Confidentialité et protection des données
Politique de protection des données pour le site urgapp.b-open.be et l'application URG'app. Conforme au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679).
En une phrase : aucune donnée clinique ni aucune donnée identifiante de patient n'est jamais transmise aux serveurs d'URG'app. L'application fonctionne entièrement sur l'appareil du praticien, hors ligne après le premier chargement.
1. Deux périmètres distincts
Pour être lisible, ce document distingue soigneusement deux périmètres :
- Le site web urgapp.b-open.be (pages de présentation, mentions légales, cette page) — hébergé sur un serveur web standard.
- L'application urgapp.b-open.be/app/ (la PWA installable) — téléchargée une fois, puis exécutée localement sur le smartphone du praticien.
Ces deux périmètres ont des logiques radicalement différentes en matière de données.
2. Données traitées par le site web
Quand un visiteur consulte les pages publiques de urgapp.b-open.be (celles qui ne sont pas sous /app/), un certain nombre de données techniques transitent par le serveur, comme pour tout site web classique :
- Adresse IP
- Consignée dans les journaux techniques du serveur web (nginx). Usage : détection d'abus, diagnostic d'incident.
- User-agent
- Type de navigateur et de système d'exploitation, pour adaptation technique.
- URL consultée + date/heure
- Information technique standard.
- Durée de conservation
- 90 jours maximum, puis purge automatique.
- Base légale
- Intérêt légitime (article 6.1.f RGPD) — sécurité informatique et diagnostic.
Le site n'utilise aucun outil d'analyse d'audience (pas de Google Analytics, pas de Matomo, pas de pixel de suivi). Les polices de caractères (DM Sans, JetBrains Mono) sont chargées depuis Google Fonts, ce qui implique une requête HTTP vers les serveurs de Google lors de l'affichage des pages publiques — Google peut collecter ces informations techniques selon sa propre politique.
Le site n'utilise aucun cookie à des fins de traçage, d'analyse ou de marketing. Aucun cookie n'est déposé sur le navigateur du visiteur par les pages de présentation.
3. Données traitées par l'application URG'app
Principe fondamental : l'application ne transmet aucune donnée clinique au serveur. Après le téléchargement initial, l'intégralité de son fonctionnement a lieu sur le smartphone du praticien, y compris la recherche de médicaments, les calculs, l'enregistrement et l'archivage des cas.
3.1. Données enregistrées localement par l'application
L'application enregistre localement (dans IndexedDB, une base de données du navigateur, sur l'appareil du praticien) les éléments suivants pour chaque cas :
- Timers (durées no-flow, low-flow, cycles)
- Rythmes cardiaques constatés (FV, TV, AESP, asystolie…)
- Chocs administrés
- Médicaments administrés (DCI, dose, voie)
- Actes techniques effectués
- Constantes vitales (FR, SpO2, TA, FC, glycémie, température)
- Scores médicaux calculés
- Informations contextuelles sur le patient : sexe estimé, âge estimé, poids estimé, antécédents pertinents, allergies connues
L'application ne stocke aucune donnée identifiante directe du patient : ni nom, ni prénom, ni numéro de registre national, ni numéro de dossier médical, ni adresse, ni date de naissance précise. Le principe de minimisation (article 5.1.c RGPD) est appliqué par conception (privacy by design).
3.2. Transmission des données : aucune
Les données enregistrées dans l'application ne quittent jamais l'appareil du praticien par le réseau. Il n'existe aucun mécanisme de synchronisation, de cloud, de télémétrie ou de sauvegarde distante intégré à l'application.
Un mécanisme de transfert manuel (par copier-coller entre appareils) existe pour permettre au praticien de sauvegarder ou de partager un cas avec un collègue. Ce transfert passe par le presse-papiers de l'utilisateur et s'opère à son initiative explicite — aucune donnée ne transite par un serveur d'URG'app.
3.3. Protection de l'accès
Un verrouillage optionnel par code PIN (4 à 8 chiffres) et/ou biométrie (empreinte digitale, Face ID) est proposé à l'utilisateur. Lorsqu'il est activé, l'application est protégée contre un accès non autorisé à l'appareil.
En phase d'évaluation, un code d'invitation est requis au premier lancement pour limiter l'installation à un cercle de praticiens invités.
4. Rôle de chacun au sens du RGPD
Dans la mesure où l'application ne transmet aucune donnée au serveur et qu'aucun traitement de données de santé identifiantes n'est réalisé par un tiers via l'application, il n'y a pas de « responsable de traitement » ni de « sous-traitant » au sens du RGPD pour les données cliniques.
Le praticien qui utilise l'application sur son smartphone personnel est seul responsable :
- de la sécurité physique de son appareil ;
- de l'activation du verrouillage (PIN/biométrie) ;
- de l'éventuel partage ou export des données qu'il y enregistre ;
- du respect des règles déontologiques et institutionnelles de son exercice.
Pour le site web (pages publiques), le responsable de traitement est le porteur du projet, joignable via urgapp@b-open.be.
5. Vos droits
Pour les données collectées par le site web (section 2), chaque visiteur dispose des droits suivants, conformément au RGPD :
| Droit | Description |
|---|---|
| Accès | Obtenir une copie des données techniques que le serveur a loggées vous concernant. |
| Rectification | Faire corriger une information inexacte. |
| Effacement | Faire supprimer les journaux vous concernant, dans la limite des obligations de conservation. |
| Opposition | Vous opposer au traitement pour raison légitime. |
| Portabilité | Recevoir vos données dans un format structuré. |
| Réclamation | Introduire une réclamation auprès de l'Autorité de protection des données (APD Belgique). |
Pour exercer ces droits, contactez : urgapp@b-open.be. Une réponse est apportée dans un délai maximal d'un mois.
Pour les données locales enregistrées par l'application sur votre smartphone (section 3), ces droits s'exercent directement depuis l'application : l'onglet « Outils » permet à tout moment de consulter vos cas, de les exporter ou de les supprimer.
6. Transfert hors Union européenne
Le serveur qui héberge le site est situé en France, donc au sein de l'Union européenne. Aucun transfert de données hors UE n'est réalisé dans le cadre du fonctionnement standard du site.
Les polices de caractères étant chargées depuis Google Fonts, une requête HTTP vers les serveurs de Google peut transiter par une infrastructure mondiale. Les adresses IP des visiteurs peuvent alors être traitées par Google conformément à sa propre politique de confidentialité. Cette dépendance pourra être retirée dans une version ultérieure du site si elle pose problème.
7. Délégué à la protection des données
Le projet URG'app est aujourd'hui porté par une personne physique et ne dispose pas d'un délégué à la protection des données (DPO) formellement désigné — les critères qui rendent la désignation obligatoire (article 37 RGPD) ne sont pas remplis compte tenu de la nature et du volume des traitements effectués par le site.
Pour toute question relative à la protection des données : urgapp@b-open.be.
8. Sécurité
Le site est servi en HTTPS (certificat TLS délivré par Let's Encrypt). Les données techniques loggées par le serveur sont accessibles uniquement à l'administrateur technique (B-Open SRL).
L'application intègre plusieurs mécanismes de protection des données locales :
- Verrouillage optionnel par code PIN (dérivation cryptographique PBKDF2 SHA-256, 200 000 itérations) ;
- Déverrouillage biométrique additionnel (WebAuthn) sur les appareils compatibles ;
- Journal d'intégrité (chaîne SHA-256) permettant de détecter toute altération ultérieure des enregistrements ;
- Verrouillage des écritures concurrentes entre onglets pour éviter la corruption de données.
9. Évolutions
Cette politique de confidentialité est susceptible d'évoluer au fil du projet, notamment au cours du processus d'évaluation institutionnelle. La date de la dernière mise à jour figure ci-dessous. Dernière mise à jour : avril 2026.