Fizio.

Politique de Confidentialité / Privacy Policy

Dernière mise à jour / Last updated: 4 mars 2026

1. Introduction

Fizio est une plateforme SaaS destinée aux kinésithérapeutes et professionnels du mouvement pour la gestion de programmes d'exercices. Nous nous engageons à protéger votre vie privée conformément au Règlement Général sur la Protection des Données (RGPD).

Fizio utilise les services API YouTube.

En utilisant Fizio, vous acceptez également les Conditions d'utilisation de YouTube (https://www.youtube.com/t/terms).

Fizio is a SaaS platform designed for physiotherapists and movement professionals to manage exercise programs. We are committed to protecting your privacy in compliance with the General Data Protection Regulation (GDPR).

Fizio uses YouTube API Services.

By using Fizio, you also agree to be bound by the YouTube Terms of Service (https://www.youtube.com/t/terms).

Google Privacy Policy: http://www.google.com/policies/privacy

2. Responsable du traitement / Data Controller

Pour les professionnels s'inscrivant sur la plateforme, Fizio agit en tant que Responsable de Traitement.

Pour les données des patients gérées par les professionnels, le professionnel est le Responsable de Traitement et Fizio agit en tant que Sous-traitant.

Responsable : Fabrice Ponsoda

Email : contact@fizio.io

For professionals registering on the platform, Fizio acts as a Data Controller.

For patient data managed by professionals, the professional is the Data Controller and Fizio acts as a Data Processor.

Representative : Fabrice Ponsoda

Email : contact@fizio.io

3. Sous-traitants ultérieurs / Sub-processors

Nous utilisons les services suivants pour assurer le fonctionnement de Fizio :

  • Supabase : Hébergement des données, authentification et stockage sécurisé (Bases de données hébergées sur AWS).
  • Vercel : Déploiement et hébergement de l'infrastructure web.
  • Resend : Service technique pour l'envoi d'emails transactionnels (invitations, notifications).
  • Google Cloud (Gemini) : Services d'intelligence artificielle pour l'aide à la prescription d'exercices (traitement de données textuelles uniquement).

We use the following services to ensure the optimal functioning of Fizio:

  • Supabase: Data hosting, authentication, and secure storage (Databases hosted on AWS).
  • Vercel: Deployment and hosting of the web infrastructure.
  • Resend: Technical service for sending transactional emails (invitations, notifications).
  • Google Cloud (Gemini): Artificial intelligence services for exercise prescription assistance (processing of textual data only).

4. Données collectées / Data Collected

A) Professionnels de santé / Professional Users

  • Nom et Prénom
  • Email professionnel
  • Informations professionnelles (numéro ADELI/RPPS si renseigné)
  • Données de connexion
  • Données d'utilisation de la plateforme
  • Données de facturation (via prestataire Stripe le cas échéant)
  • Full Name
  • Professional Email
  • Professional info (license numbers etc.)
  • Login credentials
  • Platform usage data
  • Billing info (via Stripe when applicable)

B) Clients / Patients

  • Nom et Prénom
  • Email
  • Programme d'exercices assigné (contenu générique, non identifiant)
  • Données d'adhérence (séances complétées ou non)
  • Scores de progression gamification (streaks, badges)
  • 🛡️ Les bilans cliniques sont stockés de façon pseudonymisée (voir section D)
  • Full Name
  • Email
  • Assigned exercise program (generic content, non-identifying)
  • Adherence data (sessions completed or not)
  • Gamification progress scores (streaks, badges)
  • 🛡️ Clinical assessments are stored in pseudonymised form (see section D)

C) Données collectées automatiquement / Automatically Collected Data

  • Adresse IP
  • Type de navigateur et OS
  • Type d'appareil
  • Cookies et local storage
  • Logs techniques de sécurité
  • IP Address
  • Browser type and OS
  • Device type
  • Cookies and local storage
  • Technical security logs

D) Données issues de l'API YouTube / YouTube API Data

  • Fizio accède uniquement aux métadonnées publiques des vidéos pour faciliter la prescription.
  • Fizio ne modifie pas le contenu YouTube.
  • Fizio ne stocke pas les statistiques YouTube au-delà de 30 jours.
  • Les données YouTube sont rafraîchies ou supprimées automatiquement sous 30 jours pour garantir leur exactitude.
  • Aucune donnée YouTube n'est vendue ni transférée à des tiers non autorisés.
  • Fizio only accesses public video metadata to facilitate prescription.
  • Fizio does not modify YouTube content.
  • Fizio does not store YouTube statistics beyond 30 days.
  • YouTube data is automatically refreshed or deleted within 30 days to ensure accuracy and compliance.
  • No YouTube data is sold or transferred to unauthorized third parties.

5. Base légale / Legal Basis

  • Exécution du contrat : Fourniture des services SaaS.
  • Obligations légales : Conservation des dossiers de santé.
  • Intérêt légitime : Amélioration et sécurité de la plateforme.
  • Consentement explicite : Traitement des données de santé personnelles.
  • Contract performance : Provision of SaaS services.
  • Legal obligations : Retention of health records.
  • Legitimate interest : Platform improvement and security.
  • Explicit consent : Processing of personal health data.

6. Durée de conservation / Data Retention

  • Données de compte conservées tant que le compte est actif.
  • Programmes et données patients conservés pendant la durée de la relation contractuelle + 3 ans.
  • Données YouTube supprimées ou rafraîchies sous 30 jours maximum.
  • Logs techniques conservés pour assurer la sécurité et l'audit (jusqu'à 1 an).
  • Les tokens pseudonymisés (bilans) sont supprimés à la clôture du compte.
  • Account data retained as long as the account is active.
  • Programs and patient data retained for the duration of the contractual relationship + 3 years.
  • YouTube data deleted or refreshed within a maximum of 30 days.
  • Technical logs retained to ensure security and audit capability (up to 1 year).
  • Pseudonymised tokens (bilans) are deleted upon account closure.

7. Partage des données / Data Sharing

  • Données stockées sur un hébergement sécurisé conforme à la réglementation santé.
  • Utilisation de prestataires tiers pour le paiement et les analyses techniques (voir section 3).
  • Aucune vente de vos données personnelles à des tiers.
  • Accès limité aux membres de l'équipe Fizio strictement nécessaire au support technique.
  • Data stored on health-regulations compliant secure hosting.
  • Use of third-party providers for payment and technical analysis (see section 3).
  • No sale of your personal data to third parties.
  • Access strictly limited to Fizio team members necessary for technical support.

8. Cookies & Stockage local / Cookies & Local Storage

  • Cookies de session indispensables au fonctionnement.
  • Cookies d'authentification pour maintenir la connexion.
  • Stockage local pour mémoriser vos préférences d'interface.
  • Possibilité de désactivation via les réglages du navigateur.
  • Session cookies essential for operation.
  • Authentication cookies to maintain connection.
  • Local storage to remember interface preferences.
  • Disactivation possible through browser settings.

9. Sécurité / Security Measures

  • Connexions chiffrées via protocole HTTPS (TLS).
  • Contrôle d'accès strict basé sur les rôles (RBAC).
  • Bases de données isolées et sécurisées.
  • Surveillance continue des accès et des vulnérabilités.
  • Encrypted connections via HTTPS (TLS) protocol.
  • Strict role-based access control (RBAC).
  • Isolated and secure databases.
  • Continuous monitoring of access and vulnerabilities.

🛡️ Pseudonymisation des données cliniques — Bilans IA

Comment Fizio protège les données des bilans :

  • Les bilans cliniques générés par l'IA (BDK) ne sont jamais stockés avec le nom ou l'email du patient en clair dans la base de données.
  • Chaque bilan est lié à un token pseudonyme opaque (empreinte SHA-256 dérivée de l'identifiant interne du patient), rendant le bilan non-réidentifiable sans la clé applicative.
  • Les données transmises à l'IA pour générer des programmes ne contiennent aucun identifiant nominatif (nom, prénom, email) — uniquement des descripteurs fonctionnels génériques (zone corporelle, niveau, profil de rééducation).
  • En conséquence, Fizio ne qualifie pas comme hébergeur de données de santé (HDS) au sens strictement nominatif du Code de la Santé Publique pour ce flux de données.

How Fizio protects clinical bilan data:

  • AI-generated clinical assessments (BDK bilans) are never stored alongside the patient's name or email in plain form in the database.
  • Each bilan is linked to an opaque pseudonymous token (SHA-256 hash derived from the patient's internal ID), making the bilan non-re-identifiable without the application key.
  • Data sent to AI to generate programs contains no personal identifiers (name, surname, email) — only generic functional descriptors (body zone, level, rehab profile).
  • As a result, Fizio does not qualify as a Health Data Host (HDS) in the strictly nominative sense of the French Public Health Code for this data flow.

10. Droits des utilisateurs / User Rights (GDPR)

  • Droit d'accès et de rectification.
  • Droit à l'effacement (droit à l'oubli).
  • Droit à la limitation du traitement.
  • Droit à la portabilité des données.
  • Droit de retirer votre consentement à tout moment.
  • Droit de saisir la CNIL (cnil.fr).
  • Right to access and rectification.
  • Right to erasure (right to be forgotten).
  • Right to restrict processing.
  • Right to data portability.
  • Right to withdraw consent at any time.
  • Right to lodge a complaint with the CNIL.

11. Transferts internationaux / International Transfers

Certaines données peuvent être hébergées hors de l'UE pour des raisons techniques (ex: Supabase sur serveurs AWS). Dans ce cas, nous garantissons l'utilisation de Clauses Contractuelles Types (CCT) pour assurer un niveau de protection équivalent.

Some data may be hosted outside the EU for technical reasons (e.g., Supabase on AWS servers). In such cases, we guarantee the use of Standard Contractual Clauses (SCC) to ensure an equivalent level of protection.

12. Modifications / Policy Updates

Nous nous réservons le droit de modifier cette politique. Toute modification importante vous sera notifiée via la plateforme ou par email.

We reserve the right to modify this policy. Any significant changes will be notified to you via the platform or by email.

13. Contact

Pour toute question : contact@fizio.io