Politique de confidentialité

1. Introduction

La présente politique de confidentialité explique quelles données sont collectées sur le site thomasmr.fr, pourquoi elles le sont, comment elles sont traitées et quels sont vos droits, conformément au Règlement général sur la protection des données (RGPD — UE 2016/679).

2. Responsable du traitement

Thomas Marfaing-Rebours
Contact : thomas@thomasmr.fr

Aucun délégué à la protection des données (DPO) n’a été désigné.

3. Données collectées

3.1 Mesure d’audience

Le site utilise Matomo Analytics, solution open source auto-hébergée, pour mesurer son audience.

Matomo est configuré sans cookies et sans collecte de données personnelles identifiantes.

• Pages consultées et durée de navigation
• Type d’appareil et navigateur utilisé
• Origine géographique approximative (pays, région)
• Source de trafic

Ces données ne permettent pas d’identifier personnellement un utilisateur. Elles sont stockées exclusivement sur les serveurs de l’hébergeur o2switch (France) et ne sont ni vendues ni transmises à des tiers.

Cette configuration est exemptée de consentement préalable conformément aux recommandations de la CNIL.

3.2 Espace professionnel SAMU

Un espace professionnel est réservé aux personnels des SAMU. Il donne accès à la carte des zones d'atterrissage héliSMUR et au synoptique SMUR avancé.

Données collectées lors d'une demande d'accès :

• Prénom et nom
• Adresse e-mail professionnelle nominative
• SAMU de rattachement et établissement hospitalier
• Déclaration sur l'honneur d'appartenance à un SAMU
• Consentement au traitement des données (horodatage)
• Date et heure de la demande

Seules les adresses e-mail professionnelles nominatives sont acceptées. Les adresses issues de domaines personnels (Gmail, Yahoo, etc.) sont refusées automatiquement.

Données collectées lors des connexions :

• Adresse e-mail (identifiant de connexion)
• Mot de passe haché en bcrypt (jamais stocké en clair)
• Horodatage de la dernière connexion
• Jeton de session sécurisé (cookie httpOnly, secure, SameSite=Lax)
• Jeton « se souvenir de moi » optionnel (durée 30 jours)

Un code à usage unique (OTP) à 6 chiffres est envoyé par e-mail à chaque connexion. Ce code est valable 5 minutes et n'est pas conservé après utilisation.

Les données de session synoptique saisies par un utilisateur connecté (agents, vecteurs, missions) sont conservées sans limite de durée tant que le compte est actif, et supprimables à tout moment sur demande.

4. Finalités et bases légales

Mesure d’audience

• Finalité : amélioration du site et analyse de l’utilisation
• Base légale : intérêt légitime

Gestion des accès à la carte des DZ

• Finalité : vérification de l’appartenance professionnelle et gestion des comptes
• Base légale : intérêt légitime

Aucune donnée n’est utilisée à des fins commerciales ou publicitaires.

5. Destinataires des données

Les données collectées sont exclusivement accessibles au responsable du traitement.

L’hébergement du site est assuré par la société o2switch, agissant en qualité de sous-traitant au sens du RGPD.

Aucune donnée n’est transmise à des tiers.

6. Cookies et stockage local

Le site n’utilise aucun cookie de traçage.

Matomo est configuré en mode sans cookie. Aucune bannière de consentement n’est requise.

Des données techniques minimales peuvent être stockées dans le localStorage du navigateur (préférences d’affichage, état de navigation). Ces données restent locales.

7. Hébergement et transferts de données

Toutes les données sont hébergées en France par o2switch.

Aucun transfert de données hors de l’Union européenne n’est effectué.

8. Durée de conservation

• Données d’audience : 13 mois
• Données d’accès carte des DZ : suppression dans les 12 mois après la dernière connexion ou sur demande

9. Sécurité

• Mots de passe hachés en bcrypt (facteur de coût 12) ; mot de passe en clair jamais conservé
• Authentification à deux facteurs par code OTP à 6 chiffres à chaque connexion
• Cookies de session sécurisés (httpOnly, Secure, SameSite=Lax)
• Accès aux fichiers de données restreint côté serveur (.htaccess)
• Chiffrement des échanges (HTTPS / TLS)
• Validation manuelle de chaque demande d'accès
• Acceptation réservée aux adresses e-mail professionnelles nominatives
• Journalisation des consentements RGPD

Une attention particulière est portée à la sécurisation des données compte tenu du caractère sensible des informations liées aux dispositifs de secours héliportés.

10. Droits des utilisateurs

• Droit d’accès
• Droit de rectification
• Droit à l’effacement
• Droit d’opposition
• Droit à la limitation du traitement

Pour exercer vos droits : thomas@thomasmr.fr

Vous pouvez introduire une réclamation auprès de la CNIL : www.cnil.fr

11. Données de santé

• Aucune donnée patient n’est collectée
• Aucune donnée saisie n’est transmise au serveur
• Calculs réalisés localement dans le navigateur

12. Modification de la politique

Cette politique peut être modifiée à tout moment. La date de mise à jour est indiquée en haut de page.

Les utilisateurs disposant d’un accès à la carte des DZ seront informés en cas de modification substantielle.