Politique de confidentialité — Générations Médecins

1 Responsables de traitement

La plateforme de mobilisation couvre plusieurs professions de santé. Selon la page sur laquelle vous vous trouvez, le responsable du traitement de vos données est différent.

Générations Médecins Île-de-France (association loi 1901, déclarée en préfecture) est responsable de traitement pour :

La plateforme Médecins en Grève accessible via greve.html ;
L'infrastructure technique commune (hébergement, base de données, sécurité) pour l'ensemble du hub interprofessionnel.

Contact : rgpd@generations-medecins.fr

Les organisations partenaires (syndicats et associations professionnelles référencés dans le hub) sont co-responsables de traitement pour leurs plateformes respectives, accessibles via mobilisation-org.html?org=…. Chaque organisation partenaire est identifiée sur sa page, avec ses propres coordonnées de contact RGPD. Générations Médecins Île-de-France agit en tant qu'opérateur technique en leur nom.

2 Ce que nous collectons

Nous appliquons le principe de minimisation des données : nous ne collectons que ce qui est strictement nécessaire à la finalité de la plateforme (enregistrement d'une participation à une mobilisation collective et émission d'une attestation).

Donnée	Nature	Obligatoire ?	Finalité
Empreinte SHA-256 de l'identifiant professionnel (RPPS, ADELI ou FINESS)	Hachage cryptographique irréversible — le vrai identifiant ne quitte jamais votre appareil	Obligatoire	Vérifier l'unicité de la participation ; prévenir les doublons
Code postal d'exercice	5 chiffres, stocké en base	Optionnel	Statistiques géographiques agrégées de la mobilisation
Adresse e-mail	Transmise lors de l'envoi de confirmation, jamais stockée en base de données	Optionnel	Envoi unique de l'attestation de participation
Référence de participation	Identifiant généré par le système (ex : GM-GREVE-2025-XXXX), communiqué à l'utilisateur	—	Permettre l'exercice des droits RGPD ; constituer une preuve de participation
Horodatage	Date et heure de la déclaration (UTC)	—	Intégrité du registre de participation

Nous ne collectons pas votre nom, prénom, adresse postale, numéro de téléphone, spécialité médicale détaillée, ni aucune donnée de santé au sens de l'article 9 du RGPD.

3 Architecture privacy by design

La conception de la plateforme intègre la protection de la vie privée dès son architecture (privacy by design), conformément à l'article 25 du RGPD.

Le hachage SHA-256 : comment ça marche ?

Votre identifiant professionnel (RPPS pour les médecins, ADELI pour les paramédicaux, FINESS pour les structures) est transformé, dans votre navigateur, en une empreinte numérique de longueur fixe appelée hachage. Cette opération est réalisée par la fonction cryptographique SHA-256 — la même technologie que celle utilisée dans les transactions bancaires.

L'empreinte obtenue ressemble à : e3b0c44298fc1c149afb…

Cette transformation est irréversible : il est mathématiquement impossible de retrouver votre identifiant d'origine à partir de l'empreinte. Seule l'empreinte est envoyée à nos serveurs — votre vrai identifiant ne quitte jamais votre appareil.

L'empreinte nous permet uniquement de détecter si une même personne tente de s'enregistrer deux fois, sans jamais connaître son identité réelle.

De même, votre adresse e-mail n'est jamais écrite en base de données. Elle est utilisée, le temps d'un envoi, pour vous faire parvenir votre attestation, puis immédiatement abandonnée. Seule la référence de participation est conservée.

4 Comment exercer vos droits

Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants concernant vos données :

Droit d'accès — savoir quelles données associées à votre participation sont enregistrées ;
Droit de rectification — corriger des données inexactes (ex : code postal) ;
Droit à l'effacement — demander la suppression de votre participation du registre ;
Droit à la limitation du traitement — geler l'utilisation de vos données en cas de litige ;
Droit d'opposition — vous opposer à un traitement particulier.

Comment exercer un droit ?

Munissez-vous de votre référence de participation (format : GM-GREVE-2025-XXXX), qui vous a été communiquée lors de votre enregistrement.
Envoyez votre demande par e-mail à rgpd@generations-medecins.fr en indiquant votre référence et le droit que vous souhaitez exercer.
Nous accuserons réception et traiterons votre demande dans un délai maximum d'un mois (délai susceptible d'être prolongé à trois mois pour les demandes complexes, avec information préalable).

Pourquoi la référence de participation est-elle nécessaire ? Comme nous ne conservons pas votre identifiant ni votre e-mail, la référence est le seul moyen de vous relier à votre enregistrement sans compromettre l'anonymisation du système.

5 Durée de conservation

Les données de participation sont conservées pour la durée de la campagne de mobilisation concernée, prolongée d'un an après sa clôture, afin de permettre l'exercice de vos droits et de constituer un registre probant.

À l'issue de cette période, les données sont supprimées de façon définitive ou anonymisées de manière irréversible (agrégation statistique sans possibilité de ré-identification).

L'adresse e-mail, lorsqu'elle est fournie, n'est pas soumise à cette durée de conservation : elle est abandonnée immédiatement après l'envoi de l'attestation de participation, conformément à notre engagement de ne pas la stocker.

6 Sécurité et hébergement

La base de données et les services d'authentification sont hébergés par Supabase, dont les infrastructures sont situées dans l'Union européenne (région eu-west). Supabase est sous-traitant de traitement au sens de l'article 28 du RGPD, lié par un accord de traitement des données conforme au RGPD.

Les mesures techniques de sécurité mises en œuvre comprennent notamment :

Chiffrement des données en transit (HTTPS/TLS 1.3) ;
Chiffrement des données au repos (AES-256) ;
Authentification par tokens JWT à courte durée de vie ;
Règles d'accès en base de données par politiques de sécurité au niveau des lignes (Row Level Security) ;
Hachage SHA-256 côté navigateur, avant toute transmission réseau.

En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à notifier la CNIL dans les 72 heures conformément à l'article 33 du RGPD, et à vous en informer si le risque est élevé.

7 Cookies et traceurs

Cette plateforme n'utilise aucun cookie tiers, aucun outil d'analyse comportementale (type Google Analytics, Matomo, Hotjar…) et aucun pixel de suivi publicitaire.

Un seul cookie est susceptible d'être déposé : le cookie de session de Supabase Auth. Ce cookie est :

First-party — émis par notre domaine uniquement ;
HttpOnly — inaccessible aux scripts JavaScript, pour limiter les risques de vol de session ;
Secure — transmis uniquement via HTTPS ;
Strictement fonctionnel — il ne sert qu'à maintenir la session de l'utilisateur authentifié et n'est pas utilisé à des fins de traçage ou de profilage.

Ce cookie relevant de la catégorie des cookies strictement nécessaires au fonctionnement du service, il ne nécessite pas de consentement préalable (article 82 de la loi Informatique et Libertés / ligne directrice CNIL).

8 Modifications de cette politique

Cette politique de confidentialité peut être mise à jour pour refléter des évolutions réglementaires, techniques ou organisationnelles. La date de dernière mise à jour est indiquée en haut de ce document.

En cas de modification substantielle affectant vos droits, nous en informerons les utilisateurs par un avertissement visible sur la plateforme avant l'entrée en vigueur des changements.

9 Contact & réclamation

Pour toute question relative à la présente politique ou à l'exercice de vos droits, contactez notre référent protection des données :

✉️

Générations Médecins Île-de-France — Référent RGPD

E-mail : rgpd@generations-medecins.fr

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de l'autorité de contrôle compétente :

🏛️

Commission Nationale de l'Informatique et des Libertés (CNIL)

3 place de Fontenoy, 75007 Paris

Site web : www.cnil.fr