RGPD, hébergement HDS et sécurité des données

Dans le cadre des services Nextmotion (plateforme de gestion de clinique, application de capture, connecteurs), chaque clinique cliente agit en qualité de responsable de traitement au sens de l'article 4(7) du RGPD, tandis que Nextmotion SAS agit en qualité de sous-traitant au sens de l'article 4(8) du RGPD.

Cette qualification est formalisée par l'Annexe de Protection des Données Personnelles (DPA) annexée aux Conditions Générales de Vente signées lors de la souscription, conformément à l'article 28 du RGPD.

Les données de santé à caractère personnel traitées via la plateforme Nextmotion sont hébergées conformément à l'article L.1111-8 du Code de la santé publique et au décret n° 2018-137 du 26 février 2018 relatif à l'hébergement de données de santé à caractère personnel.

Prestataire d'hébergement d'infrastructure

Les données sont hébergées par Amazon Web Services (AWS), certifié Hébergeur de Données de Santé par l'Agence du Numérique en Santé, sur les datacenters de Francfort (Allemagne) et Paris (France).

Le statut actuel de la certification HDS d'AWS, incluant le périmètre des activités couvertes et la version du référentiel (v1.1 ou v2.0), est consultable sur l'annuaire officiel de l'Agence du Numérique en Santé : esante.gouv.fr/offres-services/hds/liste-des-herbergeurs-certifies

Certification HDS de Nextmotion

Nextmotion SAS est elle-même certifiée Hébergeur de Données de Santé pour les activités d'infogérance applicative (activité 5 du référentiel HDS). Cette certification couvre le développement, la maintenance et l'administration de la plateforme Nextmotion contenant des données de santé.

Le statut actuel de la certification HDS de Nextmotion, incluant le périmètre des activités couvertes et la version du référentiel, est consultable sur l'annuaire officiel de l'Agence du Numérique en Santé : esante.gouv.fr/offres-services/hds/liste-des-herbergeurs-certifies

Transition HDS version 2.0

Le référentiel HDS version 2.0, introduit par l'Agence du Numérique en Santé en 2024, renforce les exigences de sécurité et de souveraineté applicables aux hébergeurs de données de santé. Tous les hébergeurs certifiés doivent avoir migré vers ce nouveau référentiel au plus tard le 16 mai 2026.

Nextmotion SAS, ainsi que ses prestataires d'hébergement, sont engagés dans cette transition. Le statut à jour est disponible sur l'annuaire ANS mentionné ci-dessus.

Nextmotion met en oeuvre un ensemble de mesures techniques et organisationnelles conformes à l'article 32 du RGPD et aux exigences du référentiel HDS.

Sécurité technique

• Chiffrement des données au repos
• Chiffrement des communications en transit (TLS 1.2 minimum)
• Authentification forte des utilisateurs
• Gestion granulaire des droits d'accès
• Journalisation et traçabilité des accès aux données
• Sauvegardes régulières et testées
• Plan de continuité et plan de reprise d'activité

Sécurité organisationnelle

• Formation régulière des équipes à la sécurité et au RGPD
• Engagement de confidentialité de l'ensemble des collaborateurs
• Procédure de gestion des incidents de sécurité
• Procédure de notification des violations de données
• Audits internes et externes réguliers

Gouvernance

• Désignation d'un Délégué à la Protection des Données
• Tenue d'un registre des activités de traitement
• Analyses d'impact (AIPD) pour les traitements à risque élevé
• Revue périodique des sous-traitants ultérieurs

Nextmotion propose des fonctionnalités permettant de connecter la plateforme à des assistants d'intelligence artificielle tiers, notamment via le connecteur MCP (Model Context Protocol) et les noeuds d'orchestration publiés pour n8n.

L'utilisation de ces fonctionnalités avec des données patient requiert une configuration spécifique côté clinique cliente : souscription à un abonnement Claude Team ou Enterprise, ou équivalent, signature d'un Data Processing Addendum (DPA) avec le fournisseur d'IA choisi, activation de la résidence des données en Union européenne, et mise à jour du registre RGPD et de l'analyse d'impact (AIPD).

Ces exigences sont détaillées dans la page Conformité MCP de Nextmotion, ainsi que dans l'article 11.5 des Conditions Générales de Vente.

Conformément à l'article 33 du RGPD, Nextmotion s'engage à notifier à chaque clinique cliente concernée toute violation de données à caractère personnel dans un délai maximum de 24 heures suivant sa découverte, avec les éléments nécessaires à la notification CNIL sous 72 heures qui incombe au responsable de traitement.

Les violations de données sont également notifiées à l'Agence du Numérique en Santé lorsque le référentiel HDS l'exige.

Contact incident : dpo@nextmotion.net

Les données de santé traitées via la plateforme Nextmotion sont hébergées exclusivement au sein de l'Union européenne (datacenters AWS Francfort et Paris).

Certains sous-traitants ultérieurs de Nextmotion peuvent être amenés à traiter des données depuis des pays hors Union européenne. Dans ce cas, Nextmotion encadre ces transferts par la signature de Clauses Contractuelles Types approuvées par la Commission européenne, conformément à l'article 46 du RGPD, et applique des garanties complémentaires lorsque cela est requis.

La liste des sous-traitants ultérieurs et des garanties associées figure dans l'Annexe de Protection des Données Personnelles annexée aux CGV. Elle est également disponible sur demande signée à dpo@nextmotion.net.

Les patients des cliniques utilisatrices de Nextmotion disposent de l'ensemble des droits prévus par le RGPD (accès, rectification, effacement, limitation, opposition, portabilité).

La clinique cliente, en sa qualité de responsable de traitement, est l'interlocuteur principal du patient pour l'exercice de ces droits. Nextmotion, en sa qualité de sous-traitant, apporte son assistance technique à la clinique pour répondre aux demandes, conformément à l'article 28.3(e) du RGPD.

Si un patient contacte directement Nextmotion, sa demande est transférée à la clinique responsable sans délai.

Nextmotion tient à disposition des clients qui en font la demande, sous accord de confidentialité, les documents suivants :

• Politique de sécurité des systèmes d'information
• Rapport de certification HDS (AWS et Nextmotion)
• Liste des sous-traitants ultérieurs
• Procédures de gestion des incidents
• Modèle d'analyse d'impact (AIPD)
• Data Processing Addendum (DPA)

Les demandes sont adressées à : security@nextmotion.net ou dpo@nextmotion.net

Délégué à la Protection des Données
dpo@nextmotion.net

Contact sécurité
security@nextmotion.net

Contact juridique
legal@nextmotion.net

Adresse postale
Nextmotion SAS, DPO
8 avenue Dorian
75012 Paris, France

Autorité de contrôle compétente
Commission Nationale de l'Informatique et des Libertés (CNIL)
3 place de Fontenoy, 75007 Paris
Site : www.cnil.fr