DigYcare atteste mettre en œuvre une démarche active de conformité au RGPD pour le portail DigYcare accessible à l'adresse https://DigYcare.fr. Cette démarche couvre les mesures organisationnelles, juridiques et techniques nécessaires à la protection des données personnelles, notamment les données de santé et les données bénéficiaires traitées dans le portail.

La présente attestation est évolutive. Elle doit être revue à chaque mise en production significative, à chaque changement de sous-traitant, à chaque évolution des finalités de traitement, et au minimum annuellement.

• Coordination médico-technique des parcours VHP et aides à la mobilité.
• Gestion des dossiers bénéficiaires, prescripteurs, distributeurs et structures autorisées.
• Suivi des évaluations, préconisations, essais, prescriptions, documents, signatures et exports PDF.
• Administration des catalogues articles, mercuriales, fournisseurs, parc de location et connecteurs métier.
• Journalisation de sécurité, contrôle d'accès, audit et support.

• Double authentification par code temporaire envoyé par email après saisie des identifiants.
• Mots de passe stockés sous forme de hash, jamais en clair.
• Sessions applicatives protégées par jeton signé.
• Droits limités par rôle, type de compte, structure de rattachement et permissions explicites.
• Actions sensibles journalisées : invitations, activations, connexions, changements de rôle, attributions et retraits d'accès dossier.

• Chiffrement applicatif des données bénéficiaires sensibles lorsque le champ applicatif le prévoit.
• Chiffrement du NIR par mécanisme symétrique AES-256-GCM.
• Hachage dédié du NIR avec poivre applicatif pour les contrôles de doublon sans exposition de la valeur en clair.
• Clés de chiffrement et de hachage conservées hors code source dans l'environnement sécurisé d'exploitation.
• Masquage des données sensibles dans les interfaces lorsque l'affichage complet n'est pas nécessaire.

• Hébergement HDS assuré par AZNetwork, sous réserve du périmètre contractuel signé et du certificat HDS en vigueur.
• Infogérance, supervision et maintien en condition opérationnelle encadrés par AZNetwork.
• Sauvegardes contrôlées, chiffrées lorsque le dispositif d'exploitation le prévoit, et testées périodiquement.
• Procédures de restauration, PRA/PCA, support, escalade et réversibilité documentées.
• Accès d'administration limités, tracés et réservés aux personnels habilités.

Les personnes concernées peuvent exercer leurs droits d'accès, de rectification, d'effacement lorsque applicable, de limitation, d'opposition et de portabilité selon les procédures internes DigYcare. Les demandes sont qualifiées, tracées et traitées par les personnes habilitées.

Toute violation de données est prise en charge selon une procédure documentée : détection, qualification, confinement, analyse du risque, notification CNIL lorsque requise, information des personnes concernées lorsque nécessaire et plan d'actions. AZNetwork est intégré à l'escalade lorsqu'un incident concerne l'hébergement, l'infrastructure, les sauvegardes ou l'infogérance.

Cette attestation formalise une démarche de conformité continue fondée sur l'état du portail et des mesures connues au jour de publication. Elle ne remplace pas l'analyse juridique du responsable de traitement, du DPO ou du conseil juridique. Les mentions relatives à AZNetwork doivent être confirmées par les contrats, certificats et annexes de sécurité applicables.