Cette politique s'applique spécifiquement aux
données de santétraitées sur la plateforme InjuryLab (données médicales des athlètes, joueurs, patients suivis par les staffs médicaux). Elle complète notre
Politique de confidentialité générale.
1. Cadre légal
Les données de santé sont des données dites « sensibles » au sens de l'article 9 du Règlement Général sur la Protection des Données (RGPD) et bénéficient à ce titre d'une protection renforcée. Leur traitement par InjuryLab s'effectue dans le strict respect :
- Du Règlement (UE) 2016/679 (RGPD)
- De la loi n° 78-17 du 6 janvier 1978 modifiée (Informatique et Libertés)
- Du Code de la santé publique, notamment l'article L. 1111-8 (hébergement HDS)
- Des recommandations de la CNIL et de l'ANS (Agence du Numérique en Santé)
2. Rôles et responsabilités
Dans l'écosystème InjuryLab, les rôles RGPD sont répartis comme suit :
- Le club / la structure cliente est responsable de traitementdes données médicales de ses joueurs et athlètes.
- InjuryLab SAS agit en qualité de sous-traitantau sens de l'article 28 du RGPD. Une convention de sous-traitance est mise à disposition de chaque club client.
- Le professionnel de santé inscrit reste tenu au secret professionnel (art. L. 1110-4 CSP) et au secret médical.
3. Catégories de données de santé traitées
- Antécédents médicaux et chirurgicaux pertinents pour le sport
- Blessures (type, localisation, gravité, mécanisme — classification Munich 1.0)
- Soins reçus (kinésithérapie, ostéopathie, médecine, podologie)
- Examens complémentaires (échographie, IRM — uniquement sur consentement)
- Tests fonctionnels (CMJ, ratio H/Q, sprint, isocinétisme)
- Données de bien-être quotidien (Hooper, RPE, sommeil, stress)
- Pesées et composition corporelle
- Protocoles de retour au sport et critères validés
- Évaluations de commotion (SCAT6) et suivi neurologique
4. Bases légales du traitement
Le traitement des données de santé sur InjuryLab repose sur les bases légales suivantes (art. 9.2 RGPD) :
- Le consentement explicite du joueur / athlète recueilli au moment de l'inscription sur la plateforme (art. 9.2.a RGPD)
- L'exécution d'obligations en matière de droit du travailpour les joueurs professionnels sous contrat (art. 9.2.b RGPD)
- La médecine préventive et la médecine du sport(art. 9.2.h RGPD), assurée par un professionnel de santé soumis au secret professionnel
5. Hébergement des données de santé (HDS)
Statut actuel — Migration HDS en cours. InjuryLab est en cours de migration vers un hébergeur certifié HDS (Hébergeur de Données de Santé)au sens de l'article L. 1111-8 du Code de la santé publique. Cette migration sera finalisée avant tout traitement de données de santé identifiantes en production à grande échelle. Pendant la phase pilote actuelle, seules des données pseudonymisées ou des données de tests fonctionnels non identifiantes peuvent être traitées. Les clubs partenaires en sont informés contractuellement.
À l'issue de la migration, l'hébergement sera assuré par un prestataire certifié HDS sur le territoire de l'Union européenne. La liste actualisée des sous-traitants sera publiée dans la Politique de confidentialité.
6. Mesures de sécurité spécifiques
InjuryLab applique aux données de santé les mesures renforcées suivantes :
- Chiffrement AES-256 au repos, TLS 1.3 en transit
- Authentification multi-facteurs disponible et recommandée
- Permissions granulaires par rôle (kiné ≠ coach ≠ admin)
- Audit trail intégral et immuable de chaque accès et modification
- Pseudonymisation pour les analyses statistiques agrégées
- Cloisonnement strict des données par club (Row-Level Security activée sur 100 % des tables)
- Sauvegardes chiffrées quotidiennes avec rétention de 30 jours
- Plan de continuité d'activité et de reprise après sinistre
7. Durée de conservation
| Type de donnée | Durée |
|---|
| Dossier médical du joueur (compte actif) | Pendant toute la durée du contrat club |
| Dossier médical après départ du joueur du club | Conservation par le club (responsable du traitement). InjuryLab assure l'archivage technique tant que le club reste client. |
| Dossier médical après résiliation du contrat club | Restitution intégrale au club sous 30 jours, puis suppression définitive sous 60 jours |
| Données pseudonymisées à fins de recherche | Sur consentement explicite uniquement, durée définie au cas par cas |
8. Droits spécifiques des personnes concernées
En tant que joueur, athlète ou patient suivi sur InjuryLab, vous disposez des droits suivants concernant vos données médicales :
- Accès intégral à votre dossier médical numérique
- Rectification des données inexactes
- Portabilité dans un format structuré (JSON, PDF)
- Effacement, sous réserve des obligations de conservation incombant au professionnel de santé
- Opposition à certains traitements non essentiels
- Retrait du consentement à tout moment
- Réclamation auprès de la CNIL (www.cnil.fr)
Pour exercer ces droits, contactez :
DPO InjuryLab · dpo@injurylab.fr
Ou directement le médecin / kinésithérapeute responsable de votre suivi au sein du club.
9. Analyse d'impact (AIPD)
Conformément à l'article 35 du RGPD, une Analyse d'Impact relative à la Protection des Données (AIPD / DPIA) a été réalisée pour le traitement des données de santé sur InjuryLab. Elle est tenue à disposition des autorités compétentes et peut être communiquée aux clubs clients sur demande motivée.
10. Notification de violation de données
En cas de violation de données de santé susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, InjuryLab s'engage à :
- Notifier la CNIL dans les 72 heures suivant la prise de connaissance (art. 33 RGPD)
- Informer sans délai le club client (responsable de traitement)
- Communiquer aux personnes concernées si le risque est élevé (art. 34 RGPD)
- Documenter l'incident et les mesures correctives prises
11. Convention de sous-traitance
Une convention de sous-traitance type, conforme à l'article 28 du RGPD, est intégrée aux Conditions Générales de Vente d'InjuryLab. Elle peut être communiquée séparément sur simple demande à dpo@injurylab.fr.
12. Contact DPO
Délégué à la Protection des Données
Nicolas Rossi
Email : dpo@injurylab.fr
Adresse postale : INJURYLAB SAS, [adresse], À l'attention du DPO