Données collectées par ZHOR TECH

Nous collectons des données vous concernant, y compris des informations permettant de vous identifier, uniquement avec votre consentement. Cela inclut :

• Données de compte : nom, adresse e-mail, date de naissance, genre, identifiant et mot de passe pour accéder à nos services
• Données de santé et biométriques : données biomécaniques issues de l'analyse des capteurs AI Mov-Scan™, notamment la puissance, la cadence, les paramètres de marche et d'autres indicateurs de mobilité
• Données de localisation : lorsque vous utilisez nos produits, nous pouvons collecter les informations de localisation de l'appareil nécessaires à l'analyse du mouvement
• Authentification via un tiers : si vous vous connectez via des comptes tiers (par exemple Google), nous ne collectons que les informations que vous avez accepté de partager

Comment nous utilisons vos données

Nous utilisons les données collectées pour :

• Administrer et fournir les services de la plateforme Baliston Health
• Fournir aux cliniciens des statistiques biomécaniques, des visualisations et des évaluations de la mobilité
• Analyser, développer et améliorer nos services et nos algorithmes d'IA
• Communiquer sur les services, les fonctionnalités et les mises à jour de la plateforme
• Envoyer des communications commerciales (uniquement avec un consentement explicite préalable)

Comment vos données sont partagées

Nous ne partageons vos données que dans les cas suivants :

• Lorsque cela est nécessaire à l'exécution de nos services
• À la demande d'une autorité nationale ou sur décision de justice
• Si la loi applicable l'exige
• Pour instruire et nous défendre contre des réclamations ou des accusations
• Pour protéger les droits et la sécurité de ZHOR TECH, de nos utilisateurs et de notre personnel
• Avec votre consentement explicite préalable

Nous pouvons traiter vos données en recourant aux sous-traitants figurant sur notre Liste des sous-traitants. Tous les sous-traitants sont contractuellement tenus de respecter des normes équivalentes de protection des données.

Nous pouvons anonymiser certaines données de nos utilisateurs à des fins de recherche et pour améliorer nos algorithmes d'IA. Les données anonymisées ne peuvent pas être utilisées pour identifier une personne.

Base légale du traitement

Activité de traitement	Données	Base légale
Utilisation du site web / de la plateforme	Adresses IP, horodatages de connexion, signatures électroniques	Art. 6(1)(f) RGPD — Intérêt légitime
Cookies strictement nécessaires	Identifiants de session, jetons de sécurité	Art. 6(1)(f) RGPD — Intérêt légitime
Cookies non essentiels	Mesure d'audience, préférences, identifiants marketing	Art. 6(1)(a) RGPD — Consentement de l'utilisateur
Authentification	Identifiant, mot de passe haché, e-mail, adresse IP	Art. 6(1)(b) RGPD — Exécution contractuelle
Profil clinicien	Nom, téléphone, e-mail, profession, lieux d'exercice	Art. 6(1)(b) RGPD — Exécution contractuelle
Profil patient	Nom, genre, âge, pointure, taille, poids, localisation	Art. 6(1)(b) RGPD — Exécution contractuelle
Données brutes anonymes du capteur	Données binaires non traitées issues des capteurs AI Mov-Scan™	Art. 6(1)(b) RGPD — Exécution contractuelle
Résultats anonymes de l'algorithme	Pas, cadence, ligne de marche, propulsion, stabilité, etc.	Art. 6(1)(b) RGPD — Exécution contractuelle
Résultats de l'algorithme liés au patient	Identiques aux précédents, reliés via un identifiant patient unique	Art. 6(1)(b) RGPD — Exécution contractuelle
Communication client	Nom, téléphone, e-mail	Art. 6(1)(f) RGPD — Intérêt légitime
Newsletters / marketing	Nom, téléphone, e-mail	Art. 6(1)(a) RGPD — Consentement explicite

Conservation des données

Nous conservons vos données aussi longtemps que vous êtes un utilisateur inscrit de notre plateforme. Au-delà, nous ne conservons les données que lorsque la loi l'impose (obligations de garantie, délais de prescription légaux, obligations fiscales de conservation). Si vous supprimez votre compte, toutes les données seront supprimées ou anonymisées, à l'exception des données nécessaires à l'exécution d'obligations contractuelles en cours (par exemple des livraisons en attente).

Vos droits

Conformément à la législation applicable en matière de protection des données, vous disposez des droits suivants :

• Droit d'accès — obtenir la confirmation du traitement des données et une copie de vos données
• Droit de rectification — corriger des données inexactes ou incomplètes
• Droit à l'effacement — demander la suppression de vos données (« droit à l'oubli »)
• Droit à la limitation — restreindre le traitement sans suppression
• Droit à la portabilité — recevoir vos données dans un format structuré, lisible par machine
• Droit d'opposition — vous opposer à un traitement fondé sur l'intérêt légitime
• Retrait du consentement — révoquer votre consentement à tout moment pour les traitements futurs

Pour exercer vos droits, utilisez notre page Contact & demandes liées aux données, écrivez à compliance@zhortech.com ou adressez un courrier à :

ZHOR TECH SAS
7 Place Stanislas
54000 Nancy, France

Mesures de sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles de sécurité appropriées pour prévenir tout traitement non autorisé ou illicite, ainsi que toute perte, destruction ou altération accidentelle. Ces mesures sont en permanence revues, testées et mises à jour.

Hébergement et données d'accès

Notre plateforme est hébergée sur l'infrastructure d'Amazon Web Services (AWS), située à la fois dans l'Union européenne et aux États-Unis. À chaque accès à notre plateforme, des fichiers journaux serveur standard sont automatiquement générés (par exemple adresse IP, date et heure d'accès, données transférées). Ces données d'accès sont utilisées exclusivement pour garantir le bon fonctionnement et améliorer nos services. Les journaux d'accès sont supprimés au plus tard sept jours après votre visite.

Transfert des données

Pour remplir nos obligations contractuelles, nous pouvons partager vos données avec des prestataires de livraison et des prestataires de paiement. Lorsque des transferts de données ont lieu en dehors de l'Espace économique européen, nous veillons à mettre en place des garanties adéquates, notamment les Clauses contractuelles types (CCT) approuvées par la Commission européenne.

1. Définitions

« Prestataire » désigne ZHOR TECH SAS, immatriculée à Nancy, France (SIREN 808 187 280), exerçant sous le nom de Baliston Health.

« Client » désigne l'entité professionnelle ou le professionnel de santé ayant signé le bon de commande et accepté les présentes Conditions générales d'utilisation.

« Utilisateurs autorisés » désigne les employés, consultants, prestataires et mandataires du Client autorisés par celui-ci à accéder aux Services et à les utiliser, et pour lesquels un accès a été acquis.

« Services » désigne la plateforme Baliston Health Mobility Scan, y compris l'application web, les applications mobiles (iOS et Android), le moteur d'analyse de la marche alimenté par l'IA, ainsi que l'ensemble des fonctionnalités associées.

« Produits » désigne les capteurs Baliston Health AI Mov-Scan™, les semelles personnalisables, le chargeur et les accessoires fournis dans le cadre des Services.

« Données client » désigne l'ensemble des informations, données et contenus collectés, importés ou fournis de toute autre manière par le Client ou ses Utilisateurs autorisés via les Services, y compris les données patient. Les Données client n'incluent pas les données anonymisées ou agrégées issues de l'utilisation des Services.

« Identifiants d'accès » désigne tout identifiant, mot de passe, clé de sécurité, jeton ou autre méthode d'authentification utilisé pour vérifier l'identité d'une personne et son autorisation d'accès aux Services.

« Informations confidentielles » désigne les informations sous quelque forme que ce soit que la partie divulgatrice considère comme confidentielles ou propriétaires, notamment la technologie, les secrets d'affaires, les opérations, les plans, les stratégies, les clients et les tarifs.

« Documentation » désigne les manuels, instructions ou autres documents fournis par le Prestataire décrivant les fonctionnalités, la configuration, le fonctionnement ou la maintenance des Services.

2. Droits d'accès et d'utilisation

Sous réserve des présentes Conditions générales d'utilisation et du paiement des redevances applicables, le Prestataire accorde au Client un droit non exclusif, non cessible et non sous-licenciable d'accéder aux Services et de les utiliser pendant la durée de l'abonnement, exclusivement aux fins de la pratique de santé interne du Client.

L'accès est limité au nombre d'Utilisateurs autorisés indiqué dans le bon de commande applicable. Le Client ne peut dépasser ce nombre sans accord écrit préalable et paiement des redevances supplémentaires.

3. Obligations du Client

Le Client s'engage à :

• Veiller à ce que tous les Utilisateurs autorisés respectent les présentes Conditions générales d'utilisation
• Être responsable de l'exactitude, de la qualité et de la licéité de l'ensemble des Données client
• N'utiliser les Services qu'en conformité avec les lois et règlements applicables, y compris les exigences en matière de protection des données de santé
• Préserver la confidentialité de l'ensemble des Identifiants d'accès et notifier sans délai au Prestataire tout accès non autorisé
• Ne pas revendre, sous-licencier ni mettre les Services à disposition d'un tiers non autorisé
• Ne pas tenter de pratiquer l'ingénierie inverse, de décompiler ni de désassembler les Services ou l'un de leurs composants
• Ne pas utiliser les Services pour transmettre du code malveillant (virus, maliciels ou autres logiciels malveillants)

4. Protection des données

Le traitement des données personnelles est régi par notre Politique de confidentialité et notre Accord de traitement des données. Le Client agit en tant que responsable de traitement pour les données patient traitées via la plateforme. Le Prestataire agit en tant que sous-traitant conformément au DPA.

5. Propriété intellectuelle

L'ensemble des droits de propriété intellectuelle relatifs aux Services, à la plateforme, aux algorithmes, aux modèles d'IA, à la Documentation et à tous les autres éléments du Prestataire demeurent la propriété exclusive de ZHOR TECH SAS. Aucune disposition des présentes Conditions ne transfère de droits de propriété au Client. Le Client conserve l'intégralité des droits de propriété sur les Données client.

6. Disponibilité et support

Le Prestataire mettra en œuvre des efforts commercialement raisonnables pour rendre les Services disponibles 99,5 % du temps, hors maintenance planifiée. Le support est assuré via Zoho Desk pendant les heures ouvrées (CET). Un support d'urgence pour les incidents critiques est disponible selon les modalités prévues au bon de commande applicable.

7. Confidentialité

Les deux parties s'engagent à protéger les Informations confidentielles avec au moins le même degré de soin qu'elles appliquent à leurs propres informations confidentielles, et en tout état de cause avec une diligence raisonnable. Aucune des parties ne divulguera d'Informations confidentielles à des tiers sans accord écrit préalable, sauf à ses employés, mandataires ou prestataires ayant besoin d'y accéder pour exécuter les obligations prévues aux présentes Conditions et soumis à des obligations équivalentes de confidentialité.

8. Garanties et limitations

Le Prestataire garantit que les Services fonctionneront pour l'essentiel conformément à la Documentation pendant la durée de l'abonnement. La plateforme Baliston Health est un outil d'aide à la décision clinique. Elle ne remplace pas le jugement médical professionnel. Le Prestataire ne garantit pas que les Services seront ininterrompus, exempts d'erreurs, ni que tous les défauts seront corrigés.

9. Limitation de responsabilité

Le Prestataire ne saurait être tenu responsable des décisions cliniques prises sur la base des résultats de la plateforme. Dans toute la mesure permise par la loi, la responsabilité globale du Prestataire pour l'ensemble des réclamations résultant des présentes Conditions ou y étant liées ne pourra excéder les montants versés par le Client au cours des douze (12) mois précédant l'événement à l'origine de la réclamation.

Le Prestataire ne pourra en aucun cas être tenu responsable des dommages indirects, accessoires, spéciaux, consécutifs ou punitifs, y compris la perte de bénéfices, de données ou d'opportunités commerciales.

10. Durée et résiliation

Les présentes Conditions demeurent en vigueur pendant la durée d'abonnement précisée au bon de commande et sont reconduites automatiquement par périodes successives, sauf si l'une des parties notifie par écrit son intention de ne pas reconduire au moins trente (30) jours avant la fin de la période en cours. Chaque partie peut résilier en cas de manquement substantiel si celui-ci n'est pas remédié dans les trente (30) jours suivant la notification écrite.

Lors de la résiliation, l'accès du Client aux Services prendra fin et le Prestataire supprimera ou restituera les Données client conformément à l'Accord de traitement des données.

11. Droit applicable et juridiction

Les présentes Conditions générales d'utilisation sont régies par le droit français, sans égard aux règles de conflit de lois. Tout litige résultant des présentes Conditions sera soumis à la compétence exclusive des tribunaux de Nancy, France.

1. Champ d'application

Les présentes Conditions s'appliquent à toutes les commandes de kits Baliston Health AI Mov-Scan™ (y compris les capteurs, semelles personnalisables, chargeurs et accessoires), aux abonnements à la plateforme et aux prestations professionnelles associées passées via les canaux de vente autorisés de ZHOR TECH, y compris le site Baliston Health hébergé sur Shopify.

2. Commandes et acceptation

Les commandes sont confirmées par une acceptation écrite de ZHOR TECH et la réception du paiement ou d'un bon de commande valide. ZHOR TECH se réserve le droit de refuser toute commande à sa seule discrétion. Un e-mail de confirmation de commande sera envoyé à l'adresse indiquée par le Client.

3. Prix et paiement

Les prix sont ceux indiqués dans le bon de commande, le devis ou l'annonce en ligne applicable au moment de l'achat. Tous les prix sont hors taxes applicables (TVA, taxes de vente) sauf indication contraire expresse. Les conditions de paiement sont nettes à trente (30) jours à compter de la date de facturation, sauf accord écrit contraire. Les retards de paiement peuvent donner lieu à des intérêts au taux de trois fois le taux d'intérêt légal applicable en France, majorés d'une indemnité forfaitaire de recouvrement de 40 €.

4. Livraison

Les dates de livraison sont indicatives et non garanties. Le risque de perte est transféré au Client lors de la remise au transporteur. ZHOR TECH n'est pas responsable des retards échappant à son contrôle raisonnable, y compris les cas de force majeure. Le Client doit inspecter les marchandises à la réception et signaler tout dommage ou écart dans un délai de cinq (5) jours ouvrés.

5. Garantie

ZHOR TECH garantit que les produits matériels (capteurs AI Mov-Scan™, chargeurs) seront exempts de défauts matériels et de fabrication pendant une période de douze (12) mois à compter de la date de livraison. Les logiciels et services de la plateforme sont garantis comme fonctionnant pour l'essentiel conformément à la Documentation applicable pendant la durée de l'abonnement. Cette garantie ne couvre pas les dommages causés par une mauvaise utilisation, une modification non autorisée ou l'usure normale.

6. Retours et remboursements

Les produits défectueux peuvent être retournés pendant la période de garantie pour réparation ou remplacement, au choix de ZHOR TECH. Le Client doit obtenir une autorisation de retour de marchandise (RMA) avant de retourner un produit, en contactant le support à l'adresse compliance@zhortech.com. Les remboursements relatifs aux services d'abonnement sont traités conformément au bon de commande applicable.

7. Limitation de responsabilité

La responsabilité globale de ZHOR TECH pour l'ensemble des réclamations résultant des présentes Conditions générales de vente ne pourra excéder les montants versés par le Client au titre de la commande concernée au cours des douze (12) mois précédant la réclamation. ZHOR TECH ne saurait être tenue responsable de dommages indirects, accessoires ou consécutifs.

8. Droit applicable et juridiction

Les présentes Conditions générales de vente sont régies par le droit français. Tout litige sera soumis à la compétence exclusive des tribunaux de Nancy, France.

9. Règlement des litiges de consommation

La plateforme de règlement en ligne des litiges de la Commission européenne est accessible à l'adresse : http://ec.europa.eu/consumers/odr. Pour toute réclamation, contactez ZHOR TECH SAS par courrier au 7 Place Stanislas, 54000 Nancy, France.

1. Champ d'application et rôles

Responsable de traitement : le professionnel de santé ou l'entité utilisant la plateforme Baliston Health, qui détermine les finalités et les moyens du traitement des données patient.

Sous-traitant : ZHOR TECH SAS (SIREN 808 187 280), 7 Place Stanislas, 54000 Nancy, France, qui traite les données personnelles pour le compte du Responsable de traitement afin de fournir les services de la plateforme Baliston Health.

2. Objet et durée

Le Sous-traitant ne traite les données personnelles qu'aux fins de la fourniture des services de la plateforme Baliston Health Mobility Scan, notamment l'analyse de la marche alimentée par l'IA, l'évaluation biomécanique, la gestion des données patient, le suivi longitudinal et les fonctionnalités associées d'aide à la décision clinique. Le traitement se poursuit pendant toute la durée du contrat de services.

3. Catégories de personnes concernées

• Patients de la pratique de santé du Responsable de traitement
• Cliniciens et personnel du Responsable de traitement (Utilisateurs autorisés)

4. Catégories de données personnelles

• Données d'identification du patient (nom, coordonnées, données démographiques)
• Données de santé et biométriques du patient (paramètres de marche, mesures biomécaniques issues des capteurs AI Mov-Scan™)
• Données d'identification et d'authentification du clinicien
• Métadonnées de l'appareil et données de session
• Données de localisation (lorsque pertinentes pour l'évaluation)

5. Obligations du Sous-traitant

Le Sous-traitant s'engage à :

• Ne traiter les données personnelles que sur instructions documentées du Responsable de traitement, sauf obligation imposée par le droit de l'UE ou d'un État membre
• S'assurer que tout le personnel autorisé à traiter des données personnelles est soumis à des obligations de confidentialité
• Mettre en œuvre des mesures techniques et organisationnelles appropriées afin d'assurer un niveau de sécurité adapté au risque
• Assister le Responsable de traitement dans le traitement des demandes des personnes concernées (accès, rectification, effacement, portabilité, etc.)
• Assister le Responsable de traitement pour le respect des obligations relatives à la notification des violations de données et aux analyses d'impact relatives à la protection des données
• Supprimer ou restituer l'ensemble des données personnelles au Responsable de traitement à l'issue des services et supprimer les copies existantes, sauf obligation légale de conservation
• Mettre à la disposition du Responsable de traitement l'ensemble des informations nécessaires pour démontrer le respect des obligations de l'article 28 du RGPD
• Permettre et contribuer aux audits, y compris aux inspections, réalisés par le Responsable de traitement ou un auditeur mandaté par celui-ci

6. Sous-traitance ultérieure

Le Sous-traitant maintient une liste à jour des sous-traitants ultérieurs approuvés. Le Responsable de traitement sera informé de tout changement envisagé (ajout ou remplacement) au moins trente (30) jours à l'avance, avec la possibilité de s'y opposer. Si le Responsable de traitement s'y oppose pour des motifs raisonnables, les parties chercheront de bonne foi une solution.

7. Transferts internationaux de données

Les données sont traitées sur l'infrastructure Amazon Web Services (AWS) située à la fois dans l'Union européenne (Francfort) et aux États-Unis. Tout transfert international respecte les exigences du chapitre V du RGPD, y compris l'utilisation des Clauses contractuelles types (CCT) approuvées par la Commission européenne et de mesures supplémentaires lorsque nécessaire.

8. Notification des violations de données

Le Sous-traitant notifiera le Responsable de traitement sans retard injustifié (et en tout état de cause dans un délai de 48 heures) après avoir pris connaissance d'une violation de données personnelles affectant les données du Responsable de traitement. La notification précisera : la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables et les mesures prises ou proposées pour y remédier.

9. Durée et résiliation

Le présent DPA reste en vigueur pendant la durée du contrat de services entre les parties. À l'issue de celui-ci, l'ensemble des données personnelles sera supprimé ou restitué au Responsable de traitement dans un délai de trente (30) jours, conformément aux instructions documentées du Responsable de traitement, sauf si la loi applicable impose une conservation prolongée.

1. Acceptation

En accédant à la plateforme Baliston Health ou en l'utilisant, vous confirmez avoir lu, compris et accepté d'être lié par le présent Contrat utilisateur. Si vous n'êtes pas d'accord, vous ne devez ni accéder à la plateforme, ni l'utiliser.

2. Utilisation autorisée

Vous ne pouvez utiliser la plateforme qu'à des fins légitimes d'évaluation en santé et d'aide à la décision clinique, dans la limite de l'abonnement de votre organisation. Vous ne devez pas :

• Partager vos Identifiants d'accès avec toute autre personne
• Tenter d'accéder à des données appartenant à d'autres organisations ou utilisateurs
• Pratiquer l'ingénierie inverse, décompiler ou désassembler toute partie de la plateforme
• Utiliser la plateforme à des fins autres que celles autorisées par votre organisation
• Copier, redistribuer ou créer des œuvres dérivées à partir de la plateforme ou de ses résultats sans accord écrit préalable

3. Sécurité du compte

Vous êtes responsable de la confidentialité de vos identifiants de connexion et de l'ensemble des activités effectuées depuis votre compte. Vous devez informer immédiatement l'administrateur de votre organisation si vous constatez un accès non autorisé à votre compte ou toute violation de sécurité.

4. Responsabilités liées aux données patient

Lorsque vous saisissez ou traitez des données patient via la plateforme, vous devez veiller à :

• Avoir obtenu l'ensemble des consentements patient nécessaires conformément à la réglementation de santé applicable
• Respecter la législation applicable en matière de protection des données (notamment le RGPD et, le cas échéant, HIPAA)
• Garantir l'exactitude et la mise à jour des données patient
• Ne pas saisir de données personnelles superflues au-delà de ce qui est nécessaire à l'évaluation clinique

5. Politique d'usage acceptable

Vous ne devez pas :

• Téléverser un code malveillant, un virus ou un logiciel nuisible sur la plateforme
• Perturber ou interrompre le fonctionnement de la plateforme, des serveurs ou des réseaux
• Utiliser la plateforme d'une manière qui enfreindrait les lois ou règlements applicables
• Partager des résultats de la plateforme (rapports, analyses) d'une manière permettant d'identifier des patients sans leur consentement explicite
• Utiliser des scripts automatisés, des robots ou tout autre moyen pour accéder à la plateforme au-delà d'une utilisation normale

6. Avertissement clinique

La plateforme Baliston Health fournit des données d'aide à la décision clinique fondées sur une analyse de la marche alimentée par l'IA. Elle ne constitue pas un avis médical et ne remplace pas le jugement clinique du professionnel. Toute décision diagnostique et thérapeutique demeure de la seule responsabilité du professionnel de santé en charge. ZHOR TECH ne saurait être tenue responsable des conséquences cliniques résultant de l'utilisation des données de la plateforme.

7. Propriété intellectuelle

L'ensemble des contenus, logiciels, algorithmes, modèles d'IA et méthodes d'analyse propriétaires de la plateforme demeurent la propriété exclusive de ZHOR TECH SAS. Vous bénéficiez d'une licence limitée, non exclusive et non cessible d'utilisation de la plateforme pendant la durée de l'abonnement de votre organisation. Cette licence prend fin immédiatement à l'expiration ou à la résiliation de l'abonnement, ou en cas de révocation de votre statut d'Utilisateur autorisé.

8. Suspension et résiliation

ZHOR TECH se réserve le droit de suspendre ou de résilier votre accès à la plateforme en cas de violation du présent Contrat utilisateur, sans préjudice des autres droits ou recours disponibles. L'administrateur de votre organisation peut également révoquer votre accès à tout moment.

Contrôle d'accès

• Contrôle d'accès basé sur les rôles (RBAC) pour l'ensemble des ressources de la plateforme
• Authentification multifacteur (MFA) pour les accès administrateurs et développeurs
• Identifiants utilisateurs uniques avec politiques de mots de passe forts imposées
• Revues d'accès régulières et révocation rapide des comptes inactifs ou des départs
• Contrôles d'accès physiques pour les centres de données (gérés par AWS)
• Principe du moindre privilège appliqué sur l'ensemble des systèmes

Chiffrement des données

• Chiffrement TLS 1.2+ pour toutes les données en transit
• Chiffrement AES-256 pour les données au repos dans l'ensemble des systèmes de stockage
• Sauvegardes de base de données chiffrées avec contrôles d'accès
• Gestion des certificats et procédures de rotation régulières
• Gestion des clés de chiffrement avec séparation des tâches

Sécurité réseau

• Pare-feu applicatif web (WAF) et systèmes de détection/prévention d'intrusion
• Segmentation réseau entre les environnements de production, de pré-production et de développement
• Scans de vulnérabilités réguliers et tests d'intrusion périodiques réalisés par des tiers qualifiés
• Protection et atténuation DDoS (AWS Shield)
• VPN requis pour les accès administratifs aux systèmes de production

Sécurité applicative

• Cycle de développement logiciel sécurisé (SSDLC) avec revues de sécurité à chaque étape
• Revue de code obligatoire pour tout changement en production
• Tests de sécurité applicative statique et dynamique (SAST/DAST)
• Surveillance des vulnérabilités des dépendances et alertes automatisées
• Validation des entrées, encodage des sorties et protection contre les menaces du Top 10 OWASP

Continuité d'activité & reprise après sinistre

• Sauvegardes automatisées quotidiennes avec redondance géographique sur plusieurs régions AWS
• Plan de reprise après sinistre avec objectifs définis de temps de reprise (RTO) et de point de reprise (RPO)
• Tests réguliers de restauration des sauvegardes
• Infrastructure haute disponibilité avec bascule automatique
• Plan de réponse aux incidents avec procédures d'escalade définies

Mesures organisationnelles

• Délégué à la protection des données (DPO) désigné
• Responsable de la sécurité des systèmes d'information (RSSI) désigné
• Sensibilisation à la sécurité obligatoire pour l'ensemble des employés à l'embauche, puis chaque année
• Accords de confidentialité (NDA) pour l'ensemble du personnel, des prestataires et des sous-traitants
• Procédures documentées de réponse aux incidents et de notification des violations de données
• Audits de sécurité internes et évaluations des risques régulières
• Processus d'évaluation de la sécurité des fournisseurs pour l'ensemble des sous-traitants

Qu'est-ce qu'un cookie ?

Les cookies sont de petits fichiers texte stockés sur votre appareil (ordinateur, tablette ou téléphone mobile) lorsque vous visitez un site web. Ils permettent au site de mémoriser vos préférences, de comprendre votre utilisation du site et d'améliorer votre expérience de navigation. Certains cookies sont essentiels au fonctionnement du site, d'autres sont optionnels.

Types de cookies que nous utilisons

Catégorie	Finalité	Base légale	Durée
Strictement nécessaires	Essentiels au fonctionnement correct du site et de la plateforme (authentification, gestion de session, sécurité, répartition de charge, préférences de consentement aux cookies)	Art. 6(1)(f) RGPD — Intérêt légitime	Session / jusqu'à 12 mois
Fonctionnels	Mémoriser vos préférences telles que la langue, la région et les paramètres d'affichage	Art. 6(1)(a) RGPD — Consentement de l'utilisateur	Jusqu'à 12 mois
Mesure d'audience	Comprendre l'interaction des visiteurs avec notre site afin d'améliorer ses performances et son contenu (Google Analytics)	Art. 6(1)(a) RGPD — Consentement de l'utilisateur	Jusqu'à 26 mois
Marketing	Suivre les visiteurs entre les sites pour afficher des publicités pertinentes et mesurer l'efficacité des campagnes	Art. 6(1)(a) RGPD — Consentement de l'utilisateur	Jusqu'à 24 mois

Cookies spécifiques utilisés

Shopify (plateforme e-commerce)

Notre site est hébergé sur Shopify, qui dépose des cookies pour la fonctionnalité de panier, la gestion de session et la détection de fraude. Ces cookies sont classés comme strictement nécessaires.

Google Analytics

Nous utilisons Google Analytics pour comprendre le trafic du site et le comportement des utilisateurs. L'anonymisation des adresses IP est activée. Vous pouvez vous y opposer à l'aide du module complémentaire de désactivation de Google Analytics.

Gestion des cookies

Vous pouvez gérer vos préférences en matière de cookies à tout moment via :

• Notre bandeau de consentement (affiché lors de la première visite et accessible depuis le pied de page)
• Les paramètres de votre navigateur (les instructions varient selon le navigateur)
• L'opt-out Google Analytics : tools.google.com/dlpage/gaoptout

Veuillez noter que la désactivation des cookies strictement nécessaires peut empêcher le bon fonctionnement du site ou de la plateforme.

Cookies tiers

Certains cookies sont déposés par des services tiers que nous utilisons. Ils sont régis par la politique de confidentialité du tiers concerné. Consultez notre Liste des sous-traitants pour la liste complète des services tiers.

Mises à jour de la présente politique

Nous pouvons être amenés à mettre à jour cette Politique de cookies. Les modifications seront publiées sur cette page avec une nouvelle date de « Dernière mise à jour ». Nous vous recommandons de consulter cette politique régulièrement.

Coordonnées

Demandes des personnes concernées

En vertu du RGPD et des autres lois applicables en matière de protection des données, vous avez le droit de demander :

• L'accès — une copie des données personnelles que nous détenons à votre sujet
• La rectification — la correction de données inexactes ou incomplètes
• L'effacement — la suppression de vos données personnelles
• La limitation — la restriction des activités de traitement
• La portabilité — vos données dans un format structuré, lisible par machine
• L'opposition — vous opposer à un traitement fondé sur l'intérêt légitime ou à la prospection directe

Comment soumettre une demande

Envoyez votre demande à compliance@zhortech.com ou par courrier à :

ZHOR TECH SAS — Délégué à la protection des données
7 Place Stanislas
54000 Nancy, France

Délais de réponse

Nous accuserons réception de votre demande dans un délai de cinq (5) jours ouvrés et fournirons une réponse substantielle dans un délai de trente (30) jours. Pour les demandes complexes, nous pouvons prolonger ce délai de soixante (60) jours supplémentaires, avec notification et explication préalables.

Réclamations

Si vous n'êtes pas satisfait de notre réponse à votre demande, vous avez le droit d'introduire une réclamation auprès d'une autorité de contrôle. Pour la France, l'autorité compétente est :

CNIL (Commission Nationale de l'Informatique et des Libertés)
3 Place de Fontenoy, TSA 80715
75334 Paris Cedex 07, France
www.cnil.fr

Infrastructure & hébergement

Sous-traitant	Finalité	Lieu de traitement des données
Amazon Web Services (AWS)	Infrastructure cloud, calcul, stockage, hébergement de bases de données, CDN et services de sécurité pour la plateforme Baliston Health	UE (Francfort) & États-Unis

E-commerce & paiements

Sous-traitant	Finalité	Lieu de traitement des données
Shopify	Plateforme e-commerce propulsant le site Baliston Health, la gestion des commandes et le paiement	États-Unis / Canada / UE

Activités commerciales

Sous-traitant	Finalité	Lieu de traitement des données
Zoho Corporation — CRM	Gestion de la relation client, pipeline commercial et gestion des contacts	UE
Zoho Corporation — Desk	Gestion des tickets de support client et helpdesk	UE

Communications

Sous-traitant	Finalité	Lieu de traitement des données
Twilio SendGrid	Envoi d'e-mails transactionnels et marketing	États-Unis

Mesure d'audience

Sous-traitant	Finalité	Lieu de traitement des données
Google Analytics	Analyse du trafic du site et du comportement utilisateur (anonymisation des adresses IP activée)	États-Unis / UE

ZHOR TECH SAS (France)

Dénomination sociale	ZHOR TECH SAS
Nom commercial	Baliston Health
Forme juridique	SAS — Société par Actions Simplifiée
Président	Malik Issolah
Adresse du siège social	7 Place Stanislas, 54000 Nancy, France
SIREN	808 187 280
SIRET (siège social)	808 187 280 00017
N° TVA Intracommunautaire	FR01 808 187 280
N° EORI	FR808 187 280 00017
Code NAF/APE	72.19Z — Recherche-développement en autres sciences physiques et naturelles
NAF 2025	72.10H — Recherche et développement en autres sciences physiques et naturelles
Catégorie	Petite ou Moyenne Entreprise (PME)
Effectif	20–49 (2023)
Date de création	2 décembre 2014
Téléphone	+33 3 83 36 72 72
E-mail	compliance@zhortech.com

Bal Inc (États-Unis)

Dénomination sociale	Bal Inc
Adresse du siège social	333 West Maude Avenue, Suite 207, Sunnyvale, CA 94085, États-Unis
Numéro d'entreprise	5064973
Téléphone	+1 (720) 994-3701
E-mail	compliance@zhortech.com

Directeur de la publication

Malik Issolah, Président
ZHOR TECH SAS
7 Place Stanislas, 54000 Nancy, France

Responsabilité du contenu

En tant que prestataire de services, ZHOR TECH est responsable de ses propres contenus sur ces pages conformément aux lois en vigueur. Nous ne sommes pas tenus de surveiller les informations transmises ou stockées par des tiers, ni d'enquêter sur des circonstances laissant supposer une activité illicite. Les obligations de retirer ou de bloquer l'utilisation d'informations en vertu des lois en vigueur restent inchangées. La responsabilité à cet égard n'est engagée qu'à compter de la prise de connaissance d'une infraction concrète. Dès que nous aurons connaissance de telles infractions, nous retirerons immédiatement les contenus concernés.

Responsabilité concernant les liens

Nos sites contiennent des liens vers des sites externes de tiers sur le contenu desquels nous n'avons aucune influence. Le prestataire ou l'exploitant des sites liés est toujours responsable du contenu de ceux-ci. Les pages liées ont été examinées au moment de la création du lien pour détecter d'éventuelles infractions. Aucun contenu illicite n'avait été identifié à ce moment-là. Un contrôle permanent des pages liées n'est pas raisonnable en l'absence d'indices concrets d'une violation du droit. Dès que nous aurons connaissance d'une infraction, nous supprimerons immédiatement les liens concernés.

Droits d'auteur

Les contenus et œuvres créés par ZHOR TECH sur nos sites et applications sont soumis au droit d'auteur. La duplication, la modification, la diffusion et toute exploitation en dehors des limites du droit d'auteur nécessitent l'accord écrit préalable de l'auteur ou du créateur concerné. Les téléchargements et copies de ces pages sont autorisés à des fins privées et non commerciales uniquement. Lorsque les contenus n'ont pas été créés par ZHOR TECH, les droits d'auteur des tiers sont respectés et ces contenus sont identifiés comme tels.

Règlement des litiges

La Commission européenne met à disposition une plateforme de règlement en ligne des litiges (ODR) : http://ec.europa.eu/consumers/odr

Pour toute réclamation, contactez ZHOR TECH SAS par courrier à :
7 Place Stanislas, 54000 Nancy, France

À défaut de résolution amiable et conformément à l'article L. 612-1 du Code de la consommation, le Client peut recourir gratuitement au service de médiation MEDICYS : https://app.medicys.fr ou par courrier : MEDICYS — 73 Boulevard de Clichy — 75009 Paris, France.

Fabricant

Fabricant	ZHOR TECH SAS
Adresse	7 Place Stanislas, 54000 Nancy, France
SIREN	808 187 280
Représentant autorisé	Malik Issolah, Président

Identification du produit

Nom du produit	Plateforme Baliston Health Mobility Scan
Composant matériel	Capteurs AI Mov-Scan™
Composant logiciel	Application web et mobile Baliston Health
Utilisation prévue	Analyse de la marche et évaluation de la mobilité alimentées par l'IA, à destination des professionnels de santé

Directives et règlements applicables

• UE MDR 2017/745 — Règlement relatif aux dispositifs médicaux (selon la classification du dispositif)
• 2014/53/UE — Directive sur les équipements radio (RED)
• 2011/65/UE — Limitation des substances dangereuses (RoHS)
• 2014/30/UE — Compatibilité électromagnétique (CEM)
• 2014/35/UE — Directive Basse Tension (LVD)

Normes harmonisées appliquées

L'évaluation de la conformité s'appuie sur les normes harmonisées applicables, parmi lesquelles, sans s'y limiter :

• EN 62368-1 — Équipements audio/vidéo, technologies de l'information et de la communication — Sécurité
• EN 301 489 — Compatibilité électromagnétique pour équipements radio
• EN 300 328 — Systèmes de transmission à large bande (bande 2,4 GHz)
• EN 62479 — Évaluation de l'exposition humaine aux champs électromagnétiques
• Normes spécifiques au produit additionnelles, selon le cas

Marquage CE

Le marquage CE a été apposé sur le produit sous la responsabilité de ZHOR TECH SAS, conformément aux directives applicables énumérées ci-dessus.

La Déclaration de conformité complète (signée) est disponible sur demande. Contactez compliance@zhortech.com.

Certifications en vigueur

Certification	Portée	Statut
Marquage CE	Capteurs Baliston Health AI Mov-Scan™ — conformité aux directives UE applicables (RED, RoHS, CEM, LVD)	✅ Actif
UE MDR 2017/745	Conformité au Règlement relatif aux dispositifs médicaux pour la plateforme Baliston Health et le matériel AI Mov-Scan™	✅ Actif

Conformité réglementaire

• RGPD — Conformité complète au Règlement général sur la protection des données de l'UE, incluant la désignation d'un DPO, les Analyses d'impact relatives à la protection des données (AIPD) et les Clauses contractuelles types (CCT) pour les transferts internationaux
• UE MDR 2017/745 — Conformité continue au Règlement européen relatif aux dispositifs médicaux, incluant la surveillance après commercialisation et le signalement de vigilance
• Droit français de la protection des données — Conformité à la Loi Informatique et Libertés et aux recommandations applicables de la CNIL

Pratiques de protection des données

• Délégué à la protection des données (DPO) désigné
• Responsable de la sécurité des systèmes d'information (RSSI) désigné
• Analyses d'impact relatives à la protection des données (AIPD) régulières pour les traitements à haut risque
• Clauses contractuelles types (CCT) en place pour l'ensemble des transferts internationaux de données
• Mesures techniques et organisationnelles documentées, revues et mises à jour régulièrement
• Programme de formation des salariés à la protection des données

Management de la qualité

• Système interne de management de la qualité aligné sur les bonnes pratiques relatives aux dispositifs médicaux
• Surveillance après commercialisation et suivi des performances cliniques
• Qualification et évaluation continue des fournisseurs et sous-traitants
• Procédures de maîtrise documentaire et de gestion des changements

Des copies des certificats et de la documentation réglementaire sont disponibles sur demande. Contactez compliance@zhortech.com.