Sécurité & Confidentialité
FitToFly traite des données de santé dans un contexte aéronautique exigeant. La sécurité et la confidentialité des données ne sont pas des options : elles sont au centre de notre architecture.
Hébergement certifié HDS
Toutes les données patient (formulaires, examens, décisions, documents) sont hébergées sur Scalingo, infrastructure certifiée Hébergeur de Données de Santé (HDS) conforme aux exigences de la certification ISO 27001 et du Code de la Santé Publique (Art. L.1111-8).
Les serveurs sont situés en France (Outscale, datacenters Iliad). Aucune donnée patient n'est stockée en dehors de l'Union Européenne.
Pseudonymisation avant traitement IA
Avant chaque appel à un modèle de langage externe, les données identifiantes sont systématiquement pseudonymisées :
- Nom et prénom du patient remplacés par des placeholders
- Date de naissance supprimée du contexte
- Nom du médecin examinateur pseudonymisé
Le modèle de langage ne reçoit que des données médicales anonymisées et des textes réglementaires publics. La réidentification est impossible à partir du seul contenu transmis.
Séparation des données
L'architecture de FitToFly sépare strictement les flux de données :
| Donnée | Stockage | Envoyée au LLM |
|---|---|---|
| Identité patient (nom, DDN) | HDS France | Non (pseudonymisée) |
| Antécédents médicaux | HDS France | Oui, anonymisés |
| Résultats d'examen | HDS France | Oui, anonymisés |
| Décisions d'aptitude | HDS France | Oui, anonymisées |
| Réglementation EASA | HDS France | Oui (textes publics) |
| Questions chat réglementaire | HDS France | Oui (pas de données patient) |
Traitement local des embeddings
La recherche sémantique dans la base réglementaire utilise un modèle d'embeddings (intfloat/multilingual-e5-base) exécuté localement sur l'infrastructure HDS. Ces données ne quittent jamais l'infrastructure.
Les arbres décisionnels par pathologie sont déterministes (YAML) : aucun appel à un service externe pour le raisonnement clinique structuré.
Transfert hors UE et garanties API
L'utilisation de l'API Claude (Anthropic) implique un transfert ponctuel de données pseudonymisées vers les États-Unis, encadré par :
- EU-US Data Privacy Framework (décision d'adéquation de la Commission européenne, juillet 2023)
- Clauses contractuelles types (SCC) du DPA Anthropic
- Pas d'entraînement sur les données API (engagement contractuel Anthropic)
- Rétention limitée : suppression des données après traitement (demande Zero Data Retention en cours)
FitToFly évalue activement les alternatives européennes (Mistral AI, modèles locaux) pour réduire progressivement ces transferts.
Chiffrement et authentification
Toutes les communications sont chiffrées en transit (TLS 1.3). Les données au repos sont chiffrées par l'infrastructure HDS.
- Authentification par JWT avec tokens signés et expiration courte
- Mots de passe hashés avec bcrypt (facteur de coût 12)
- Transmission DGAC chiffrée AES-256-GCM
- Traçabilité complète des décisions avec hash SHA-256
Conformité réglementaire
- RGPD : consentement explicite, droit d'accès, de rectification et de suppression
- HDS : hébergement certifié données de santé (Scalingo)
- EU AI Act : registre des traitements IA, transparence, supervision humaine obligatoire
- EASA AI Roadmap 2.0 : conformité documentée aux principes de confiance IA aviation
- Non-Device CDS : l'outil informe, ne décide pas — la décision d'aptitude appartient exclusivement au médecin
Contact sécurité
Pour toute question relative à la sécurité ou à la protection de vos données, contactez-nous à contact@fittofly.io.
Un audit de cybersécurité indépendant est en cours de réalisation.