Qu'est-ce que PillMate ?

PillMate est un logiciel SaaS de gestion de pharmacie nouvelle génération. Il intègre un agent IA médical (MAKO) qui analyse les interactions médicamenteuses, la facturation PERFADOM, la gestion de stock et les commandes labos.

Combien coûte PillMate ?

PillMate propose trois formules : Essentiel à 79 euros/mois, Pro à 149 euros/mois, et Enterprise sur mesure. Tous les plans incluent un essai gratuit de 1 mois sans engagement.

PillMate est-il un LGO certifié ?

PillMate est un logiciel complémentaire de gestion officinale qui s'intègre à votre LGO existant. Il couvre la gestion de stock, la facturation PERFADOM, les commandes labos et l'assistance IA pour le conseil pharmaceutique.

Comment fonctionne l'agent IA MAKO ?

MAKO est un moteur RAG (Retrieval-Augmented Generation) entraîné sur les sources officielles françaises : HAS, ANSM, CRAT, Légifrance, CPAM. Il analyse les interactions médicamenteuses, contre-indications et remboursements en temps réel.

⚠️ Page en cours de finalisation — certaines références administratives (raison sociale hébergeur, copies des DPA signés) doivent être complétées avant publication officielle. Pour toute question, écrivez à dpo@pillmateapp.com.

Conformité RGPD

Dernière mise à jour : 15 mai 2026

PillMate est une plateforme SaaS B2B destinée aux pharmacies d'officine et aux laboratoires. Elle traite, dans le cadre de son exploitation, des données à caractère personnel concernant uniquement des professionnels (pharmaciens, employés d'officine, commerciaux de laboratoires). PillMate ne stocke aucune donnée de santé identifiable patient : pas de dossier patient, pas de prescription nominative, pas d'historique de soins. La présente page expose, en complément de notre Politique de confidentialité, les éléments de conformité au Règlement (UE) 2016/679 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée.

1. Registre des traitements (art. 30 RGPD)

PillMate SAS est responsable de traitement pour ses propres traitements internes (administration de l'éditeur) et sous-traitant au sens de l'art. 28 RGPD pour les données traitées pour le compte de ses clients (officines, laboratoires).

Traitement	Finalité	Données	Personnes	Conservation	Base
Authentification & comptes	Identifier l'utilisateur, gérer les rôles et permissions	Email, mot de passe haché, rôle, journaux de connexion, IP	Pharmaciens, préparateurs, laboratoires	Compte actif + 3 ans après dernière connexion	Contrat
Planning équipe & paie	Décompte d'heures, congés, conformité CCNPO	Identité, contrat, heures travaillées, congés, NSS si fourni	Employés d'officine	5 ans après la fin du contrat (obligation Code du travail)	Obligation légale
Assistant IA MAKO	Aide à la décision pharmaceutique (interactions, grossesse, posologies)	Question textuelle (anonymisée), historique, sources citées. Aucune donnée patient nominative.	Professionnels de santé	Historique conservé 24 mois pour amélioration ; possibilité de suppression à la demande	Intérêt légitime
RDV laboratoires	Coordination commerciaux ↔ titulaires	Nom, email, téléphone professionnel, créneaux	Commerciaux, titulaires	Durée du contrat + 3 ans	Contrat
Facturation & paiements	Émission factures, prélèvement abonnement, RFA	Raison sociale, SIRET, IBAN (token Stripe / GoCardless), historique transactions	Clients (officine, laboratoire)	10 ans (obligation comptable)	Contrat + obligation légale
Journaux d'audit et de sécurité	Traçabilité (RGPD art. 32), détection d'intrusion	IP, action, horodatage, identifiant utilisateur	Tous	6 ans (recommandation ANSSI)	Obligation légale
Demandes de démonstration / prospects	Prise de contact commercial	Nom, email, téléphone, officine	Prospects	3 ans après le dernier contact (CNIL CRM)	Intérêt légitime

2. Sous-traitants ultérieurs (art. 28 RGPD)

La liste suivante recense les sous-traitants qui interviennent dans le traitement de données pour le compte de PillMate. Tous sont liés par un accord de sous-traitance (Data Processing Agreement — DPA) signé. Les copies de ces DPA sont disponibles sur simple demande à dpo@pillmateapp.com.

Sous-traitant	Service	Localisation	Données concernées	Garanties
Hébergeur [à compléter]	Hébergement base de données, serveurs applicatifs	France	Toutes données	Conforme RGPD, DPA signé
Better Auth	Brique authentification (sessions, OAuth)	Self-hosted (France)	Email, hash mot de passe, sessions	Hébergé chez l'hébergeur de PillMate (France, conforme RGPD)
Resend	Emails transactionnels	UE (Irlande)	Email, contenu transactionnel (pas de donnée santé)	DPA signé, RGPD
Brevo	SMS & emails marketing	France / UE	Téléphone professionnel, email	DPA signé, RGPD
Stripe	Paiement carte bancaire	UE (Stripe Payments Europe — Irlande) ; flux secondaires Stripe Inc. (USA)	Tokens de paiement (PAN tokenisé), IBAN partiel	Clauses contractuelles types (CCT) UE, certification PCI-DSS Level 1
GoCardless	Prélèvement SEPA (abonnement labo)	UE (Royaume-Uni)	IBAN, identité titulaire	Décision d'adéquation Royaume-Uni 2021, DPA signé
YouSign	Signature électronique	France	Identité signataires, documents signés	eIDAS, certifié Service Qualifié
OpenAI	Modèle de langage pour MAKO IA	États-Unis	Question textuelle (anonymisée — aucune donnée patient identifiante envoyée)	Clauses contractuelles types (CCT), Data Processing Addendum OpenAI, désactivation de l'entraînement sur les données (opt-out API)
Anthropic	Modèle de langage alternatif (fallback MAKO, agents internes)	États-Unis	Question textuelle (anonymisée)	CCT, DPA Anthropic, zero data retention sur l'API
Annuaire Santé (CNAM)	API publique FHIR (annuaire des professionnels)	France	Recherche de professionnels (lecture seule, pas de PII patient)	Source publique CNAM, lecture seule

Tout nouvel ajout ou changement de sous-traitant fait l'objet d'une notification préalable aux clients par email, conformément à l'art. 28-2 RGPD.

3. Transferts hors de l'Union européenne

Les seuls transferts de données hors UE concernent les sous-traitants suivants :

Stripe Inc. (États-Unis) — flux secondaires de traitement de paiement, encadrés par les clauses contractuelles types (CCT 2021/914) et le Data Privacy Framework (DPF) États-Unis–UE.
OpenAI (États-Unis) — utilisation de l'API pour l'assistant MAKO. Les requêtes sont anonymisées (aucune donnée patient identifiante), l'opt-out d'entraînement est activé, et le contrat applique les CCT 2021/914.
Anthropic (États-Unis) — fallback MAKO et traitement interne. Zero data retention activé.
GoCardless Ltd. (Royaume-Uni) — couvert par la décision d'adéquation de la Commission européenne de juin 2021.

4. Analyse d'impact (DPIA) — art. 35 RGPD

Dans sa version actuelle, PillMate ne traite aucune donnée de santé identifiable de patient : le module patient (entretiens pharmaceutiques, vaccinations, ordonnances nominatives) est désactivé tant que l'hébergement certifié HDS n'est pas en place. PillMate utilise en revanche une aide à la décision basée sur l'IA (assistant MAKO, sur sources publiques officielles HAS/ANSM, sans donnée patient) et traite des données de professionnels — ce qui justifie une analyse d'impact (DPIA) conformément à l'art. 35 RGPD.

Périmètre de la DPIA (mise à jour annuelle ou en cas d'évolution substantielle) :

Assistant IA MAKO (aide à la décision sur sources officielles, sans donnée patient)
Planning équipe (heures travaillées, congés)
Module patient (entretiens, vaccinations, ordonnances) — non activé : la DPIA sera finalisée avant toute mise en service, sous réserve de certification HDS.

Les conclusions de la DPIA et les mesures de mitigation associées (chiffrement, pseudonymisation, contrôle d'accès, journalisation) sont disponibles sur demande à dpo@pillmateapp.com.

5. Hébergement

L'hébergement est assuré en France par un prestataire d'infrastructure cloud conforme RGPD (chiffrement TLS 1.3 en transit, chiffrement au repos, sauvegardes chiffrées, DPA art.28 signé).

Hébergeur : [à compléter — raison sociale]
Localisation : France

La convention d'hébergement et le DPA correspondant sont disponibles sur demande à dpo@pillmateapp.com.

6. Procédure en cas d'incident de sécurité (art. 33-34 RGPD)

En cas de violation de données à caractère personnel (perte, altération, accès non autorisé), PillMate s'engage à :

Détecter et qualifier l'incident sous 24 heures ;
Notifier la CNIL sous 72 heures via le portail cnil.fr/notifier lorsque la violation est susceptible d'engendrer un risque pour les droits et libertés ;
Informer les personnes concernées sans délai indu lorsque le risque est élevé (art. 34 RGPD) ;
Documenter chaque incident dans un registre interne (faits, effets, mesures correctives).

7. Décision automatisée et profilage (art. 22 RGPD)

L'assistant MAKO IA fournit une aide à la décision pharmaceutique (interactions médicamenteuses, contre-indications, posologies). Il n'opère aucune décision automatisée produisant des effets juridiques à l'égard d'une personne au sens de l'art. 22 RGPD : chaque suggestion est lue, validée ou rejetée par un professionnel de santé qualifié et habilité. MAKO ne se substitue jamais au jugement clinique.

8. Comment exercer vos droits

Vous disposez à tout moment d'un droit d'accès, de rectification, d'effacement, de limitation, d'opposition, de portabilité et de définition de directives post-mortem (art. 15 à 22 RGPD).

Pour les exercer, écrivez à dpo@pillmateapp.com en précisant votre demande et en joignant une copie d'une pièce d'identité (qui sera détruite après vérification). Une réponse vous sera apportée dans un délai d'un mois, prolongeable de deux mois en cas de complexité particulière.

En cas de manquement, vous pouvez introduire une réclamation auprès de la CNIL : cnil.fr/plaintes.