Déclaration relative à l’architecture Zero-PHI et au traitement des données – iGlowly Assistant

Dernière mise à jour : 30 mars 2026

1. Objet du présent document

Le présent document décrit l’architecture technique et organisationnelle de l’iGlowly Assistant et explique de quelle manière le système est conçu afin d’empêcher le stockage d’Informations de Santé Protégées (PHI) et de données à caractère personnel.

L’iGlowly Assistant est conçu selon un principe de minimisation des données, de privacy-by-design, et d’architecture Zero-PHI.

Le présent document est destiné aux cliniques, aux services informatiques, aux responsables conformité et aux auditeurs de sécurité.

2. Définition des Informations de Santé Protégées (PHI)

Aux fins du présent document, les Informations de Santé Protégées (PHI) désignent des informations de santé individuellement identifiables, y compris, mais sans s’y limiter :

• Noms
• Adresses e-mail
• Numéros de téléphone
• Adresses postales
• Dates de naissance
• Dossiers médicaux
• Photographies
• Toute information de santé liée à une personne identifiable

L’iGlowly Assistant est conçu de manière à ce que ces informations ne soient pas stockées dans le système.

3. Vue d’ensemble de l’architecture Zero-PHI

L’iGlowly Assistant est architecturé selon un modèle de minimisation des données et de traitement éphémère afin que :

• Les messages de chat soient traités de manière éphémère en mémoire (RAM) ;
• Les messages de chat ne soient pas stockés dans des bases de données ;
• Les messages de chat ne soient pas écrits dans des journaux ;
• Les messages de chat ne soient pas inclus dans des sauvegardes ;
• Les messages de chat ne soient pas visibles par les cliniques ;
• Les messages de chat ne soient pas accessibles au personnel d’iGlowly ;
• Les messages de chat soient sanitisés avant tout traitement par une IA ;
• Seules des données analytiques structurées, thématiques et non identifiantes soient stockées.

Cette architecture est conçue pour empêcher le système de stocker ou de conserver des PHI.

4. Traitement des messages (traitement éphémère)

Lorsqu’un visiteur interagit avec l’Assistant :

1. Le message est reçu et traité en mémoire serveur (RAM) ;
2. Le message est analysé afin de déterminer le sujet et l’intention ;
3. Les identifiants personnels sont supprimés via une sanitisation (masquage et anonymisation) automatisée ;
4. Le message sanitisé peut être envoyé à un système d’IA afin de générer une réponse ;
5. La réponse est renvoyée à l’utilisateur ;
6. Le message original est supprimé et n’est pas stocké.

Les messages existent uniquement de manière temporaire pendant le traitement et ne sont pas persistés.
Une fois la réponse générée et renvoyée, le message est supprimé de la mémoire et n’est pas conservé par le système.

5. Absence de stockage des messages de chat

L’iGlowly Assistant ne stocke pas :

• Les messages de chat complets
• Les réponses de l’Assistant
• Les transcriptions de conversation
• L’historique des conversations
• Les informations médicales
• Les identifiants personnels

Le contenu des chats n’est pas stocké dans :

• Des bases de données
• Des journaux applicatifs
• Des systèmes d’analytique
• Des sauvegardes
• Des systèmes de monitoring

6. Absence d’identifiants personnels persistants ou de mécanismes de suivi

Le système est conçu pour ne pas collecter ni stocker d’identifiants personnels.

L’iGlowly Assistant ne stocke pas :

• Noms
• Adresses e-mail
• Numéros de téléphone
• Adresses
• Dates de naissance
• Identifiants patients
• Comptes utilisateurs
• Cookies
• Identifiants localStorage
• Empreintes de navigateur
• Adresses IP

Le système utilise uniquement un jeton de session temporaire stocké dans le sessionStorage du navigateur, qui :

• Existe uniquement pendant la durée de l’onglet du navigateur ;
• Est automatiquement supprimé lorsque l’onglet est fermé ;
• Expire après 15 minutes d’inactivité ;
• N’est pas lié à l’identité d’une personne ;
• N’est pas utilisé pour le suivi entre différents sites web.

7. Couche de sanitisation (masquage et anonymisation) des données personnelles

Si un utilisateur saisit des informations personnelles dans le chat, le système applique une détection et un masquage automatisés avant tout traitement par l’IA.

La sanitisation (masquage et anonymisation) fonctionne en deux couches :

Couche 1 – Détection par motifs
Détection basée sur des motifs à l’aide d’expressions régulières afin d’identifier des données personnelles structurées telles que :

• Adresses e-mail
• Numéros de téléphone
• Numéros d’identification
• URL contenant des données personnelles

Couche 2 – Détection d’entités par IA
Reconnaissance d’entités basée sur l’IA utilisant Microsoft Azure AI (hébergé dans l’Union européenne – région Europe de l’Ouest) afin de détecter :

• Noms
• Adresses
• Localisations
• Autres identifiants personnels

Lorsque des données personnelles sont détectées, elles sont remplacées par des jetons anonymisés tels que :

• « nomsupprimeˊnom suppriménomsupprimeˊ »
• « emailsupprimeˊemail suppriméemailsupprimeˊ »
• « teˊleˊphonesupprimeˊtéléphone suppriméteˊleˊphonesupprimeˊ »

Seul le message sanitisé est utilisé pour la génération de réponse par l’IA.

8. Traitement par IA

Certaines réponses sont générées à l’aide de l’IA.

Le traitement par IA suit le flux suivant :

Message utilisateur → Sanitisation → Traitement IA → Réponse → Message supprimé

Garanties importantes :

• L’IA reçoit uniquement du texte sanitisé ;
• Les messages bruts ne sont pas stockés ;
• iGlowly n’utilise pas les données de chat pour entraîner des modèles d’IA ;
• Les fournisseurs d’IA traitent les requêtes via API et ne reçoivent pas l’identité des utilisateurs ;
• iGlowly ne crée pas de profils utilisateurs basés sur les conversations.
• Le traitement par IA est effectué via API et est sans état du côté d’iGlowly ; le contenu des conversations n’est pas stocké après la génération de la réponse.

9. Données stockées (analytique anonyme uniquement)

Les seules données stockées par l’iGlowly Assistant consistent en analyses structurées non identifiantes, telles que :

• Sujet de traitement demandé (ex. Botox, injections de fillers)
• Sujet de préoccupation demandé (ex. rides, acné)
• Type de question (ex. prix, récupération, intention de réservation)
• Langue utilisée
• Date et heure de l’interaction
• Identifiant de la clinique
• Identifiant de session anonyme (aléatoire, temporaire)

Aucun message en texte libre n’est stocké.
Aucun identifiant personnel n’est stocké.
Le système ne stocke pas d’embeddings de messages, de texte vectorisé, ni aucune forme de représentation sémantique des conversations.

Ces données sont utilisées uniquement pour fournir des analyses de la demande anonymes aux cliniques et pour améliorer l’Assistant.

10. Aucun cookie, aucun suivi, aucun profilage

L’iGlowly Assistant :

• N’utilise pas de cookies de suivi ;
• N’utilise pas de cookies publicitaires ;
• N’utilise pas localStorage ;
• N’utilise pas d’identifiants persistants du navigateur ;
• N’effectue pas de suivi inter-sites ;
• Ne crée pas de profils utilisateurs ;
• Ne suit pas les utilisateurs à travers les sites web.

L’Assistant utilise uniquement une mémoire de session nécessaire au fonctionnement technique.

11. Localisation de l’hébergement et du traitement des données

L’infrastructure de l’iGlowly Assistant utilise les lieux d’hébergement et de traitement suivants :

Infrastructure applicative et base de données

• Supabase (hébergé sur infrastructure AWS)
• Localisation de la base de données : Union européenne (Allemagne)
• Finalité : stockage d’analytique anonyme, base de données applicative, logique serveur et edge functions
• Les messages de chat ne sont pas stockés dans la base de données
• L’infrastructure Supabase comprend l’hébergement de la base de données, la logique côté serveur (Edge Functions) et le stockage analytique. Les messages de chat sont traités en mémoire et ne sont pas persistés dans les systèmes Supabase.

sanitisation (masquage et anonymisation) des données personnelles

• Microsoft Azure Cognitive Services
• Région : Europe de l’Ouest (Union européenne)
• Finalité : détection et masquage des identifiants personnels avant traitement par l’IA

Traitement par IA

• API OpenAI
• Lieu de traitement : États-Unis
• Seul du texte sanitisé et non identifiant est envoyé pour la génération de réponses par IA
• Les messages bruts ne sont pas stockés par iGlowly

Distribution du script frontend

• Vercel (CDN global)
• Finalité : distribution du script widget de l’iGlowly Assistant (widget.js)
• Vercel sert uniquement des fichiers frontend statiques et ne stocke pas les messages de chat ni les données analytiques

Toutes les transmissions de données sont chiffrées via HTTPS/TLS.

12. Accès aux données

L’accès aux données au sein du système iGlowly Assistant est restreint comme suit :

Messages de chat

• Non stockés par iGlowly
• Non accessibles aux cliniques
• Non accessibles au personnel iGlowly
• Traités uniquement de manière éphémère en mémoire
• Les fournisseurs d’IA reçoivent uniquement du texte sanitisé lorsque le traitement IA est nécessaire

Données personnelles

• Le système est conçu pour ne pas collecter ni stocker de données personnelles
• Les identifiants personnels sont automatiquement masqués avant traitement par IA
• Aucune donnée personnelle n’est stockée dans les bases de données, journaux ou systèmes d’analytique

Analytique anonyme

• Les cliniques peuvent accéder uniquement à des analyses agrégées liées à leur propre clinique (ex. sujets demandés, tendances de la demande)
• Le personnel iGlowly peut accéder aux analyses pour la maintenance du système, la sécurité et l’amélioration du service
• Les analyses contiennent uniquement des données structurées non identifiantes et aucune transcription de chat

Les cliniques n’ont pas accès aux conversations, aux transcriptions ou à l’identité des visiteurs.

13. Mesures de sécurité

L’iGlowly Assistant est conçu selon des principes de sécurité et de minimisation des données. Les mesures techniques et organisationnelles suivantes sont mises en œuvre :

Chiffrement

• Toutes les données en transit sont chiffrées via HTTPS/TLS.
• Les données analytiques stockées sont chiffrées au repos par le fournisseur d’hébergement.

Contrôle d’accès

• Un contrôle d’accès basé sur les rôles est appliqué.
• Chaque clinique peut accéder uniquement à ses propres données analytiques.
• L’accès administratif est limité au personnel iGlowly autorisé uniquement.

Isolation des données

• Les données des cliniques sont isolées logiquement par identifiant de clinique.
• Les cliniques ne peuvent pas accéder aux données appartenant à d’autres cliniques.

Absence de journalisation des messages

• Les messages de chat ne sont pas écrits dans les journaux applicatifs.
• Les messages de chat ne sont pas stockés dans les systèmes de monitoring.
• Les messages de chat ne sont pas inclus dans les sauvegardes.

Limitation de conservation

• Les messages de chat ne sont pas conservés.
• Les analyses anonymes sont conservées uniquement à des fins d’analyse statistique et d’amélioration du service.
• Les journaux techniques de sécurité sont conservés pour une durée limitée afin de prévenir les abus puis supprimés.
• Les sauvegardes contiennent uniquement des données analytiques anonymes et des données de configuration système, et ne contiennent pas de messages de chat.

Sécurité des sessions

• Les jetons de session sont stockés uniquement dans sessionStorage (au niveau de l’onglet).
• Les sessions expirent automatiquement après 15 minutes d’inactivité.
• Aucun identifiant persistant n’est stocké dans le navigateur.

Protection contre les abus et la sécurité

• Des mécanismes de limitation de débit (rate limiting) sont mis en place au niveau de la session et du système.
• Une protection automatisée contre le spam, les abus automatisés et les tentatives d’injection est mise en œuvre.
• Le système est conçu pour empêcher les tentatives d’extraction de prompts système cachés ou d’informations internes au système.

14. Utilisation prévue et utilisation interdite

L’iGlowly Assistant est destiné à fournir des informations générales et éducatives concernant les traitements et les services des cliniques.

L’Assistant n’est pas destiné à être utilisé pour transmettre des données personnelles, des dossiers médicaux ou des informations de santé protégées.

Les cliniques et les utilisateurs sont informés que l’Assistant ne doit pas être utilisé comme canal de communication avec des patients, comme formulaire d’admission médicale ou comme système de dossier médical.

Toute donnée personnelle saisie par les utilisateurs est automatiquement masquée lorsque cela est possible et n’est pas stockée par le système.

15. Position HIPAA

L’iGlowly Assistant est conçu de manière à ne pas créer, recevoir, stocker ou conserver des Informations de Santé Protégées (PHI) sous forme persistante, et est architecturé pour éviter le stockage d’informations de santé individuellement identifiables.

Le contenu des conversations est traité de manière éphémère en mémoire, sanitisé avant tout traitement par IA, et n’est pas stocké. Le système ne stocke pas d’identifiants patients, de dossiers médicaux ni de transcriptions de conversations.

En raison de cette architecture, et lorsque le service est utilisé comme prévu, l’iGlowly Assistant n’est généralement pas considéré comme créant, recevant, conservant ou transmettant des Informations de Santé Protégées (PHI) de manière persistante et peut donc ne pas nécessiter de Business Associate Agreement (BAA). Les cliniques et entités couvertes doivent confirmer cette analyse auprès de leurs propres conseillers juridiques ou conformité.

iGlowly peut fournir une documentation supplémentaire concernant son architecture Zero-PHI, ses pratiques de traitement des données et ses mesures de sécurité sur demande.

L’iGlowly Assistant est un outil logiciel informatif et éducatif et n’est pas destiné à être utilisé comme système de transmission d’informations patients, de dossiers médicaux ou d’informations de santé protégées.

16. Résumé

L’iGlowly Assistant est conçu selon les principes suivants :

• Aucun stockage des messages de chat
• Aucun stockage d’identifiants personnels
• Aucun stockage de dossiers de santé
• Aucun cookie ni suivi
• Aucun profil utilisateur
• Aucun historique de conversation
• Messages traités de manière éphémère
• Messages sanitisés avant traitement par IA
• Seules des analyses thématiques anonymes sont stockées

Cette architecture est conçue pour minimiser les risques pour la vie privée et empêcher le stockage d’Informations de Santé Protégées.