Déclaration de protection des données
DOCumenter SA (CHE-452.039.721)
Version 1.2 — Avril 2026
1. Champ d'application
La présente déclaration décrit la manière dont DOCumenter SA, société anonyme de droit suisse ayant son siège à Épalinges (VD), Suisse (ci-après « DOCumenter »), traite des données personnelles :
- sur son site web public accessible à l'adresse https://documenter.ch/ (le « Site ») ;
- sur son application mobile, accessible depuis le Google Play ou l'App Store (l' « Application ») ; et
- dans le cadre de la plateforme DOCumenter destinée aux professionnels de santé (la « Plateforme »).
Elle s'applique que les données personnelles soient collectées directement auprès de la personne concernée ou reçues via un tiers (notamment l'employeur de l'Utilisateur). Elle vise à décrire les informations que nous traitons, l'utilisation qui en est faite et les mesures que nous prenons pour les protéger.
La présente Déclaration de protection des données est incorporée dans les Conditions générales d'utilisation de DOCumenter et leur est soumise.
2. Définitions
| Responsable du traitement | La personne privée, l'autorité publique ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données personnelles. |
|---|---|
| Sous-traitant | Une personne physique ou morale qui traite des données personnelles pour le compte et selon les instructions du responsable du traitement. |
| Cookie | Un traceur (fichier) déposé et/ou lu sur le terminal de l'utilisateur (ordinateur, smartphone, tablette, etc.) lors de la consultation d'un site web, permettant de stocker ou d'accéder à des informations relatives à la navigation. |
| Données personnelles | Toutes les informations concernant une personne physique identifiée ou identifiable. |
| Données personnelles sensibles | Données personnelles se rapportant notamment à la santé, la sphère intime, l'origine raciale ou ethnique, les données génétiques, biométriques, les données sur des mesures d'aide sociale ou sur des poursuites ou sanctions pénales et administratives. |
| Traitement | Toute opération relative à des données personnelles, quels que soient les moyens et procédés utilisés, notamment la collecte, l'enregistrement, la conservation, l'utilisation, la modification, la communication, l'archivage, l'effacement ou la destruction de données. |
| Plateforme | Application SaaS (Software as a Service) de documentation médicale assistée par intelligence artificielle, comprenant les fonctionnalités de transcription vocale médicale, d'analyse de documents, de génération de rapports médicaux, de renommage intelligent de fichiers et d'assistance TARDOC, accessible via interface web et applications mobiles. |
| Visiteur | La personne physique qui se rend sur le Site, soumet ses données personnelles via un formulaire de contact, nous envoie un e-mail, ou pour laquelle des cookies ont été mis en œuvre. |
| Client | Le professionnel de santé, le cabinet ou l'établissement médical partie au Contrat, qui souscrit l'Abonnement et gère la distribution des accès aux Utilisateurs. |
| Utilisateur | Toute personne physique autorisée par le Client à accéder à la Plateforme dans le cadre de l'Abonnement souscrit. L'Utilisateur peut être le Client lui-même. |
| Personne concernée | La personne physique dont les données personnelles font l'objet d'un traitement. |
3. Responsable et contact
DOCumenter SA agit en deux qualités distinctes :
- Responsable du traitement pour les données de ses Clients et Utilisateurs (données de compte, de facturation, d'utilisation, de support et de navigation sur le Site).
- Sous-traitant au sens de l'art. 5 let. k nLPD et de l'art. 28 RGPD pour les données personnelles des patients traitées via la Plateforme pour le compte du Client, qui en demeure le Responsable du traitement.
Coordonnées du responsable :
DOCumenter SA
Route de la Corniche 3a
1066 Épalinges, Suisse
E-mail : privacy@documenter.ch
4. Principes généraux
DOCumenter applique une approche de minimisation et de protection des données dès la conception (« Privacy by Design ») et par défaut (« Privacy by Default »). En particulier, la Plateforme est architecturée selon un modèle « stéthoscope » qui garantit qu'aucune donnée personnelle de patient n'est stockée, consultée ou conservée de manière persistante par DOCumenter. Le cas spécifique du partage entre appareils initié par l'Utilisateur est décrit à l'art. 10.1.
Nos collaborateurs sont tenus à la confidentialité. Nous mettons en place des mesures techniques et organisationnelles appropriées afin de protéger les données personnelles contre toute destruction, perte, altération, divulgation, accès ou tout autre traitement non autorisé, qu'il soit accidentel ou illicite.
4.1 Modèle « stéthoscope »
La Plateforme est architecturée selon un modèle dit « stéthoscope » : les données médicales sont transmises chiffrées à nos serveurs, puis déchiffrées de manière éphémère en mémoire vive (RAM) uniquement pendant le traitement par les modèles d'intelligence artificielle. Le résultat est renvoyé au Client sous forme chiffrée, puis la mémoire est immédiatement purgée. Aucune donnée médicale, aucun contenu de document, aucune transcription, aucun rapport généré et aucune métadonnée identifiante ne sont jamais écrits sur disque ni conservés de manière persistante par DOCumenter. En conséquence, DOCumenter n'est techniquement pas en mesure de récupérer a posteriori ces données, ni de les communiquer dans le cadre d'une réquisition portant sur des traitements passés.
5. Données personnelles des patients
Le médecin (ou le cabinet/établissement médical) est seul responsable du traitement des données personnelles dans le cadre de la relation thérapeutique qui le lie à son patient. Les données de santé sont des données personnelles sensibles au sens de l'art. 5 let. c ch. 2 nLPD.
Le médecin (ou le cabinet/établissement médical) est seul habilité à recueillir les données personnelles du patient (avec le consentement de celui-ci, dans la forme admise par l'usage médical), consulter et conserver ces données, ou, de manière générale, à les traiter.
La Plateforme est un outil d'assistance au travail du médecin. Elle ne remplace pas le jugement clinique ni la responsabilité professionnelle du médecin.
Le médecin demeure seul responsable :
- des conseils, informations et décisions médicales communiqués au patient ; et
- de la vérification de l'exactitude, de la pertinence et de la conformité des contenus, suggestions ou résultats générés par la Plateforme au regard de son expertise médicale
IMPORTANT : DOCumenter SA ne fournit pas de conseils médicaux et la Plateforme ne constitue pas un dispositif destiné à poser un diagnostic, prescrire un traitement ou se substituer à un professionnel de santé.
6. Données traitées et finalités
Selon les cas, nous traitons des données personnelles notamment :
- Pour exécuter un contrat ou fournir un service demandé ;
- Sur la base d'un intérêt prépondérant (sécurité, prévention des abus, amélioration)
- Pour respecter des obligations légales
Nous distinguons le Site web public, la Plateforme, et l'Application.
6.1 Site web public
Lorsque vous consultez le Site, nous pouvons traiter des données personnelles techniques usuelles, notamment :
- Adresse IP (anonymisée), date/heure d'accès, informations sur le navigateur et le système d'exploitation
- Données nécessaires à la sécurité et au bon fonctionnement (journaux/logs)
Finalités :
- Assurer l'affichage, la stabilité, la sécurité et l'amélioration du Site
- Analyser l'usage du Site au moyen d'outils d'analyse, avec des données anonymisées
- Répondre aux demandes des visiteurs (formulaire de contact, demande de démonstration, e-mails)
6.2 Plateforme DOCumenter
6.2.1 Données de compte et relation client
Nous traitons les données personnelles nécessaires à l'exécution du contrat :
| Identité et coordonnées | Nom, prénom, e-mail, numéro de téléphone, cabinet/établissement de santé |
|---|---|
| Informations contractuelles | Date et heure de conclusion, acceptation électronique des CGUA (horodatage, version) |
| Accès et authentification | Identifiants de connexion, rôles et droits d'accès |
| Facturation | Plan tarifaire, informations de paiement, historique des factures |
| Support | Communications et demandes d'assistance |
Finalités :
- Création et gestion du compte, authentification et administration des accès
- Fourniture du service et assistance
- Gestion contractuelle et facturation
- Prévention des abus et sécurité
6.2.2 Données d'utilisation (monitoring et fair use)
Pour assurer le fonctionnement du service, la sécurité et le respect des limites d'utilisation raisonnable (« fair use ») prévues par l'Abonnement souscrit, nous conservons :
| Donnée | Finalité |
|---|---|
| Nombre de requêtes par utilisateur | Monitoring et application du fair use |
| Durée des transcriptions (par heure) | Monitoring et application du fair use |
| Métadonnées d'utilisation | Timestamps, types de requêtes (sans contenu) |
| Logs techniques | Erreurs système, performance, debugging |
Ces données ne sont pas utilisées pour une facturation variable : les Abonnements sont à tarif forfaitaire. Elles servent exclusivement à détecter et prévenir les usages abusifs ou disproportionnés au sens de l'art. 5.2 des CGUA.
6.2.3 Logs et sécurité
Nous conservons des journaux (logs) nécessaires à la sécurité, à l'exploitation et au diagnostic d'incidents :
- Événements de connexion et d'authentification
- Logs techniques (erreurs, performance)
- Éléments nécessaires à la détection d'abus et à la protection du service
Finalités :
- sécurité, prévention et investigation d'incidents,
- stabilité et maintenance de la Plateforme.
Ces logs ne contiennent JAMAIS de données médicales ou de contenu patient.
Exemple de log :
2026-01-15 14:32:11 INFO userid=1247 action=generatereport doccount=3 lengthsent=10350 length_received=2239 duration=4.2 status=success
Ce qui n'apparaît PAS : noms de patients, contenu des documents, texte des transcriptions.
6.2.4 Données patients
Les données personnelles des patients sont des données personnelles sensibles au sens de la nLPD.
La Plateforme est conçue de manière à ce que :
- Les données personnelles sont récoltées par le professionnel de santé, qui les inscrit ou transfère sur la Plateforme (localement)
- Les données personnelles transitent via nos serveurs (exclusivement en Suisse) sous forme chiffrée
- Le traitement s'effectue uniquement en mémoire vive (RAM), sans stockage permanent
- Les résultats sont renvoyés au professionnel de santé sous forme chiffrée
- La RAM est immédiatement purgée
- Le dossier patient est conservé chez le médecin, localement (jamais chez DOCumenter)
- En cas de partage entre appareils initié par l'Utilisateur, les données chiffrées peuvent transiter et être stockées pendant 24 heures au maximum chez iCure SA, conformément à l'art. 10.1
7. Cookies et analyse d'audience
Le Site utilise un seul cookie strictement nécessaire.
Liste exhaustive :
- Cookie de maintien de session
Vous pouvez configurer votre navigateur pour bloquer ou supprimer les cookies. La fonctionnalité « se souvenir de moi » du Site sera alors limitée.
Pour l'analyse d'audience, nous utilisons un outil d'analyse hébergé sur notre propre infrastructure suisse respectueux de la vie privée qui :
- Ne dépose aucun cookie sur votre appareil
- Ne collecte aucun identifiant personnel
- Ne permet aucun suivi inter-sites
- Agrège les données de manière anonyme (aucun profil individuel)
Les données collectées (pages vues, référent, type d'appareil, pays) sont utilisées uniquement pour comprendre l'usage global du Site, sans possibilité d'identifier un visiteur individuel.
8. Durée de conservation
Nous conservons les données personnelles uniquement pendant la durée nécessaire aux finalités poursuivies, puis les détruisons. Les données médicales ne sont pas conservées
8.1 Plateforme
| Type de données | Durée de conservation | Base légale |
|---|---|---|
| Données de compte (email, nom, organisation) | Durée du contrat, puis suppression dans les 30 jours | Principe de minimisation (art. 6 al. 4 nLPD) |
| Données de facturation (factures, paiements) | 10 ans après la fin de l'exercice | Art. 958f CO (obligation légale) |
| Logs d'authentification (connexion, déconnexion) | 1 an (glissant) | Art. 4 OPDo + bonnes pratiques sécurité |
| Logs d'accès/sécurité | 1 an (glissant) | Art. 4 OPDo + capacité d'investigation |
| Logs applicatifs (erreurs, performance) | 90 jours | Proportionnalité (finalité debugging) |
| Documentation des incidents de sécurité | 2 ans après l'annonce au PFPDT | Art. 15 al. 4 OPDo (obligation légale) |
| Données médicales/patients | 0 seconde (jamais stockées) | Architecture stéthoscope |
Les dossiers patients (données médicales) sont conservés chez le médecin, conformément à ses obligations légales et professionnelles. DOCumenter n'a aucune capacité de conservation de ces données.
Sans action de la part de l'utilisateur sur le compte, le compte et ses données personnelles (hors données de facturation) seront supprimés dans les 30 jours suivant la fin du contrat.
8.2 Site web
Les données de navigation et logs du Site sont conservés pendant une durée proportionnée aux finalités de sécurité et d'exploitation :
| Type de données | Durée de conservation |
|---|---|
| Logs de navigation (IP, pages consultées) | 12 mois maximum |
| Cookies de session | Durée de la session |
Les données sont anonymisées ou détruites à l'expiration de ces délais.
9. Destinataires et accès
Seuls nos collaborateurs ont accès aux données personnelles des Utilisateurs, pour autant que cet accès soit justifié pour exploiter, sécuriser et maintenir nos services (principe du « need to know »).
Les données que nous stockons (voir §8.1) le sont pour la facturation et la bonne exécution du service. Elles ne sont ni vendues ni transférées à des tiers.
Concernant les données patients : par conception technique, nos collaborateurs n'ont aucun accès aux données médicales ou au contenu des documents traités. Même notre équipe technique ne peut pas accéder à ces informations car elles n'existent que de manière éphémère en RAM pendant le traitement.
10. Sous-traitants et prestataires
10.1 Sous-traitant ultérieur
Le seul sous-traitant ultérieur intervenant dans le cadre des Services est :
| Sous-traitant | Localisation | Service fourni | Accès aux données |
|---|---|---|---|
| iCure SA | Épalinges, VD (Suisse) | Framework de sécurité backend et messagerie chiffrée de bout en bout | Aucun accès en clair. Les données chiffrées transitent par ses serveurs. Aucun stockage n'intervient par défaut ; lorsque l'Utilisateur initie lui-même un partage entre ses appareils, les données chiffrées peuvent y être stockées temporairement, pour une durée maximale de 24 heures, uniquement le temps du transfert. |
10.2 Infrastructure de traitement (100% propriétaire)
Le traitement des données médicales (transcription, analyse de documents, génération de rapports, assistance TARDOC) est effectué exclusivement sur l'infrastructure propriétaire de DOCumenter, située en Suisse. DOCumenter n'a recours :
- à aucun fournisseur cloud tiers (AWS, Google Cloud, Microsoft Azure ou équivalent) ;
- à aucune API d'intelligence artificielle externe (OpenAI, Anthropic, Google, Mistral ou équivalent) ;
- à aucun autre tiers pour le traitement, l'analyse ou l'inférence des données médicales.
Les modèles d'intelligence artificielle sont exécutés localement sur nos serveurs GPU hébergés dans un datacenter suisse.
10.3 Autres prestataires d'infrastructure
DOCumenter fait également appel aux prestataires suivants, qui n'ont aucun accès aux données médicales (ni en clair, ni chiffrées) et qui ne sont donc pas qualifiés de sous-traitants au sens de la nLPD ou du RGPD :
| Prestataire | Localisation | Service fourni | Accès aux données médicales |
|---|---|---|---|
| Edificom @ BrainServe SA | Crissier, VD (Suisse) | Colocation bare-metal, datacenter Tier IV | Aucun — hébergement physique uniquement, aucun accès logique aux serveurs ni aux données |
| Payrexx SA | Thun, BE (Suisse) | Passerelle de paiement | Aucun — données de paiement uniquement, jamais de données médicales |
11. Territorialité et transferts
11.1 Infrastructure 100% suisse
Les données personnelles collectées par DOCumenter SA transitent sur nos serveurs propriétaires situés exclusivement en Suisse :
| Composant | Localisation |
|---|---|
| Serveurs de traitement | BrainServe Datacenter, Crissier (VD) |
| Serveurs GPU (IA) | BrainServe Datacenter, Crissier (VD) |
| Serveurs de backup (données de compte) | Suisse |
Pour les Clients établis dans l'Union européenne, les transferts de données personnelles vers la Suisse sont couverts par la décision d'adéquation de la Commission européenne reconnaissant un niveau de protection adéquat des données personnelles en Suisse.
12. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées afin de protéger les Données personnelles contre l'accès non autorisé, la perte, l'altération ou la divulgation. Ces mesures s'inspirent des bonnes pratiques de la norme ISO 27001 et comprennent notamment :
- Chiffrement des données : chiffrement de bout en bout des communications entre l'Utilisateur et la Plateforme (TLS 1.3), chiffrement au repos des données de compte et de facturation (AES-256), chiffrement applicatif des données patients transitant par iCure SA.
- Contrôles d'accès : authentification forte pour les Utilisateurs, séparation stricte des rôles, principe du « need to know » pour les collaborateurs, journalisation des accès privilégiés.
- Journalisation et supervision : logs d'authentification et d'accès conservés selon l'art. 8.1, surveillance continue de l'infrastructure, alertes automatiques en cas d'anomalie.
- Sécurité des infrastructures : datacenter suisse de classe Tier IV avec contrôles d'accès physiques 24/7, redondance électrique et climatique, serveurs bare-metal propriétaires, pare-feu applicatifs et réseau.
- Sécurité du personnel : engagement de confidentialité contractuel (couvrant la durée de l'engagement et se prolongeant au-delà), sensibilisation et formation régulière à la protection des données, vérification d'antécédents pour les fonctions sensibles.
- Gestion des incidents : plan de réponse formalisé, procédure de notification conforme à l'art. 24 nLPD (et aux art. 33-34 RGPD pour les Clients concernés), conservation des preuves techniques.
- Continuité d'activité : sauvegardes chiffrées des données de compte, plan de reprise après sinistre, tests de restauration périodiques.
13. Droits de la personne concernée
Toute personne concernée a le droit d'accéder à ses Données personnelles traitées par DOCumenter et de demander leur modification, ou leur suppression si elles sont incorrectes ou inutiles.
13.1 Utilisateurs
Les demandes peuvent être adressées à : privacy@documenter.ch
Les demandes devront être accompagnées de :
- Une copie de la pièce d'identité de la personne concernée
- Toute information permettant de vérifier que la personne concernée est bien titulaire des données demandées
13.2 Patients
Pour les demandes relatives aux Données personnelles d'un patient, le point de contact est le médecin/cabinet, en raison de sa qualité de responsable du traitement et du secret professionnel.
DOCumenter ne pouvant pas accéder aux Données personnelles des patients, elle ne peut pas répondre directement à des demandes portant sur les Données personnelles des patients.
14. Modifications
La présente déclaration peut être mise à jour, notamment en cas d'évolution de nos services ou du cadre légal. La version applicable est celle publiée sur nos supports officiels.
En cas de modification substantielle :
- Une communication sera transmise aux Utilisateurs
- Les Utilisateurs bénéficieront d'un délai de 30 jours pour s'y opposer
- En cas d'opposition dans ce délai, le Client pourra résilier son Abonnement pour la fin de la période en cours, conformément à l'art. 13.4 des CGUA
- À défaut d'opposition, les modifications seront réputées tacitement acceptées
Les modifications mineures (corrections typographiques, clarifications sans impact sur les droits) peuvent être effectuées sans notification préalable.
15. Droit applicable et for
La présente déclaration est soumise au droit suisse. Tout litige au sujet de la présente Déclaration sera soumis aux tribunaux de Lausanne.
Avril 2026 — DOCumenter SA
Pour toute question : privacy@documenter.ch