Sécurité

Melya est hébergé exclusivement en France sur l'infrastructure Scaleway, certifiée Hébergeur de Données de Santé (HDS) v2.0 au titre des activités #1 à #4 prévues par l'article R1111-9 du Code de la santé publique.

Aucune donnée patient ne sort du territoire français. Les datacenters utilisés sont situés en Île-de-France (Vitry-sur-Seine et Saint-Ouen-l'Aumône).

Les champs sensibles (identité patient, réponses aux échelles, commentaires cliniques) sont chiffrés au repos en AES-256-GCM via un middleware Prisma, avec une clé gérée séparément de la base de données. Les communications sont chiffrées en transit (TLS 1.3).

Conséquence concrète : même en cas d'accès non autorisé à la base, les données cliniques restent illisibles sans la clé. L'équipe Melya n'a pas accès aux données cliniques de vos patients.

Chaque praticien·ne n'accède qu'à ses propres patient·e·s et sessions. Aucun·e autre utilisateur·rice de Melya ne peut consulter vos dossiers.

La base PostgreSQL est sauvegardée chaque jour. Les sauvegardes sont chiffrées avant transfert et stockées sur un site distant (Hetzner Storage Box, UE) via SFTP. Les restaurations sont testées régulièrement dans le cadre du Plan de Continuité d'Activité (PCA).

Toutes les actions sensibles (accès aux dossiers, envois d'échelles, modifications) sont consignées dans un journal d'audit horodaté, conservé conformément à la réglementation applicable aux données de santé.

En cas de violation de données à caractère personnel, Melya s'engage à en informer les praticien·ne·s concerné·e·s sans délai injustifié et à procéder à la notification auprès de la CNIL dans le délai de 72 heures prévu par le RGPD.

Si vous pensez avoir identifié une faille de sécurité, écrivez-nous à clement@melya.app. Nous accusons réception sous 48h ouvrées.