La transparence, point de départ de la confiance

Voici, sans langue de bois, où en est Réactis aujourd'hui et ce qui est prévu pour accompagner votre montée en charge.

Hébergement

✓ En place

L'environnement actuel est hébergé en France chez un opérateur certifié ISO 27001. Il ne contient aucune donnée client réelle tant qu'un établissement n'est pas passé en production.

→ Prévu à la mise en production

Dès l'entrée du premier établissement client en production, la plateforme sera positionnée sur une infrastructure dédiée certifiée HDS (Hébergeur de Données de Santé), séparée de l'environnement de démonstration.

Cloisonnement multi-établissements

✓ En place

Chaque établissement client dispose de son propre espace, isolé des autres. Une architecture à trois niveaux permet aux groupes de plusieurs sites de disposer d'une supervision régionale ou groupe, sans que les établissements n'accèdent aux données des autres.

Intelligence artificielle — sans données patient

✓ En place

Les fonctionnalités IA (conseils, synthèse, RETEX) sont optionnelles et désactivables depuis l'administration de chaque établissement. Lorsqu'elles sont activées, seul le contenu du journal de crise est transmis au fournisseur choisi (Groq ou Anthropic) — aucune donnée patient ne doit y figurer, c'est une règle d'usage documentée dans nos conditions générales.

Les fournisseurs IA disposent de contrats de traitement des données conformes au RGPD, incluant les Clauses Contractuelles Types pour les transferts hors Union européenne, et s'engagent contractuellement à ne pas utiliser les données pour entraîner leurs modèles.

Sécurité applicative

✓ En place

Au-delà de l'application elle-même, l'infrastructure applique des mesures standard de durcissement :

  • Connexions chiffrées (TLS 1.2 / 1.3 uniquement)
  • Mots de passe hashés (bcrypt), jamais stockés en clair
  • Limitation du taux de tentatives de connexion (anti brute-force)
  • Liste blanche stricte des origines autorisées (CORS)
  • Pare-feu actif et blocage automatique des tentatives d'intrusion (fail2ban)

Sauvegardes

✓ En place

Sauvegardes chiffrées (AES-256) générées quotidiennement, avec une rétention de 30 jours.

Conformité RGPD

✓ Documents fournis

Chaque établissement client reçoit l'ensemble de la documentation contractuelle et réglementaire nécessaire :

  • Contrat de sous-traitance — DPA (Art. 28 RGPD)
  • Conditions Générales d'Utilisation et de Vente
  • Registre des traitements
  • Politique de sécurité des systèmes d'information (PSSI)

Une question sur la sécurité de votre établissement ?

Votre DSI ou votre RSSI a des questions spécifiques ? Nous répondons directement, avec le détail technique nécessaire à leur analyse.

Contacter l'équipe technique →