Accord de Traitement des Données (DPA)

Version 1.0 — Juin 2026 · Conforme RGPD Article 28

    Cet accord est conclu entre CONSEIL IT (ci-après « MedNote AI », sous-traitant) et tout professionnel de santé souscrivant au service (ci-après « le Responsable de Traitement »). Il est accepté lors de l'inscription et constitue une annexe aux Conditions Générales d'Utilisation.
  

1. Parties

Rôle	Identification
Sous-traitant (Data Processor)	CONSEIL IT — opérateur de MedNote AI Auto-entrepreneur — SIRET : 850 288 010 00018 18 rue Fernand Léger, 94120 Fontenay-sous-Bois, France contact@mednote-ai.net
Responsable de Traitement (Data Controller)	Le professionnel de santé souscrivant au Service MedNote AI, identifié par l'adresse email renseignée à l'inscription.

2. Objet et durée

Le présent Accord définit les conditions dans lesquelles MedNote AI, en qualité de sous-traitant, traite des données à caractère personnel pour le compte du Responsable de Traitement dans le cadre de la fourniture du service de transcription et de documentation clinique assistée par IA.

L'Accord entre en vigueur à la date d'inscription et reste applicable pendant toute la durée de l'abonnement, jusqu'à la suppression complète des données conformément à l'article 9.

3. Nature et finalité du traitement

Transcription vocale : conversion en temps réel de l'audio de consultation en texte via AWS Transcribe Streaming
Génération de résumés : structuration automatique des notes cliniques via AWS Bedrock (Claude)
Stockage temporaire : conservation des enregistrements audio et des résumés dans le compte du praticien
Export : génération de PDF pour archivage dans le dossier patient

4. Données traitées et personnes concernées

Catégorie	Données	Personnes concernées
Données de santé (Art. 9 RGPD)	Enregistrements audio, transcriptions, résumés, diagnostics, prescriptions	Patients du Responsable de Traitement
Données d'identification patient	Nom, prénom, date de naissance, numéro de dossier (si renseignés)	Patients
Données du praticien	Email, nom, spécialité, RPPS	Responsable de Traitement

5. Obligations de MedNote AI (Sous-traitant)

MedNote AI s'engage à :

Traiter les données uniquement sur instruction documentée du Responsable de Traitement
Garantir la confidentialité des données traitées et imposer cette obligation à tout personnel accédant aux données
Mettre en œuvre les mesures de sécurité techniques et organisationnelles décrites à l'article 8
Ne pas sous-traiter sans autorisation préalable du Responsable de Traitement (les sous-traitants ultérieurs listés à l'article 7 sont pré-autorisés)
Notifier toute violation de données dans les meilleurs délais et au plus tard dans les 72 heures
Fournir toute assistance raisonnable pour permettre au Responsable de Traitement de répondre aux demandes d'exercice de droits des personnes concernées
Supprimer ou restituer toutes les données à la fin de la relation contractuelle, selon le choix du Responsable de Traitement
Tenir un registre des activités de traitement effectuées pour le compte du Responsable de Traitement

6. Obligations du Responsable de Traitement

Le Responsable de Traitement s'engage à :

S'assurer que le traitement des données de ses patients repose sur une base légale valide (intérêt vital, relation de soin, obligation légale de tenue du dossier médical)
Informer ses patients de l'utilisation d'un outil d'assistance IA pour la documentation clinique
Ne pas saisir dans le service des données de santé au-delà de ce qui est strictement nécessaire (minimisation des données)
Valider systématiquement les résumés générés par l'IA avant toute utilisation clinique ou archivage
Signaler sans délai tout incident ou comportement anormal du service à contact@mednote-ai.net

7. Sous-traitants ultérieurs

En acceptant le présent accord, le Responsable de Traitement autorise MedNote AI à faire appel aux sous-traitants ultérieurs suivants :

Sous-traitant	Rôle	Localisation
Amazon Web Services (AWS)	Infrastructure cloud, stockage (S3, DynamoDB), transcription (Transcribe)	eu-west-3, Paris, France (UE)
Anthropic via AWS Bedrock	Génération de résumés par IA (modèle Claude)	eu-west-3, Paris, France (UE) — traitement dans l'UE via Bedrock
Stripe Inc.	Paiement en ligne (données de facturation uniquement, pas de données cliniques)	États-Unis — couvert par les clauses contractuelles types UE
Amazon SES	Envoi d'emails transactionnels (email du praticien uniquement)	eu-west-3, Paris, France (UE)

MedNote AI notifiera le Responsable de Traitement de tout changement de sous-traitant ultérieur avec un préavis de 30 jours.

8. Mesures de sécurité

MedNote AI met en œuvre les mesures suivantes :

Chiffrement en transit : TLS 1.2+ sur toutes les communications
Chiffrement au repos : AES-256 sur S3 et DynamoDB (clés AWS KMS)
Contrôle d'accès : authentification forte (Cognito), rôles IAM limités au principe du moindre privilège
Isolation des données : les données de chaque praticien sont isolées par identifiant unique
Hébergement certifié : AWS eu-west-3 (Paris) dispose des certifications ISO 27001, SOC 2, HDS (pour les services éligibles)
Journalisation : logs d'accès conservés via AWS CloudWatch
Sauvegardes : DynamoDB Point-in-Time Recovery activé

9. Durée de conservation et suppression des données

Données	Durée de conservation
Enregistrements audio	Durée de l'abonnement + 30 jours après résiliation
Transcriptions et résumés	Durée de l'abonnement + 30 jours après résiliation
Données de compte (email, nom)	Durée de l'abonnement + 3 ans (obligation comptable)
Logs techniques	90 jours glissants

À la résiliation, le Responsable de Traitement peut demander l'export de ses données avant suppression en écrivant à contact@mednote-ai.net.

10. Violation de données

En cas de violation de données à caractère personnel, MedNote AI s'engage à :

Notifier le Responsable de Traitement dans les 72 heures suivant la prise de connaissance de l'incident
Fournir une description de la nature de la violation, des catégories et du nombre approximatif de personnes et d'enregistrements concernés
Indiquer les mesures prises ou envisagées pour remédier à la violation

Le Responsable de Traitement demeure responsable de la notification à l'autorité de contrôle compétente (CNIL pour la France, APD/GBA pour la Belgique) dans le délai légal.

11. Transferts hors UE

Toutes les données cliniques sont traitées et stockées dans la région AWS eu-west-3 (Paris, France). Aucun transfert de données cliniques en dehors de l'Union Européenne n'est effectué. Les données de facturation transmises à Stripe sont couvertes par les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne.

12. Droit d'audit

Le Responsable de Traitement dispose d'un droit d'audit des activités de traitement de MedNote AI. L'exercice de ce droit se fait par demande écrite à contact@mednote-ai.net avec un préavis de 30 jours ouvrables. MedNote AI peut répondre par la fourniture d'une attestation de conformité (ISO 27001, SOC 2 d'AWS) en lieu et place d'un audit sur site, sauf accord contraire.

13. Loi applicable et juridiction

Le présent Accord est soumis au droit français et au Règlement (UE) 2016/679 (RGPD). En cas de litige, les parties s'engagent à rechercher une solution amiable avant de saisir le tribunal compétent du ressort de Créteil (France).

14. Contact DPO / Responsable protection des données

Pour toute question relative au présent Accord ou à l'exercice de droits RGPD :
📧 contact@mednote-ai.net

← Back to app

Data Processing Agreement (DPA)

Version 1.0 — June 2026 · GDPR Article 28 compliant

    This agreement is entered into between CONSEIL IT (hereinafter "MedNote AI", Data Processor) and any healthcare professional subscribing to the service (hereinafter the "Data Controller"). It is accepted at registration and forms an annex to the Terms of Service.
  

1. Parties

Role	Details
Data Processor	CONSEIL IT — operator of MedNote AI Sole trader — SIRET: 850 288 010 00018 18 rue Fernand Léger, 94120 Fontenay-sous-Bois, France contact@mednote-ai.net
Data Controller	The healthcare professional subscribing to the MedNote AI Service, identified by the email address provided at registration.

2. Subject matter and duration

This Agreement defines the conditions under which MedNote AI, acting as Data Processor, processes personal data on behalf of the Data Controller in connection with the provision of the AI-assisted clinical transcription and documentation service.

This Agreement takes effect on the date of registration and remains in force for the duration of the subscription, until complete deletion of data in accordance with Article 9.

3. Nature and purpose of processing

Voice transcription: real-time conversion of consultation audio to text via AWS Transcribe Streaming
Summary generation: automated structuring of clinical notes via AWS Bedrock (Claude)
Temporary storage: retention of audio recordings and summaries in the practitioner's account
Export: PDF generation for archiving in the patient record

4. Data processed and data subjects

Category	Data	Data Subjects
Health data (Art. 9 GDPR)	Audio recordings, transcriptions, summaries, diagnoses, prescriptions	Patients of the Data Controller
Patient identification data	Name, date of birth, record number (if entered)	Patients
Practitioner data	Email, name, specialty, professional ID	Data Controller

5. Obligations of MedNote AI (Data Processor)

MedNote AI undertakes to:

Process data only on documented instructions from the Data Controller
Ensure the confidentiality of processed data and impose this obligation on all personnel with data access
Implement the technical and organisational security measures described in Article 8
Not sub-contract without prior authorisation (sub-processors listed in Article 7 are pre-authorised)
Notify any data breach promptly and no later than 72 hours after becoming aware
Provide reasonable assistance to enable the Data Controller to respond to data subject rights requests
Delete or return all data at the end of the contractual relationship
Maintain a record of processing activities carried out on behalf of the Data Controller

6. Obligations of the Data Controller

The Data Controller undertakes to:

Ensure that the processing of patient data rests on a valid legal basis under GDPR
Inform patients of the use of an AI documentation assistance tool
Enter only data strictly necessary for the service (data minimisation)
Validate all AI-generated summaries before clinical use or archiving
Report any incident or abnormal behaviour to contact@mednote-ai.net without delay

7. Sub-processors

Sub-processor	Role	Location
Amazon Web Services	Cloud infrastructure, storage, transcription	eu-west-3, Paris, France (EU)
Anthropic via AWS Bedrock	AI summary generation	eu-west-3, Paris, France (EU)
Stripe Inc.	Online payments (billing data only, no clinical data)	US — covered by EU SCCs
Amazon SES	Transactional emails	eu-west-3, Paris, France (EU)

MedNote AI will notify the Data Controller of any change of sub-processor with 30 days' notice.

8. Security measures

Encryption in transit: TLS 1.2+ on all communications
Encryption at rest: AES-256 on S3 and DynamoDB (AWS KMS keys)
Access control: strong authentication (Cognito), least-privilege IAM roles
Data isolation: each practitioner's data isolated by unique identifier
Certified hosting: AWS eu-west-3 (Paris) holds ISO 27001, SOC 2 certifications
Logging: access logs retained via AWS CloudWatch
Backups: DynamoDB Point-in-Time Recovery enabled

9. Retention and deletion

Data	Retention
Audio recordings	Subscription period + 30 days after termination
Transcriptions and summaries	Subscription period + 30 days after termination
Account data	Subscription period + 3 years (accounting obligation)
Technical logs	90 rolling days

10. Data breach

In the event of a personal data breach, MedNote AI will notify the Data Controller within 72 hours of becoming aware, including the nature of the breach, categories and approximate number of data subjects and records affected, and measures taken or planned.

The Data Controller remains responsible for notifying the competent supervisory authority (CNIL for France, APD/GBA for Belgium) within the statutory deadline.

11. International transfers

All clinical data is processed and stored in the AWS eu-west-3 (Paris, France) region. No clinical data is transferred outside the European Union. Billing data transmitted to Stripe is covered by the Standard Contractual Clauses (SCCs) approved by the European Commission.

12. Audit rights

The Data Controller has the right to audit MedNote AI's processing activities upon written request to contact@mednote-ai.net with 30 business days' notice. MedNote AI may satisfy audit requests by providing AWS compliance certificates (ISO 27001, SOC 2) in lieu of an on-site audit.

13. Governing law

This Agreement is governed by French law and Regulation (EU) 2016/679 (GDPR). The courts of Créteil (France) shall have jurisdiction.

14. Contact

For any question regarding this Agreement or GDPR rights:
📧 contact@mednote-ai.net