La transparence, pas les promesses.
Audits de sécurité et de conformité, vulnérabilités divulguées, demandes des autorités : nous publions ce qui est vérifiable, et nous indiquons honnêtement ce qui ne l'est pas encore.
- Transparence vérifiable
- Code ouvert auditable
- Droit français
Premier rapport annuel à venir
My Data My Care est en phase de pré-lancement. Les chiffres consolidés (audits réalisés, CVE divulguées, réquisitions reçues) feront l'objet d'un premier rapport annuel publié à l'issue de notre première année d'exploitation. Cette page présente d'ores et déjà notre méthodologie et nos engagements ; elle sera mise à jour dès que des données réelles seront disponibles.
Vérifié par des tiers indépendants
Nos engagements d'audit. Les rapports et attestations seront publiés ou rendus disponibles sur demande au fur et à mesure de leur réalisation.
Audit offensif par un cabinet de cybersécurité indépendant avant la mise en production V1. Synthèse publiée, rapport détaillé sur demande justifiée.
Hébergement chez un opérateur certifié Hébergeur de Données de Santé. Certificat de l'hébergeur vérifiable publiquement.
Analyse d'impact relative à la protection des données et revue de conformité RGPD sous la supervision de notre DPO.
Audit d'accessibilité numérique visant la conformité WCAG 2.1 niveau AA, avec déclaration d'accessibilité publique.
Nos composants de chiffrement et notre cœur de protocole sont conçus pour être auditables publiquement. Voir notre démarche open source.
Aucune dissimulation, divulgation complète
Toute vulnérabilité de sécurité corrigée fera l'objet d'une divulgation publique avec son identifiant CVE, sa sévérité et la date de correction.
Aucune CVE divulguée à ce jour
Aucune vulnérabilité de sécurité publiquement divulguée n'a été enregistrée à ce stade. Ce registre sera mis à jour de manière transparente dès qu'une CVE sera publiée.
Les vulnérabilités sont corrigées avant divulgation, puis publiées avec un délai raisonnable pour permettre la mise à jour des déploiements concernés.
Demandes des autorités
Réquisitions judiciaires et administratives reçues, traitées dans le strict respect du droit français. Aucune juridiction étrangère ne s'applique à nos données hébergées en France.
| Indicateur | Période en cours |
|---|---|
| Réquisitions reçues | Premier rapport annuel à venir |
| Réquisitions auxquelles il a été donné suite | Premier rapport annuel à venir |
| Réquisitions contestées ou refusées | Premier rapport annuel à venir |
| Comptes concernés | Premier rapport annuel à venir |
| Demandes assorties d'une interdiction de divulgation | Premier rapport annuel à venir |
Données hébergées en France, soumises au seul droit français. Nous n'avons reçu aucune demande au titre du Cloud Act ou d'une autre juridiction extraterritoriale — l'absence d'une telle déclaration constituerait à elle seule un signal (warrant canary).
Signaler une faille de sécurité
Notre politique de divulgation responsable, pensée pour protéger les patients comme les chercheurs.
Périmètre
Toutes nos applications publiques (patient, médecin, landing) et nos API sont dans le périmètre. Les tests ne doivent jamais cibler de données de patients réels.
Engagement de non-poursuite
Toute recherche menée de bonne foi, sans atteinte à la confidentialité des données ni à la disponibilité du service, ne fera l'objet d'aucune action en justice de notre part.
Délais de réponse
Accusé de réception sous 72 h, première évaluation sous 7 jours, correction des failles critiques en priorité. Vous êtes tenu informé à chaque étape.
Reconnaissance
Les chercheurs qui le souhaitent sont crédités dans notre page de remerciements (hall of fame) après correction et divulgation coordonnée.
Pour signaler une vulnérabilité, écrivez à security@mydatamycare.com
La transparence s'appuie sur un socle réglementaire solide : HDS, RGPD, Ségur, AI Act. Découvrez notre calendrier de conformité et nos engagements détaillés.
Voir notre page conformitéCe que vous vous demandez
Quand le premier rapport de transparence sera-t-il publié ?
Le premier rapport annuel consolidé sera publié à l'issue de notre première année d'exploitation. D'ici là, cette page expose notre méthodologie et nos engagements, et sera mise à jour dès qu'un audit, une CVE ou une réquisition justifiera une donnée réelle.
Comment gérez-vous les vulnérabilités de sécurité ?
Toute faille signalée est évaluée puis corrigée en priorité selon sa sévérité. Après correction et un délai raisonnable de déploiement, nous publions une divulgation complète avec l'identifiant CVE, la sévérité et la date de correction. Nous ne dissimulons jamais une vulnérabilité corrigée.
Qu'est-ce qu'un warrant canary et en publiez-vous un ?
Un warrant canary est une déclaration affirmant n'avoir reçu aucune réquisition secrète ; sa disparition signale implicitement le contraire. Nos données étant hébergées en France et soumises au seul droit français, nous indiquons explicitement n'avoir reçu aucune demande extraterritoriale (Cloud Act). Le retrait de cette mention constituerait un signal.
Vos audits sont-ils réellement indépendants ?
Oui. Les tests d'intrusion et audits de conformité sont confiés à des cabinets tiers spécialisés, sans lien capitalistique avec My Data My Care. Les attestations (certificat HDS de l'hébergeur, synthèses de pentest) sont vérifiables ou disponibles sur demande justifiée.
Une question sur notre sécurité ?
Chercheurs, DPO, partenaires : notre équipe sécurité vous répond. La transparence commence par le dialogue.