-traitant, qui sont déterminés traitement par traitement selon les finalités et moyens effectivement décidés.
3. Objet, champ d’application et hiérarchie contractuelle
Les CGU définissent les conditions d’accès et d’utilisation de la Solution, les règles de sécurité et de conduite applicables aux Utilisateurs, les limites médicales et techniques, les principes relatifs à la propriété intellectuelle, à la responsabilité, à la vigilance et à la protection des Données.
Elles s’appliquent à toutes les configurations de MEDVIR, sous réserve des fonctionnalités effectivement activées. Certaines fonctions peuvent être réservées à des professionnels de santé, à une Structure utilisatrice ou à un Programme de repérage déterminé.
En cas de contradiction, l’ordre de priorité suivant s’applique, sous réserve des dispositions impératives :
les lois, règlements, décisions d’autorités et règles professionnelles obligatoires ;
les instructions d’utilisation, l’étiquetage, les avis de sécurité et la documentation réglementaire du dispositif médical pour toute question de destination, de sécurité ou de performance ;
la Convention institutionnelle, l’annexe de sous-traitance RGPD, le protocole de Programme ou les conditions particulières applicables ;
les présentes CGU.
Les CGU ne remplacent pas les informations particulières qui doivent être remises au Patient au titre de sa prise en charge, de la protection des données, d’une recherche, d’un Programme de repérage ou d’un financement par un partenaire.
4. Acceptation, capacité et opposabilité des CGU
4.1 Modalités d’acceptation
L’Utilisateur accepte les CGU lors de la création ou de l’activation de son Compte, lors de sa première connexion, au moyen d’une case à cocher, d’un bouton d’acceptation, d’une signature électronique ou de tout dispositif équivalent permettant d’identifier la version présentée et la date de l’acceptation.
La poursuite de l’utilisation après une simple publication ne vaut acceptation d’une modification substantielle que dans les cas permis par la loi. Une nouvelle acceptation expresse est demandée lorsque la modification affecte de manière significative les droits, obligations, usages médicaux, traitements de Données ou règles de responsabilité.
4.2 Acceptation distincte du consentement médical et du consentement RGPD
L’acceptation des CGU permet l’accès au service. Elle ne constitue pas, à elle seule, un consentement à un acte de soins, à une recherche, à la transmission de Données à un partenaire pharmaceutique ni à l’ensemble des traitements de Données personnelles. Lorsque le consentement constitue la base juridique requise, notamment pour certains traceurs, certaines communications électroniques ou certains traitements de Données de santé en accès direct, il est recueilli séparément, de manière libre, spécifique, éclairée et univoque, au moyen d’une action positive non précochée, et peut être retiré aussi simplement qu’il a été donné. À l’inverse, une demande de contact ou de démonstration peut être traitée sur le fondement de mesures précontractuelles ou de l’intérêt légitime, sans qu’une case de “consentement au traitement” soit artificiellement imposée, sous réserve de fournir l’information requise au point de collecte.
4.3 Capacité, mineurs et représentants
L’Utilisateur doit disposer de la capacité et, lorsqu’il agit pour une organisation ou un tiers, des pouvoirs nécessaires. L’accès direct d’un mineur ou d’un majeur protégé est organisé selon la loi, les règles de la Structure utilisatrice et les droits de son représentant légal, sans préjudice des situations dans lesquelles la personne concernée peut légalement exercer elle-même ses droits ou bénéficier du secret.
Un Utilisateur ne peut saisir les Données d’une autre personne que s’il est légalement autorisé à agir pour elle ou intervient dans le cadre de sa mission professionnelle.
4.4 Refus des CGU
Le refus des CGU empêche ou limite l’accès aux fonctionnalités concernées. Lorsqu’un Patient est suivi par un professionnel ou une Structure utilisatrice, ce refus ne doit pas interrompre sa prise en charge ; des modalités alternatives doivent pouvoir être organisées par l’équipe de soins selon les possibilités du service.
5. Description, destination et périmètre de la Solution
MEDVIR est un système logiciel en mode SaaS d’aide au pré-diagnostic médical. Selon la configuration, il peut :
présenter un questionnaire structuré portant sur les symptômes, antécédents, traitements, facteurs de risque et autres éléments utiles ;
générer des hypothèses ou pistes diagnostiques, sans établir de diagnostic ;
estimer un niveau de gravité potentielle ou proposer une orientation vers une ressource de soins ;
fournir des informations de prévention, de compréhension ou de premiers gestes, dans les limites de la documentation applicable ;
aider un professionnel de santé à structurer son raisonnement ou à identifier des éléments à vérifier ;
contribuer au repérage de maladies rares ou de profils nécessitant une évaluation complémentaire ;
produire un rapport, une synthèse ou un export pouvant, lorsque cela est autorisé, être versé au dossier du Patient.
Les fonctionnalités, populations cibles, langues, territoires et performances peuvent varier selon la version et la configuration. L’Utilisateur doit se référer aux instructions d’utilisation et informations affichées dans la Solution. Les instructions d’utilisation correspondant à la version exploitée doivent être accessibles par un lien direct, un téléchargement ou tout autre moyen aisément identifiable depuis MEDVIR.FR et/ou l’interface de la Solution. L’Utilisateur est invité à les lire attentivement avant la première utilisation et après toute mise à jour substantielle. Toute utilisation en dehors de la destination prévue, de la population cible, des prérequis ou des contre-indications est interdite.
MEDVIR n’est pas conçu pour assurer une surveillance continue, déclencher automatiquement une intervention médicale, gérer un appel d’urgence, remplacer une régulation médicale, ni garantir la détection de toute pathologie ou situation grave.
6. Intelligence artificielle, limites et supervision humaine
6.1 Nature des Résultats
Les Résultats sont produits à partir des Données saisies, de règles et modèles conçus pour soutenir une analyse. Ils peuvent comporter des incertitudes, erreurs, omissions, biais, faux positifs ou faux négatifs. Une pathologie absente du Résultat n’est pas nécessairement exclue ; une hypothèse affichée n’est pas nécessairement confirmée.
La qualité du Résultat dépend notamment de l’exactitude, de l’exhaustivité et de l’actualité des informations fournies, des limites de la version utilisée et de l’état des connaissances médicales intégrées.
6.2 Supervision humaine obligatoire
Pour tout usage professionnel, le Résultat doit faire l’objet d’une appréciation humaine par un professionnel de santé compétent, qui le confronte à l’interrogatoire, à l’examen clinique, au dossier, aux examens complémentaires, aux recommandations de bonne pratique et aux circonstances propres au Patient.
Aucune décision concernant un traitement, une orientation, une hospitalisation, un refus de soins, une limitation de prise en charge, un arrêt de traitement, une aptitude, une assurance ou un droit ne doit être prise sur le seul fondement automatisé d’un Résultat MEDVIR.
6.3 Transparence et évolutions réglementaires
Les informations utiles sur la destination, les performances, les limites, les conditions d’utilisation et la supervision humaine sont fournies dans la documentation et l’interface applicables à la version. Les Opérateurs MEDVIR mettent en œuvre les exigences du règlement européen relatif à l’intelligence artificielle selon son calendrier, la qualification du système et les obligations effectivement applicables, sans que les présentes CGU ne préjugent à elles seules de cette qualification.
7. Urgences, absence de diagnostic autonome et continuité des soins
NE PAS UTILISER MEDVIR POUR ATTENDRE EN CAS D’URGENCE Un Résultat rassurant, incomplet ou absent ne doit jamais retarder un appel aux secours, une consultation ou un examen médical. La Solution ne garantit ni délai de réponse ni détection d’une urgence. MEDVIR est un outil d’aide au pré-diagnostic uniquement. |
MEDVIR ne remplace pas une consultation, un examen clinique, une décision médicale, un service d’urgence ou un dispositif de télésurveillance médicale. Les conseils éventuellement affichés sont généraux et doivent être adaptés par un professionnel.
En cas d’indisponibilité, de panne ou d’impossibilité d’accès, l’Utilisateur doit utiliser les procédures habituelles de soins et de continuité d’activité de sa Structure. L’absence d’accès à MEDVIR ne doit jamais empêcher ou différer la prise en charge nécessaire.
8. Accès, comptes, authentification et habilitations
8.1 Compte individuel
Sauf mécanisme institutionnel expressément autorisé, chaque Compte est nominatif, personnel, non cessible et non partageable. L’Utilisateur est responsable de la confidentialité de ses identifiants, mots de passe, liens d’activation et moyens d’authentification.
L’usage d’identifiants génériques, la transmission d’un code à un tiers, le maintien d’une session ouverte sans surveillance ou l’accès au Compte d’autrui sont interdits.
8.2 Habilitations
Les droits sont attribués selon le profil, la mission et le besoin d’en connaître. La Structure utilisatrice et ses Administrateurs sont responsables de la demande, de la revue et du retrait des habilitations de leurs personnels. MEDVIR met en œuvre techniquement les habilitations qui lui sont communiquées ou configurées par les Administrateurs autorisés.
Les fonctionnalités, documents ou contenus réservés aux professionnels de santé sont placés derrière un accès contrôlé et, lorsque cela est nécessaire, une vérification du statut professionnel. Le simple fait de cocher une qualité déclarative dans un formulaire public ne suffit pas à ouvrir un accès à des fonctions professionnelles ou à des Données de santé.
Tout départ, changement de fonction, erreur de profil ou accès injustifié doit être signalé sans délai. MEDVIR peut suspendre préventivement un Compte lorsque la sécurité, la loi, une instruction légitime ou la protection des Données l’exige.
8.3 Incident d’authentification
Toute perte d’identifiants, suspicion de compromission, connexion inconnue ou divulgation doit être signalée immédiatement à contact@medvir.fr et, le cas échéant, au référent sécurité ou DPO de la Structure utilisatrice. L’Utilisateur doit modifier ses accès et suivre les instructions de remédiation communiquées.
8.4 Prérequis techniques
L’Utilisateur doit disposer d’un équipement, d’un navigateur, d’une connexion et de dispositifs de sécurité compatibles et à jour. Il lui appartient de protéger son terminal, d’utiliser un réseau approprié et de respecter les politiques de sécurité de sa Structure.
9. Obligations des professionnels de santé et des structures utilisatrices
Le professionnel de santé demeure responsable de son exercice, de ses décisions cliniques, de l’information du Patient, de la qualité des Données qu’il utilise et du respect de ses obligations légales, déontologiques et professionnelles.
Il s’engage notamment à :
vérifier qu’il utilise la bonne version et les fonctionnalités adaptées à la population et au contexte ;
vérifier l’identité du Patient et la pertinence des informations saisies ;
ne saisir que les Données nécessaires, exactes, pertinentes et actualisées ;
interpréter le Résultat dans son contexte et effectuer les vérifications cliniques requises ;
ne pas présenter au Patient un Résultat comme un diagnostic certain ou une prescription ;
documenter dans le dossier du Patient les éléments utiles à la prise en charge selon les règles applicables ;
informer le Patient de l’usage de la Solution et des traitements de Données lorsqu’il lui incombe de le faire ;
respecter le secret médical, la confidentialité, les habilitations et les règles de sa Structure ;
utiliser les circuits réglementaires de pharmacovigilance, matériovigilance ou autres vigilances lorsqu’ils sont applicables ;
signaler tout Résultat manifestement incohérent, incident ou risque de sécurité.
La Structure utilisatrice demeure responsable de l’organisation des soins, de la gouvernance clinique, des procédures de continuité, de la formation de ses Utilisateurs, de la gestion des habilitations et, lorsqu’elle détermine les finalités et moyens essentiels des traitements, de ses obligations de responsable de traitement.
10. Utilisation par les patients, usagers et représentants légaux
Lorsqu’un accès direct est proposé à un Patient ou à un usager, celui-ci reconnaît que MEDVIR fournit une aide informative et d’orientation, et non une consultation médicale. Il ne doit pas :
s’autodiagnostiquer, commencer, interrompre ou modifier un traitement sur le seul fondement d’un Résultat ;
retarder une consultation, un examen ou un appel aux urgences en attendant la Solution ;
utiliser MEDVIR pour une autre personne sans autorisation légale ou mandat approprié ;
ignorer une aggravation au motif qu’un Résultat antérieur paraissait rassurant ;
considérer la liste des hypothèses comme exhaustive.
Le Patient doit fournir des informations aussi exactes et complètes que possible, signaler tout changement important et demander l’avis d’un professionnel de santé. En cas de difficulté d’accès, il doit utiliser les canaux habituels de contact avec son équipe de soins.
L’accès d’un représentant légal est limité aux droits que la loi lui reconnaît. Les Opérateurs MEDVIR peuvent demander les justificatifs nécessaires et protéger les informations auxquelles le représentant n’a pas légalement accès.
11. Programmes de repérage des maladies rares et partenariats pharmaceutiques
11.1 Finalité du repérage
MEDVIR peut être utilisé pour repérer des profils cliniques susceptibles de justifier une investigation, un avis spécialisé ou une orientation dans le domaine des maladies rares. Ce repérage ne confirme ni n’exclut une maladie et ne remplace pas les examens diagnostiques ou l’avis d’un centre expert.
11.2 Indépendance clinique et absence de promotion
Le financement ou le soutien d’un Programme par un laboratoire pharmaceutique ou un autre Promoteur n’autorise pas ce dernier à influencer une décision individuelle de soins. La Solution ne doit pas être utilisée pour recommander automatiquement un médicament, favoriser une prescription, sélectionner un traitement commercial ou contourner les règles applicables à la promotion des produits de santé.
Le professionnel de santé conserve son indépendance et reste seul responsable des investigations, orientations et décisions thérapeutiques.
11.3 Accès aux Données par les partenaires
Par défaut, un Partenaire pharmaceutique ou Promoteur n’accède pas aux Données directement ou indirectement identifiantes des Patients. Il peut recevoir des statistiques réellement anonymisées ou agrégées, sous réserve qu’aucune réidentification ne soit raisonnablement possible et que les règles applicables soient respectées.
Tout accès à des Données personnelles, toute mise en relation avec un Patient ou tout transfert à un partenaire nécessite un cadre juridique distinct, une finalité déterminée, une information spécifique, une base légale valable, des habilitations appropriées et, lorsque requis, le consentement de la personne concernée. L’acceptation des présentes CGU ne suffit pas.
11.4 Recherche, évaluation et amélioration
Toute recherche, étude, évaluation scientifique, constitution d’un entrepôt de données ou réutilisation de Données issues d’un Programme est organisée séparément conformément aux exigences applicables, notamment en matière de protocole, gouvernance, information, base juridique, sécurité, formalités CNIL et, le cas échéant, avis éthique ou autorisation.
11.5 Pharmacovigilance
MEDVIR ne se substitue pas aux dispositifs officiels de pharmacovigilance. Lorsqu’un effet indésirable ou une situation de vigilance est porté à la connaissance d’un professionnel de santé, celui-ci doit utiliser les canaux réglementaires appropriés. Les Opérateurs MEDVIR peuvent transmettre au titulaire ou aux autorités les informations qu’ils sont légalement tenus de transmettre, dans le respect de la minimisation et de la confidentialité.
12. Usages autorisés et usages interdits
12.1 Droit d’utilisation
Sous réserve du respect des CGU et des droits attribués, l’Utilisateur bénéficie d’un droit personnel, limité, non exclusif, non cessible et révocable d’accéder à la Solution pour les finalités autorisées. Les professionnels peuvent utiliser les Résultats pour la prise en charge, la coordination et la tenue du dossier du Patient, dans le respect du secret et des règles applicables.
12.2 Usages interdits
Il est notamment interdit de :
utiliser la Solution pour exercer illégalement la médecine ou au-delà de ses compétences ;
utiliser MEDVIR comme unique outil de diagnostic, d’urgence, de tri automatique ou de décision ayant un effet significatif sur une personne ;
utiliser la Solution à des fins discriminatoires, d’assurance, d’emploi, de contrôle, de sanction ou de refus d’accès aux soins ;
contourner les mesures de sécurité, d’authentification, de limitation ou d’habilitation ;
accéder ou tenter d’accéder à des Données sans besoin d’en connaître ;
introduire un virus, code malveillant, robot, script, charge excessive ou mécanisme perturbant le service ;
extraire systématiquement, aspirer, copier, constituer une base parallèle, entraîner un modèle concurrent ou réutiliser les contenus et Résultats à des fins commerciales sans accord écrit ;
décompiler, désassembler, procéder à une ingénierie inverse ou tenter de reconstituer l’Algorithme, sauf droit impératif ;
altérer un rapport, masquer son origine ou présenter un Résultat comme émanant d’un professionnel l’ayant validé lorsqu’il ne l’a pas fait ;
publier, vendre ou transmettre des Données personnelles, des contenus confidentiels ou des Résultats individualisés sans autorisation ;
utiliser les canaux de support pour une urgence médicale, une consultation ou l’envoi non sécurisé de Données excessives.
13. Vigilance, incidents, mises à jour et actions correctives de sécurité
13.1 Signalement d’un incident
Tout Utilisateur doit signaler sans délai un Incident ou risque d’Incident pouvant affecter la sécurité, la performance ou la santé à contact@medvir.fr. Le signalement doit, dans la mesure du possible, préciser la version, la date, le contexte, le Résultat concerné, les conséquences observées et les éléments techniques utiles, sans transmettre par email non sécurisé plus de Données personnelles qu’il n’est nécessaire.
Les incidents graves liés à un dispositif médical doivent également être déclarés par les personnes tenues de le faire via le portail officiel de signalement des événements sanitaires indésirables ou selon les procédures de l’ANSM. Le signalement aux Opérateurs MEDVIR ne remplace pas une déclaration réglementaire obligatoire.
13.2 Coopération à l’investigation
L’Utilisateur et la Structure utilisatrice coopèrent raisonnablement à l’analyse, préservent les traces utiles, décrivent les conditions d’utilisation et évitent toute manipulation susceptible de compromettre l’investigation. MIS détermine, dans son périmètre de Fabricant, la qualification réglementaire de l’événement et les mesures de vigilance à mettre en œuvre.
13.3 Mises à jour et actions correctives
Les Opérateurs MEDVIR peuvent déployer des mises à jour correctives, évolutives ou de sécurité, modifier temporairement une fonctionnalité, imposer une nouvelle version, suspendre l’usage ou diffuser un avis de sécurité. Les Utilisateurs doivent appliquer les instructions communiquées et cesser l’utilisation lorsqu’une mesure de sécurité l’exige.
Une mise à jour susceptible de modifier la destination, les performances ou les limites d’utilisation est accompagnée des informations réglementaires et de formation nécessaires.
14. Qualité des données, contenus et résultats
Chaque Utilisateur est responsable de la qualité des informations qu’il saisit ou transmet. Une information inexacte, incomplète, ambiguë, obsolète ou saisie pour la mauvaise personne peut produire un Résultat inadapté.
Les contenus médicaux sont conçus pour compléter, et non remplacer, les sources scientifiques, recommandations et connaissances du professionnel. Malgré les procédures de mise à jour, ils peuvent ne pas refléter immédiatement toute évolution des connaissances, recommandations, alertes sanitaires, disponibilités locales ou règles nationales.
Les champs libres et documents déposés ne font pas l’objet d’un contrôle éditorial systématique. Les Opérateurs MEDVIR peuvent bloquer, retirer ou signaler un contenu manifestement illicite, dangereux, malveillant, contraire aux CGU ou portant atteinte aux droits de tiers, en coordination avec la Structure utilisatrice lorsque cela est approprié.
Lorsqu’un rapport est versé au dossier du Patient, il convient d’identifier sa source, sa date, sa version et, le cas échéant, la validation du professionnel de santé.
15. Protection des données personnelles et des données de santé
15.1 Cadre général
Les traitements réalisés via MEDVIR sont soumis au RGPD, à la loi n° 78-17 du 6 janvier 1978 modifiée, aux dispositions du Code de la santé publique relatives au secret et à l’hébergement des Données de santé, ainsi qu’aux règles applicables au dispositif médical, aux vigilances et, selon le contexte, à la recherche en santé.
L’acceptation des CGU ne vaut pas consentement général aux traitements. Les rôles, finalités, bases juridiques et durées sont déterminés en fonction du contexte de déploiement et précisés, lorsque nécessaire, dans une notice d’information, une Convention institutionnelle ou une annexe de sous-traitance.
Lorsqu’une collecte intervient sur MEDVIR.FR, dans un formulaire, lors d’une inscription ou dans la Plateforme, une information de premier niveau est affichée au point de collecte et renvoie vers la présente section ou vers une notice dédiée. Cette information précise au minimum l’identité du responsable de traitement, les finalités, la base juridique, le caractère obligatoire ou facultatif des champs, les principaux destinataires, la durée de conservation ou ses critères, les droits des personnes, le contact du DPO ou du référent protection des données et la possibilité de saisir la CNIL.
Les formulaires publics ne doivent pas solliciter de Données de santé sauf nécessité clairement identifiée et canal spécialement sécurisé. Les Utilisateurs sont invités à ne pas insérer d’informations médicales nominatives dans un formulaire général de contact ou de demande de démonstration.
15.2 Répartition des rôles de protection des données
| Contexte | Rôle principal |
|---|---|
| Prise en charge par un établissement ou un professionnel | La Structure ou le professionnel qui détermine la finalité de soins agit en principe comme responsable de traitement. MEDVIR agit comme sous-traitant technique ; MIS peut intervenir comme sous-traitant ultérieur autorisé pour les opérations nécessaires au fonctionnement, à la maintenance ou au support, sans préjudice de ses traitements réglementaires propres. |
| Utilisation directe d’un service par un usager | MEDVIR peut agir comme responsable de traitement pour la gestion du Compte et la fourniture directe du service. Le traitement des Données de santé repose sur la base juridique explicitée dans la notice présentée à l’Utilisateur. MIS peut agir comme sous-traitant pour le moteur médical et comme responsable distinct pour ses obligations de vigilance. |
| Vigilance et sécurité du dispositif médical | MIS agit comme responsable de traitement pour les traitements nécessaires à la surveillance après commercialisation, à l’analyse des incidents, aux déclarations réglementaires et aux actions correctives. MEDVIR lui transmet les informations nécessaires et agit selon le cas comme source, sous-traitant ou responsable distinct pour la sécurité de la Plateforme. |
| Programme de repérage de maladies rares | Le professionnel ou la Structure demeure responsable des traitements de soins. Les rôles du Promoteur, de MEDVIR et de MIS sont définis par le protocole et les accords applicables. Le Promoteur n’accède pas par défaut aux Données identifiantes. |
| Recherche, EDS ou réutilisation secondaire | Le responsable de la recherche, de l’entrepôt ou de la réutilisation est identifié séparément. Aucune réutilisation n’est fondée sur les seules CGU. |
| Gestion contractuelle, support et sécurité propres | Chaque société peut agir comme responsable distinct pour ses propres obligations administratives, comptables, de preuve, de sécurité interne, de contentieux et de gestion de ses contacts professionnels. |
Lorsque plusieurs acteurs déterminent conjointement les finalités et moyens essentiels d’un traitement, un accord de responsabilité conjointe est établi conformément à l’article 26 du RGPD. La qualification ne dépend pas de l’intitulé contractuel mais des décisions et opérations réellement exercées.
15.3 Finalités et bases juridiques
| Finalité | Base juridique — selon le contexte |
|---|---|
| Création et gestion des Comptes, accès, authentification, fourniture du service | Exécution d’un contrat ou mesures précontractuelles ; mission de soins ou mission d’intérêt public selon le contexte. |
| Questionnaires, analyse médicale, génération et consultation des Résultats | Prise en charge sanitaire et traitements nécessaires aux soins par un professionnel soumis au secret ; mission d’intérêt public ; ou consentement explicite lorsque celui-ci est requis pour un service direct. |
| Coordination, partage avec les intervenants autorisés, versement au dossier | Prise en charge sanitaire, obligations légales, mission d’intérêt public ou exécution des services demandés, selon le responsable de traitement. |
| Sécurité, journalisation, prévention des abus, preuve | Obligation légale, intérêt légitime à sécuriser le service et à défendre des droits, ou exécution du contrat. |
| Support, maintenance et gestion des incidents techniques | Exécution du contrat, intérêt légitime et obligations de sécurité. |
| Surveillance après commercialisation, matériovigilance, actions correctives | Obligations légales du Fabricant et motifs d’intérêt public dans le domaine de la santé publique. |
| Statistiques, pilotage et amélioration | Données anonymisées ; ou traitement encadré par une base juridique, une information et des garanties adaptées lorsqu’il porte sur des Données personnelles. |
| Recherche, études ou évaluation en santé | Base juridique spécifique au protocole : mission d’intérêt public, intérêt légitime encadré, consentement ou autre fondement prévu par les textes, avec les garanties de l’article 9 du RGPD et de la loi Informatique et Libertés. |
| Prospection et communications commerciales | Consentement lorsqu’il est requis, notamment pour la prospection électronique auprès de particuliers ; intérêt légitime possible pour des contacts professionnels dans les limites prévues par les textes, avec information et droit d’opposition. Aucune prospection n’est fondée sur les Données de santé. |
| Navigation sur MEDVIR.FR, sécurité du site et journaux techniques | Intérêt légitime à assurer le fonctionnement, la sécurité et la prévention des abus ; obligation légale lorsque le traitement répond à une exigence de sécurité ou de coopération. |
| Demandes de contact, de démonstration ou de rendez-vous | Mesures précontractuelles prises à la demande de la personne, exécution du contrat ou intérêt légitime à répondre aux sollicitations professionnelles. Le consentement n’est pas utilisé lorsque l’une de ces bases s’applique. |
| Newsletter et abonnement à des contenus | Consentement lorsque la réglementation l’exige ; preuve du consentement et gestion du retrait sur le fondement de l’obligation légale et de l’intérêt légitime à démontrer la conformité. |
| Cookies et traceurs | Exemption de consentement pour les traceurs strictement nécessaires ; consentement préalable pour les traceurs non nécessaires, avec retrait possible à tout moment. |
15.4 Catégories de Données
Selon la configuration et le rôle de l’Utilisateur, les catégories suivantes peuvent être traitées :
identité, coordonnées, date de naissance, sexe ou informations démographiques pertinentes ;
identifiants professionnels, spécialité, Structure de rattachement et habilitations ;
identifiants de Compte, données d’authentification, préférences et historique d’acceptation ;
symptômes, antécédents, traitements, allergies, facteurs de risque, examens, contexte clinique, réponses aux questionnaires et documents médicaux ;
Résultats, rapports, scores, hypothèses, orientations, commentaires et validation éventuelle du professionnel ;
données de connexion, journaux d’accès, opérations, terminal, adresse IP et informations de sécurité ;
demandes de support, échanges, pièces utiles à l’investigation d’un Incident ou à l’exercice de droits ;
données nécessaires à la vigilance, y compris les conséquences cliniques d’un Incident.
Les Utilisateurs doivent éviter de saisir des données non demandées ou sans rapport avec la finalité. Les numéros d’identification nationaux, informations financières, opinions ou autres données particulièrement sensibles ne doivent être traités que s’ils sont nécessaires, autorisés et prévus par la configuration.
15.5 Sources des Données
Les Données peuvent être fournies par l’Utilisateur, le Patient, son représentant, un professionnel, une Structure utilisatrice, une interface avec un système autorisé ou être générées par la Solution à partir de ces éléments. L’origine et la fiabilité doivent être appréciées par le professionnel lorsque cela est pertinent.
15.6 Destinataires et accès
Peuvent accéder aux Données, dans la limite de leurs missions et habilitations :
le Patient et, dans les limites légales, son représentant ;
les professionnels et personnels autorisés participant à la prise en charge ;
les Administrateurs, uniquement pour les opérations nécessaires et selon les restrictions applicables ;
les personnels habilités de MEDVIR et de MIS soumis à la confidentialité, pour le support, la sécurité, la maintenance, la vigilance ou les obligations réglementaires ;
les prestataires techniques et hébergeurs agissant sur instructions et encadrés contractuellement ;
les autorités, juridictions, organismes de vigilance ou personnes légalement habilitées ;
les partenaires ou Promoteurs uniquement pour les données et finalités expressément prévues, les données identifiantes étant exclues par défaut.
Les accès sont limités au besoin d’en connaître. Aucune qualité de financeur, de partenaire ou de laboratoire ne confère un droit général d’accès aux Données de santé.
15.7 Hébergement HDS, localisation et transferts
Lorsque les Données de santé sont recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi et sont hébergées pour le compte de leur producteur ou du Patient, leur hébergement est assuré par Free Pro, en qualité d’hébergeur certifié HDS, conformément à l’article L.1111-8 du Code de la santé publique.
Les contrats précisent les lieux de stockage et les mesures applicables aux risques de transfert ou d’accès depuis un État tiers. Tout transfert de Données personnelles hors de l’Espace économique européen doit reposer sur un mécanisme reconnu par le RGPD et être assorti de garanties appropriées et d’une information lorsque celle-ci est requise.
Les Données de santé identifiantes ne sont ni vendues ni cédées à titre onéreux. La fourniture d’un service, d’un hébergement ou d’une analyse pour le compte d’un responsable de traitement ne constitue pas une vente des Données.
15.8 Sécurité, confidentialité et traçabilité
Les Opérateurs MEDVIR mettent en œuvre des mesures techniques et organisationnelles proportionnées aux risques, incluant selon le contexte : contrôle d’accès, authentification, chiffrement des communications, protection des données stockées, séparation des environnements, sauvegardes, journalisation, supervision, gestion des vulnérabilités, tests, procédures d’incident et formation des personnels autorisés.
La Plateforme peut enregistrer les connexions, consultations, créations, modifications, suppressions, exports, changements d’habilitation et actions d’administration. Ces traces peuvent être utilisées pour la sécurité, l’audit, la preuve, la gestion d’un Incident, l’exercice de droits et le respect des obligations réglementaires.
15.9 Minimisation, anonymisation et amélioration de l’IA
Les Données pseudonymisées restent des Données personnelles tant qu’une réidentification demeure possible. Elles ne sont pas qualifiées d’anonymes du seul fait du remplacement d’un nom par un identifiant.
Les Données personnelles ou pseudonymisées provenant d’une Structure utilisatrice ne sont pas utilisées par MEDVIR ou MIS pour entraîner, réentraîner, valider ou améliorer un Algorithme à des fins propres, constituer un entrepôt, publier une étude ou valoriser un actif, sauf si cette utilisation est expressément prévue par un accord, repose sur une base juridique valable, fait l’objet de l’information requise et respecte les formalités et garanties applicables.
Des données réellement anonymisées, ne permettant plus raisonnablement d’identifier une personne, peuvent être utilisées à des fins statistiques, de sécurité, d’évaluation de performance ou d’amélioration, sous réserve du maintien de leur anonymat et des engagements contractuels applicables.
15.10 Durées de conservation
Les durées sont déterminées selon la finalité, les obligations légales, le contexte de prise en charge et les instructions du responsable de traitement :
les Données de prise en charge traitées pour une Structure sont conservées selon ses instructions, les règles applicables au dossier médical et la Convention institutionnelle ;
les données de Compte et de relation directe sont conservées pendant la durée d’utilisation, puis archivées pour la durée nécessaire à la preuve et aux obligations légales ;
les journaux de sécurité sont conservés pour une durée proportionnée aux risques et aux besoins d’audit ;
les données de vigilance sont conservées pendant la durée imposée au Fabricant par la réglementation applicable au dispositif médical ;
les sauvegardes sont purgées selon des cycles documentés, sauf obligation de conservation ou gel nécessaire à un Incident ou contentieux.
Les durées plus précises peuvent figurer dans une notice, un registre, une Convention institutionnelle ou une politique de conservation. À l’issue, les Données sont supprimées, anonymisées ou archivées de manière sécurisée selon la base juridique applicable.
À titre de règles applicables au site public, les données d’un prospect issues d’une demande de contact ou de démonstration sont, sauf relation contractuelle ou obligation particulière, conservées au maximum trois ans à compter de leur collecte ou du dernier contact actif émanant du prospect. Les données nécessaires à l’exécution d’un contrat sont conservées pendant la relation puis archivées pendant les durées légales de preuve. L’adresse utilisée pour une newsletter est conservée jusqu’au désabonnement ; la preuve du consentement et la liste d’opposition peuvent être conservées de manière limitée pendant la durée nécessaire à la preuve et au respect du retrait.
Les choix relatifs aux cookies et traceurs sont conservés pendant une durée adaptée ; une durée de six mois constitue la référence générale retenue, sous réserve d’un contexte justifiant une autre durée. Les durées de vie des traceurs et de conservation des données de mesure d’audience sont précisées dans la politique cookies et font l’objet d’un réexamen périodique.
15.11 Droits des personnes
Dans les conditions prévues par les textes, les personnes disposent de droits d’accès, de rectification, d’effacement, de limitation, d’opposition, de portabilité lorsque celle-ci s’applique, de retrait du consentement lorsque le traitement repose sur celui-ci, de ne pas faire l’objet d’une décision exclusivement automatisée produisant des effets juridiques ou similaires, et de définir des directives relatives au sort de leurs données après leur décès.
Ces droits ne sont pas absolus. Ils peuvent être limités par les obligations de conservation, de dossier médical, de vigilance, de défense de droits ou par les exceptions prévues par la loi.
Lorsque les Données sont traitées pour le compte d’une Structure utilisatrice, la demande doit être adressée en priorité à cette Structure ou à son DPO. MEDVIR transmet sans délai indu les demandes qu’elle reçoit au responsable concerné. Pour les traitements propres de MEDVIR ainsi que pour les traitements réglementaires propres de MIS, le délégué à la protection des données désigné est M. Manuel Nadaud, joignable à l’adresse nadaud@wilegal.fr. Les demandes peuvent également être adressées à contact@medvir.fr ou par courrier à MEDVIR — Protection des données, 23-25 avenue Mac-Mahon, 75017 Paris, ou à MIS — Protection des données, 9 avenue d’Italie, 75013 Paris.
Une vérification d’identité proportionnée peut être demandée. Toute personne peut introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés (CNIL), 3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07, notamment via son service de plainte en ligne.
15.12 Violations de Données et incidents de sécurité
Tout Utilisateur doit signaler sans délai une perte, divulgation, erreur d’habilitation, accès non autorisé, altération, indisponibilité ou suppression suspecte. Lorsqu’ils agissent comme sous-traitants, MEDVIR et MIS notifient au responsable de traitement les violations de Données dans les délais prévus par le contrat et lui fournissent les informations utiles. Les notifications à la CNIL et aux personnes concernées relèvent du responsable de traitement, sauf obligation directe ou instruction contraire.
15.13 Interfaçage avec le DPI, un EDS ou d’autres systèmes
Tout flux vers ou depuis un dossier patient informatisé (DPI), un entrepôt de données de santé (EDS), un dossier médical partagé, une messagerie de santé ou un autre système doit être validé techniquement, juridiquement et organisationnellement par les responsables concernés. Le flux précise les données, finalités, destinataires, fréquence, sécurité, traçabilité et règles de correction.
Le versement d’un Résultat au dossier du Patient peut être réalisé pour assurer la continuité et la traçabilité de la prise en charge. Une réutilisation dans un EDS ou une recherche poursuit une finalité distincte et requiert son propre cadre d’information, de gouvernance et de droits.
15.14 Cookies et traceurs
MEDVIR.FR et la Plateforme peuvent utiliser des cookies ou traceurs strictement nécessaires à l’authentification, à la sécurité, à la conservation de session, au choix de langue, à la mémorisation des choix et à la fourniture du service demandé. Ces traceurs peuvent bénéficier de l’exemption de consentement prévue par la réglementation, sans préjudice de l’information des Utilisateurs. Les traceurs de mesure d’audience, de personnalisation, de publicité, de réseaux sociaux ou tout autre traceur non strictement nécessaire ne sont déposés ou lus qu’après recueil d’un consentement valable, sauf exemption légalement documentée.
Le premier niveau du module de gestion des cookies doit permettre de “tout accepter” et de “tout refuser” avec le même degré de simplicité, sur le même écran et avec une présentation équivalente, ainsi que d’accéder à un choix par finalité. Aucun traceur soumis au consentement ne doit être activé avant le choix de l’Utilisateur. Le refus ne réduit pas l’accès aux fonctions non dépendantes de ces traceurs.
L’Utilisateur peut modifier ou retirer son choix à tout moment au moyen d’un lien ou d’une icône accessible depuis chaque page. MEDVIR conserve la preuve des versions du module, des finalités présentées et des choix exprimés pendant une durée proportionnée. La politique cookies identifie les traceurs, leurs éditeurs, leurs finalités, leurs durées, les destinataires, les éventuels transferts et les moyens d’opposition.
15.15 Formulaires, demandes de démonstration et communications électroniques
Les formulaires de contact, de demande de démonstration ou de prise de rendez-vous affichent une mention d’information directement sous le formulaire ou à proximité immédiate du bouton d’envoi, ainsi qu’un lien direct vers la notice de confidentialité. Les champs obligatoires sont signalés. La finalité principale est de répondre à la demande et, le cas échéant, de prendre des mesures précontractuelles ; l’envoi du formulaire ne vaut pas inscription automatique à une newsletter.
Toute utilisation ultérieure des coordonnées à des fins de prospection électronique fait l’objet d’un mécanisme distinct. Lorsque le consentement est requis, une case spécifique, facultative, non précochée et distincte de l’acceptation des CGU est proposée. Chaque courriel comporte l’identité de l’émetteur et un moyen simple, gratuit et effectif de se désinscrire ou de s’opposer.
L’inscription à une newsletter est fondée sur le consentement lorsque la réglementation l’exige. La date, la source, la formulation et la preuve de l’inscription sont conservées. Le retrait est pris en compte sans délai pour les envois futurs. Les pixels ou technologies de suivi intégrés aux courriels font l’objet d’une analyse distincte ; lorsqu’ils sont soumis au consentement, ils ne sont activés qu’après information et accord valables.
15.16 Décisions automatisées et profilage
La Solution réalise une analyse algorithmique de Données de santé afin de produire un Résultat d’aide. Cette analyse n’a pas vocation à produire, sans intervention humaine appropriée, une décision juridique ou un effet similaire significatif à l’égard du Patient. Tout projet introduisant une telle décision ferait l’objet d’une évaluation, d’une information et de garanties spécifiques conformément à l’article 22 du RGPD et aux règles applicables.
16. Confidentialité, secret médical et secret professionnel
Les Données et informations accessibles via MEDVIR sont confidentielles. Les professionnels de santé et personnels habilités restent soumis au secret médical, au secret professionnel, aux règles de partage entre membres de l’équipe de soins et aux politiques de leur Structure.
Toute impression, capture d’écran, copie, extraction, transmission ou stockage local doit être limité au strict nécessaire et réalisé sur un support autorisé et sécurisé. Le partage sur une messagerie personnelle, un réseau social, un outil grand public non approuvé ou un support non chiffré est interdit lorsqu’il expose des Données confidentielles.
Les personnels de MEDVIR, de MIS et de leurs sous-traitants autorisés sont soumis à des engagements de confidentialité et n’accèdent aux Données que pour les opérations nécessaires à leur mission.
17. Propriété intellectuelle et droit d’utilisation
Le Dispositif médical, les Algorithmes, arbres de décision, logiciels, contenus médicaux, bases documentaires, méthodes, documentation réglementaire et savoir-faire appartiennent à MIS et/ou à ses concédants. La Plateforme, ses couches techniques, interfaces, éléments d’exploitation, documentations et signes distinctifs appartiennent à MEDVIR et/ou à ses concédants, selon les droits concernés.
Les marques, noms, logos, graphismes, textes, bases de données et éléments protégés ne peuvent être reproduits, modifiés, diffusés, revendus ou exploités au-delà de l’autorisation accordée.
L’Utilisateur et la Structure restent titulaires de leurs Données et contenus, sous réserve des droits des Patients et des obligations légales. Aucun transfert de propriété des Données n’est réalisé au profit des Opérateurs MEDVIR.
Le professionnel est autorisé à conserver, transmettre dans le circuit de soins et verser au dossier du Patient les rapports nécessaires à la prise en charge, à condition de préserver leur intégrité, leur source, leur date, leur version et la confidentialité. Toute réutilisation commerciale, publication, benchmark public, entraînement d’un modèle ou constitution d’une base documentaire concurrente requiert un accord écrit préalable.
18. Interopérabilité, services tiers et liens externes
MEDVIR peut être interfacé avec des logiciels, services d’identité, annuaires, messageries, dossiers patients, outils de téléconsultation ou contenus de tiers. Ces intégrations ne sont activées qu’après validation et dans la limite des droits accordés.
Les Opérateurs MEDVIR ne contrôlent pas les services tiers autonomes et ne sont pas responsables de leurs contenus, disponibilité, pratiques de sécurité ou traitements de Données, sauf lorsqu’ils agissent comme sous-traitants sélectionnés dans le cadre de la Solution. L’Utilisateur doit prendre connaissance des conditions applicables au service tiers.
Un lien vers un site externe ou une ressource médicale ne constitue ni une validation exhaustive ni une garantie de son contenu. En cas de divergence, le professionnel doit se référer aux sources officielles et recommandations à jour.
Les liens vers des réseaux sociaux, comptes personnels ou contenus de tiers conduisent vers des services autonomes soumis à leurs propres conditions et politiques. Les comptes officiels de MEDVIR ou de MIS doivent être distingués des comptes personnels de leurs dirigeants ou collaborateurs. Une publication personnelle n’engage pas les Opérateurs MEDVIR et n’est pas réputée avoir suivi le circuit de validation qualité et affaires réglementaires, sauf mention expresse. Les modules sociaux ou traceurs tiers ne sont pas activés avant le consentement lorsqu’il est requis.
19. Disponibilité, maintenance, support et sécurité opérationnelle
Les Opérateurs MEDVIR mettent en œuvre des moyens raisonnables pour assurer la disponibilité, la maintenance, la sécurité et la correction de la Solution. Sauf engagement de niveau de service prévu par une Convention institutionnelle, aucune disponibilité continue ou absence totale d’erreur ne peut être garantie.
La Solution peut être indisponible en raison de maintenance, mise à jour, incident, contrainte de sécurité, panne d’un prestataire, interruption réseau, attaque informatique, force majeure ou mesure réglementaire. Les maintenances programmées significatives sont, dans la mesure du possible, annoncées aux référents concernés.
Le support général est accessible à contact@medvir.fr. Il ne fournit ni consultation, ni avis médical, ni réponse d’urgence. Les horaires, priorités, délais et canaux spécifiques sont définis, le cas échéant, dans la Convention institutionnelle.
La Structure utilisatrice doit maintenir ses propres procédures de continuité et ne pas dépendre exclusivement de MEDVIR pour accéder aux informations indispensables à une prise en charge urgente.
20. Conditions financières
Lorsque l’accès est organisé par une Structure utilisatrice, un Programme ou un partenaire, les conditions financières sont définies dans la Convention applicable et ne sont pas opposables au Patient sauf information expresse contraire.
L’accès direct au grand public peut être gratuit ou assorti de fonctionnalités payantes clairement présentées avant toute commande. Toute offre payante destinée à un consommateur fait l’objet d’informations précontractuelles et de conditions spécifiques conformes au droit de la consommation.
Le financement d’un Programme de repérage par un Partenaire pharmaceutique ne modifie pas l’indépendance du professionnel, ne confère pas au partenaire un droit sur les Données identifiantes et ne doit pas conditionner l’accès du Patient aux soins.
21. Garanties et responsabilités
21.1 Principes
Chaque Opérateur répond des obligations qui lui incombent selon sa qualité, la loi et les contrats applicables. MIS répond de ses obligations de Fabricant ; MEDVIR répond de ses obligations de Distributeur et Fournisseur Technique délégué. Aucune clause ne limite les responsabilités qui ne peuvent légalement être exclues ou limitées.
21.2 Responsabilité clinique
MEDVIR constitue une aide. Le professionnel de santé demeure seul responsable de l’analyse clinique, des examens, de l’information du Patient et de la décision de prise en charge. Les Opérateurs MEDVIR ne sont pas responsables d’une décision prise en contradiction avec les instructions d’utilisation, les avertissements, les données cliniques disponibles ou les règles professionnelles.
Le Patient ou usager demeure responsable de l’usage qu’il fait d’une information générale et doit consulter un professionnel. Cette règle ne prive pas l’Utilisateur des droits qu’il tient d’un défaut du dispositif, d’une information inadéquate ou d’une faute légalement imputable à un Opérateur.
21.3 Données, équipements et tiers
Les Opérateurs MEDVIR ne peuvent être tenus responsables des conséquences directement imputables à des Données erronées ou incomplètes fournies par l’Utilisateur, à un usage hors destination, à un défaut du terminal ou du réseau de l’Utilisateur, à un accès frauduleux rendu possible par une négligence de sécurité, ou à un service tiers autonome hors de leur contrôle, sous réserve de leurs propres obligations de sécurité, de conseil et de vigilance.
21.4 Limitations applicables aux professionnels
Dans les relations entre professionnels, et sauf stipulation particulière, les dommages indirects tels que perte d’opportunité commerciale, perte d’image ou perte de bénéfice ne sont réparables que dans les conditions prévues par le droit applicable. Les limitations de responsabilité éventuellement convenues dans une Convention institutionnelle prévalent entre les parties.
Aucune limitation ne s’applique en cas de décès ou dommage corporel, fraude, faute lourde ou dolosive, violation d’une obligation essentielle privant le contrat de sa substance, responsabilité du fait des produits défectueux, manquement aux obligations réglementaires du Fabricant, atteinte à la confidentialité imputable à un Opérateur, ou dans tout autre cas où la loi interdit une limitation.
21.5 Droits des consommateurs et patients
Aucune stipulation ne réduit les droits impératifs reconnus aux consommateurs, Patients ou personnes concernées. En cas de contradiction, les dispositions protectrices obligatoires prévalent.
22. Suspension, résiliation et fin d’accès
MEDVIR peut suspendre ou limiter un accès en cas de violation des CGU, risque de sécurité, usage illicite, erreur d’habilitation, Incident, instruction de la Structure, fin de contrat, obligation légale, avis de sécurité ou nécessité de protéger les Patients et les Données.
Sauf urgence ou interdiction légale, l’Utilisateur ou la Structure est informé du motif et peut présenter ses observations. Une suspension de sécurité peut être immédiate.
La fin de l’accès n’interrompt pas les obligations de confidentialité, propriété intellectuelle, preuve, vigilance, conservation et responsabilité. Elle n’affecte pas la continuité de la prise en charge, qui doit être organisée par les professionnels et Structures concernés.
À la fin d’une Convention institutionnelle, la restitution, la réversibilité, l’archivage et la suppression des Données sont réalisés selon les instructions du responsable de traitement, les obligations légales, les contraintes de sauvegarde et les stipulations contractuelles. Une attestation peut être fournie lorsque cela est prévu.
23. Force majeure
Aucune partie n’est responsable d’un manquement directement causé par un événement échappant raisonnablement à son contrôle et répondant aux conditions de la force majeure, notamment catastrophe, conflit, interruption majeure des réseaux, panne généralisée, décision d’autorité ou cyberattaque d’une ampleur exceptionnelle malgré des mesures appropriées.
La partie affectée informe les autres parties dans un délai raisonnable et met en œuvre les mesures possibles pour limiter les conséquences. Les obligations de sécurité, d’alerte et de protection des personnes demeurent applicables dans la mesure du possible.
24. Convention de preuve
Les journaux de connexion, historiques d’acceptation, traces d’accès, versions des CGU, horodatages, rapports, échanges de support et enregistrements techniques peuvent être utilisés comme éléments de preuve dans le respect de la loi, de la confidentialité et des droits des personnes.
La preuve de l’acceptation peut comprendre la version présentée, la date et l’heure, le Compte, le profil, l’action d’acceptation ou de refus et les informations techniques strictement nécessaires à la sécurité et à la preuve.
L’Utilisateur peut signaler une contestation relative à une trace ou une opération. Les journaux constituent un commencement de preuve et peuvent être complétés ou discutés par tout moyen légal.
25. Modification des CGU
Les Opérateurs MEDVIR peuvent modifier les CGU pour tenir compte de l’évolution de la Solution, de la réglementation, des recommandations, des risques, des contrats, de la sécurité ou des pratiques de marché.
Chaque version est datée, archivée et mise à disposition sur MEDVIR.FR ou dans la Plateforme. Les modifications substantielles sont portées à la connaissance des Utilisateurs et font l’objet d’une nouvelle acceptation lorsque cela est requis. Les corrections rédactionnelles ou techniques sans effet défavorable substantiel peuvent entrer en vigueur à leur publication.
Une modification urgente nécessaire à la sécurité, à la vigilance ou au respect d’une obligation légale peut être appliquée immédiatement. Lorsque cela est pertinent, les Utilisateurs et Structures sont informés des mesures à prendre.
En cas de refus d’une nouvelle version substantielle, l’accès peut être limité ou interrompu. Le Patient doit alors se rapprocher de son équipe de soins pour organiser une alternative, sans interruption de la prise en charge nécessaire.
26. Durée, divisibilité et absence de renonciation
Les CGU s’appliquent pendant toute la durée d’accès à la Solution. Les clauses qui, par leur nature, doivent survivre à la fin de l’accès demeurent applicables, notamment celles relatives à la confidentialité, à la propriété intellectuelle, aux Données, à la preuve, à la vigilance et à la responsabilité.
Si une stipulation est déclarée nulle ou inapplicable, les autres demeurent en vigueur. La stipulation concernée est interprétée ou remplacée de manière à se rapprocher licitement de son objectif initial.
Le fait de ne pas exercer immédiatement un droit ne vaut pas renonciation. Les titres servent uniquement à faciliter la lecture.
27. Contacts, réclamations, droit applicable et juridiction
27.1 Contacts
| Objet | Contact |
|---|---|
| Support, accès, Plateforme, sécurité technique | contact@medvir.fr — MEDVIR, 23-25 avenue Mac-Mahon, 75017 Paris |
| Fabricant, performance, vigilance, incident dispositif médical | contact@medvir.fr — MEDICAL INTELLIGENCE SERVICE, 9 avenue d’Italie, 75013 Paris |
| DPO / protection des données — traitements MEDVIR | Manuel Nadaud — nadaud@wilegal.fr |
| DPO / protection des données — traitements MIS | Manuel Nadaud — nadaud@wilegal.fr |
| Urgence médicale | Ne pas utiliser ces contacts. Appeler immédiatement le 15 ou le 112 en France, le 114 si nécessaire, ou le numéro local d’urgence. |
| Réclamation auprès de l’autorité de contrôle | CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — service de plainte en ligne accessible depuis le site de la CNIL |
27.2 Réclamations
Toute réclamation relative au service doit d’abord être adressée au contact compétent afin de permettre une résolution amiable. Une réclamation relative à la prise en charge doit être adressée au professionnel ou à la Structure responsable. Une réclamation relative aux Données peut être adressée au responsable de traitement concerné et à la CNIL.
27.3 Droit applicable
Les CGU sont soumises au droit français, sans préjudice des dispositions impératives éventuellement applicables à l’Utilisateur dans son pays de résidence ou d’utilisation autorisée.
27.4 Juridiction
À défaut d’accord amiable, les litiges entre professionnels relèvent des juridictions compétentes de Paris, sauf règle impérative ou stipulation différente d’une Convention institutionnelle. Pour un consommateur, les règles légales de compétence territoriale et les voies de médiation applicables prévalent.
Annexe 1 — Synthèse de la répartition des rôles
| Activité | Responsable principal |
|---|---|
| Destination médicale, conception du cœur médical et algorithmique | MIS — Fabricant |
| Qualification réglementaire, marquage, documentation et instructions d’utilisation | MIS — Fabricant |
| Évaluation des performances, surveillance après commercialisation et matériovigilance | MIS — Fabricant |
| Distribution, commercialisation et contractualisation de mise à disposition | MEDVIR, sauf stipulation particulière |
| Exploitation de la Plateforme, Comptes, habilitations et support | MEDVIR — Fournisseur Technique délégué |
| Hébergement et sous-traitants techniques | MEDVIR organise et encadre ; hébergement des Données de santé assuré par Free Pro, hébergeur certifié HDS |
| Décision médicale et prise en charge | Professionnel de santé / Structure utilisatrice |
| Finalités de soins et information du Patient | Professionnel / Structure responsable de traitement |
| Traitements techniques pour le compte d’une Structure | MEDVIR sous-traitant ; MIS sous-traitant ultérieur lorsque nécessaire et autorisé |
| Vigilance réglementaire | MIS responsable de traitement ; MEDVIR organise la remontée et la sécurité opérationnelle |
| Programme maladies rares | Rôles précisés par le protocole ; indépendance clinique du professionnel ; pas d’accès identifiant du Promoteur par défaut |
| Sécurité et gestion des incidents | Coordination MEDVIR / MIS / Structure selon la nature de l’incident |
Cette synthèse est informative. Les qualifications et responsabilités résultent des opérations réelles, des textes et des accords applicables.
Annexe 2 — Synthèse des traitements de données
| Rubrique | Synthèse |
|---|---|
| Personnes concernées | Patients, usagers, représentants, professionnels de santé, personnels habilités, administrateurs, visiteurs de MEDVIR.FR, prospects, abonnés à la newsletter, contacts des partenaires et personnes signalant un Incident. |
| Données principales | Identité, coordonnées, organisation, contenu des demandes de contact ou de démonstration, préférences de communication, preuve du consentement, données de navigation et traceurs, habilitations, données de santé, réponses, Résultats, rapports, journaux, données techniques, support et vigilance. |
| Finalités | Fourniture du service, aide à la décision, prise en charge, coordination, réponse aux demandes de contact ou de démonstration, gestion des abonnements, sécurité du site et des comptes, cookies et mesure d’audience, support, preuve, vigilance, statistiques anonymes et, sous cadre distinct, recherche ou évaluation. |
| Responsables | Structure ou professionnel pour les soins ; MEDVIR pour le site public, ses formulaires et ses services propres ; MIS pour la vigilance et les obligations Fabricant ; autres responsables identifiés pour une recherche ou un Programme. |
| Destinataires | Utilisateurs autorisés, équipe de soins, MEDVIR, MIS, sous-traitants techniques, autorités ; Promoteur uniquement selon le cadre prévu et sans données identifiantes par défaut. |
| Hébergement | Free Pro, hébergeur certifié HDS, lorsque l’article L.1111-8 du Code de la santé publique s’applique. |
| Transferts hors EEE | Uniquement avec un mécanisme RGPD valable, garanties appropriées et information requise. |
| Réutilisation / entraînement IA | Aucune réutilisation de Données personnelles ou pseudonymisées à des fins propres sans cadre juridique, information, garanties et accords requis. Utilisation possible de données réellement anonymisées. |
| Durées | Selon la finalité, le contrat, le dossier médical, la sécurité, la prescription et les obligations de vigilance. À titre de principe : prospect sans contrat, trois ans après le dernier contact actif ; newsletter, jusqu’au désabonnement avec conservation limitée de la preuve ; choix cookies, généralement six mois ; puis suppression, anonymisation ou archivage sécurisé. |
| Droits | Accès, rectification, effacement, limitation, opposition, portabilité lorsque applicable, retrait du consentement, directives post-mortem, réclamation CNIL. |
Annexe 3 — Conduite à tenir en cas d’incident ou d’urgence
A. Situation médicale urgente
Arrêter d’utiliser MEDVIR comme outil d’attente ou de décision.
Contacter immédiatement les secours : 15 ou 112 en France, 114 pour les personnes sourdes ou malentendantes, ou le numéro local approprié.
Suivre les instructions des professionnels et ne pas attendre un nouveau Résultat.
Informer ultérieurement MEDVIR si un Résultat ou dysfonctionnement a pu contribuer à un risque, sans retarder les soins.
B. Incident lié au dispositif médical
Assurer d’abord la sécurité et la prise en charge du Patient.
Conserver la version, le rapport, la date, le contexte, les captures autorisées et les traces utiles.
Signaler à contact@medvir.fr en limitant les Données envoyées par email.
Effectuer la déclaration réglementaire via le portail officiel lorsque l’incident est grave ou lorsque la loi l’impose.
Appliquer toute consigne d’arrêt, de mise à jour ou d’action corrective.
C. Incident de sécurité ou de confidentialité
Déconnecter ou isoler le terminal concerné si nécessaire.
Révoquer ou modifier les identifiants compromis.
Prévenir immédiatement contact@medvir.fr, le référent sécurité et le DPO de la Structure.
Ne pas supprimer les traces et ne pas communiquer publiquement les détails de sécurité.
Suivre les instructions de confinement, d’analyse et de notification.
DOCUMENT À PUBLIER AVEC LES INFORMATIONS ET DISPOSITIFS COMPLÉMENTAIRES APPLICABLES Les présentes CGU doivent rester accessibles depuis MEDVIR.FR et la Plateforme. Les instructions d’utilisation du dispositif médical, la notice de protection des données, les informations relatives à Free Pro, hébergeur HDS, aux cookies et aux Programmes spécifiques doivent être mises à disposition dans leur version à jour lorsque leur publication distincte est requise. |