Privacy Policy Politique de Confidentialité

1. Introduction 1. Introduction

Data Controller Responsable du traitement

BioScan
Represented by Young-wouk KIM, Founder Représenté par Young-wouk KIM, Fondateur
Headquarters: Paris, France Siège social : Paris, France
Email: [email protected]

Data Protection Officer (DPO) Délégué à la Protection des Données (DPO)

For any questions regarding data protection, you can contact our data protection officer at: [email protected] Pour toute question relative à la protection des données, vous pouvez contacter notre délégué à la protection des données à l'adresse : [email protected]

2. Types of Data Collected 2. Types de données collectées

2.1 Identification Data 2.1 Données d'identification

• First and last name Nom et prénom
• Professional email address Adresse email professionnelle

2.2 Technical Data 2.2 Données techniques

• IP address Adresse IP
• Browser type and version Type de navigateur et version
• Operating system Système d'exploitation
• Connection timestamps Horodatage des connexions

2.3 Medical Data 2.3 Données médicales

Important: Important : Medical data you upload for processing by BioScan is handled with the highest level of security: Les données médicales que vous téléchargez pour traitement par BioScan sont traitées avec le plus haut niveau de sécurité :

• Medical documents uploaded for analysis Documents médicaux téléchargés pour analyse
• Data extracted and structured by our algorithms Données extraites et structurées par nos algorithmes
• Metadata associated with documents Métadonnées associées aux documents
• Processing history Historique des traitements effectués

Zero Data Training Guarantee: Garantie Zero Data Training : Your medical documents are never used to train or improve our AI algorithms. Vos documents médicaux ne sont jamais utilisés pour entraîner ou améliorer nos algorithmes d'IA.

3. Processing Purposes 3. Finalités du traitement

3.1 Primary Purposes 3.1 Finalités principales

• Service provision: Fourniture du service : Processing and analysis of your medical documents Traitement et analyse de vos documents médicaux
• Account management: Gestion de compte : Creation and management of your user account Création et gestion de votre compte utilisateur
• Technical support: Support technique : Assistance and technical issue resolution Assistance et résolution des problèmes techniques
• Service improvement: Amélioration du service : Anonymized usage analysis to optimize the platform Analyse d'usage anonymisée pour optimiser la plateforme

3.2 Secondary Purposes 3.2 Finalités secondaires

• Communication: Communication : Sending information about service updates Envoi d'informations sur les mises à jour du service
• Security: Sécurité : Fraud detection and prevention Détection et prévention de la fraude
• Legal compliance: Conformité légale : Compliance with legal and regulatory obligations Respect des obligations légales et réglementaires

4. Legal Basis for Processing 4. Bases légales du traitement

5. Security and Data Protection 5. Sécurité et protection des données

5.1 Technical Measures 5.1 Mesures techniques

• Encryption: Chiffrement : All data is encrypted in transit (TLS) and at rest (AES-256) Toutes les données sont chiffrées en transit (TLS) et au repos (AES-256)
• Isolation: Isolation : Secure architecture with environment isolation Architecture sécurisée avec isolation des environnements
• Monitoring: Monitoring : 24/7 monitoring of access and activities Surveillance 24/7 des accès et des activités
• Backup: Sauvegarde : Encrypted and redundant backups Sauvegardes chiffrées et redondantes

5.2 Organizational Measures 5.2 Mesures organisationnelles

• Restricted access: Accès restreint : Principle of least privilege for data access Principe du moindre privilège pour l'accès aux données
• Training: Formation : Continuous staff awareness on data security Sensibilisation continue du personnel à la sécurité des données
• Incident management: Gestion des incidents : Defined procedures for security incident management Procédures définies pour la gestion des incidents de sécurité

Our production servers are HDS (Health Data Host) certified and located exclusively in France. Nos serveurs de production sont certifiés HDS (Hébergeur de Données de Santé) et situés exclusivement en France.

6. Data Retention 6. Conservation des données

Retention Periods Durées de conservation

Secure deletion: Suppression sécurisée : Upon expiration of retention periods, all data is securely and irreversibly deleted according to industry standards. À l'expiration des délais de conservation, toutes les données sont supprimées de manière sécurisée et irréversible selon les standards de l'industrie.

7. Your GDPR Rights 7. Vos droits RGPD

In accordance with the General Data Protection Regulation (GDPR), you have the following rights: Conformément au Règlement Général sur la Protection des Données (RGPD), vous disposez des droits suivants :

Exercising your rights Exercice de vos droits

To exercise your rights, contact us at: [email protected] Pour exercer vos droits, contactez-nous à : [email protected]

We commit to responding within 30 days maximum. Proof of identity may be requested to verify your identity. Nous nous engageons à répondre dans un délai de 30 jours maximum. Une pièce d'identité pourra être demandée pour vérifier votre identité.

Right to complaint Droit de réclamation

You have the right to file a complaint with the Commission Nationale de l'Informatique et des Libertés (CNIL) if you believe that the processing of your data violates your rights. Vous avez le droit de déposer une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) si vous estimez que le traitement de vos données porte atteinte à vos droits.

8. Data Sharing 8. Partage des données

8.1 Non-sharing principle 8.1 Principe de non-partage

Firm commitment: Engagement ferme : BioScan does not sell, rent, or share your personal or medical data with third parties for commercial purposes. BioScan ne vend, ne loue, ni ne partage vos données personnelles ou médicales avec des tiers à des fins commerciales.

8.2 Authorized and supervised sharing 8.2 Partages autorisés et encadrés

Your data may be shared only in the following cases: Vos données peuvent être partagées uniquement dans les cas suivants :

• Technical service providers: Prestataires techniques : HDS-certified hosts for secure storage Hébergeurs certifiés HDS pour le stockage sécurisé
• Legal obligation: Obligation légale : Court orders or competent health authorities Réquisitions judiciaires ou autorités de santé compétentes
• Explicit consent: Consentement explicite : With your prior written authorization Avec votre autorisation écrite préalable
• Vital emergency: Urgence vitale : Protection of vital interests in medical context Protection des intérêts vitaux dans le cadre médical

8.3 International transfers 8.3 Transferts internationaux

France location: Localisation France : All your data is stored and processed exclusively in France. No transfers outside the European Union are made. Toutes vos données sont stockées et traitées exclusivement en France. Aucun transfert hors Union Européenne n'est effectué.

9. Cookies and Similar Technologies 9. Cookies et technologies similaires

9.1 Cookie Categories 9.1 Catégories de cookies

9.2 Cookie Lifespan and Management 9.2 Durée de vie et gestion des cookies

Lifespan: Durée de vie : Essential cookies expire when you close your browser session. Optional cookies have a maximum lifespan of 13 months and are automatically deleted afterward. Les cookies essentiels expirent lorsque vous fermez votre session de navigateur. Les cookies optionnels ont une durée de vie maximale de 13 mois et sont automatiquement supprimés après.

Managing Your Cookie Preferences Gérer Vos Préférences de Cookies

You can manage your cookie preferences through several methods: Vous pouvez gérer vos préférences de cookies par plusieurs méthodes :

• Cookie banner: Bannière de cookies : Clear your browser data to see the cookie banner again and update your preferences Supprimez les données de votre navigateur pour revoir la bannière de cookies et mettre à jour vos préférences
• Browser settings: Paramètres du navigateur : Configure your browser to refuse all cookies or specific types Configurez votre navigateur pour refuser tous les cookies ou certains types spécifiques
• Contact us: Contactez-nous : Email us to reset your cookie preferences manually Contactez-nous par email pour réinitialiser manuellement vos préférences de cookies

Important Note: Note Importante : Disabling essential cookies may affect the proper functioning of certain BioScan platform features, including language preferences and secure login sessions. La désactivation des cookies essentiels peut affecter le bon fonctionnement de certaines fonctionnalités de la plateforme BioScan, y compris les préférences de langue et les sessions de connexion sécurisées.

10. Contact and Support 10. Contact et support

Types of requests Types de demandes

• GDPR rights exercise: Exercice de droits RGPD : Access, rectification, deletion, portability Accès, rectification, suppression, portabilité
• Policy questions: Questions sur la politique : Clarifications on your data processing Clarifications sur le traitement de vos données
• Cookie preferences: Préférences de cookies : Reset or modify your cookie consent settings Réinitialiser ou modifier vos paramètres de consentement aux cookies
• Security incidents: Incidents de sécurité : Reporting security issues Signalement de problèmes de sécurité
• Complaints: Réclamations : Concerns about respect for your rights Préoccupations concernant le respect de vos droits

Response times Délais de réponse

Service commitment: Engagement de service :

• Acknowledgment of receipt: 48 hours maximum Accusé de réception : 48 heures maximum
• Complete response: 30 days maximum (possible 60-day extension for complex requests) Réponse complète : 30 jours maximum (extension possible de 60 jours pour les demandes complexes)
• Security emergencies: Immediate processing Urgences sécurité : Traitement immédiat

11. Regulatory Compliance 11. Conformité réglementaire

11.1 Legal references 11.1 Références légales

This policy is established in compliance with: Cette politique est établie en conformité avec :

• RGPD : Regulation (EU) 2016/679 of 27 April 2016 Règlement (UE) 2016/679 du 27 avril 2016
• Data Protection Act: Loi Informatique et Libertés : Law No. 78-17 of 6 January 1978 as amended Loi n°78-17 du 6 janvier 1978 modifiée
• Public Health Code: Code de la santé publique : Articles L.1110-4 and following Articles L.1110-4 et suivants
• HDS Framework: Référentiel HDS : Order of 4 January 2017 Arrêté du 4 janvier 2017

11.2 Certifications 11.2 Certifications

11.3 Audits and controls 11.3 Audits et contrôles

BioScan undergoes regular audits: BioScan fait l'objet d'audits réguliers :

• Monthly internal security audit Audit interne de sécurité mensuel
• Quarterly cookie compliance review Révision trimestrielle de conformité des cookies
• Annual GDPR compliance assessment Évaluation annuelle de conformité RGPD

12. Policy Updates and Changes 12. Mises à jour et modifications de la politique

12.1 Update Process 12.1 Processus de mise à jour

BioScan reserves the right to update this Privacy Policy to reflect: BioScan se réserve le droit de mettre à jour cette Politique de Confidentialité pour refléter :

• Changes in our data processing practices Les changements dans nos pratiques de traitement des données
• New legal or regulatory requirements Les nouvelles exigences légales ou réglementaires
• Technological improvements or new features Les améliorations technologiques ou nouvelles fonctionnalités
• User feedback and compliance best practices Les retours d'utilisateurs et meilleures pratiques de conformité

12.2 Notification of Changes 12.2 Notification des changements

When we make material changes to this Privacy Policy, we will: Lorsque nous apportons des modifications importantes à cette Politique de Confidentialité, nous :

• Update the "Last updated" date at the bottom of this page Mettons à jour la date "Dernière mise à jour" en bas de cette page
• Notify users through email or website banner Notifions les utilisateurs par email ou bannière sur le site web
• Provide a 30-day notice period for significant changes Fournissons un préavis de 30 jours pour les changements significatifs
• Re-request consent where legally required Redemandons le consentement lorsque légalement requis

Your continued use of BioScan services after the effective date of any changes constitutes your acceptance of the revised Privacy Policy. Votre utilisation continue des services BioScan après la date d'entrée en vigueur de tout changement constitue votre acceptation de la Politique de Confidentialité révisée.