Informations légales

Mentions légales

U-SHOOT SAS · Version 2.1.2 · En vigueur à compter du 1 juillet 2026

Version 2.1.2 — En vigueur à compter du 1er juillet 2026

Article 1 — Éditeur

Le service U-Shoot et le site web https://u-shoot.io sont édités par :

U-SHOOT (Société par actions simplifiée — SAS)

  • Capital social : 2 000 €
  • Siège social : 16 rue Henri Poincaré, 92110 Clichy
  • RCS Nanterre 106 484 827
  • SIRET : 106 484 827 00014
  • Code APE/NAF : 6201Z (Programmation informatique)
  • N° TVA intracommunautaire : FR28106484827

Email : contact@u-shoot.io

Article 2 — Directeur de la publication

Le directeur de la publication est Monsieur Marc Laguillaumie, en sa qualité de Président de U-Shoot SAS.

Article 3 — Hébergement

3.1 Hébergement du site et de l'infrastructure cloud minimale U-Shoot

Le site https://u-shoot.io et l'infrastructure cloud minimale U-Shoot (services d'authentification, interface d'administration, gestion des paiements, relais chiffré pour l'accès distant) sont hébergés par :

Scaleway SAS

L'infrastructure cloud U-Shoot tourne sur une instance Dedibox standard chez Scaleway. Cet hébergement n'est pas certifié HDS au sens de l'article L.1111-8 du Code de la santé publique, car aucune donnée patient n'est stockée par U-Shoot SAS. Voir Article 4 pour la qualification juridique.

3.2 Hébergement des données patient des cabinets clients

Les données patient (photographies cliniques, notes de session, identité patient) traitées au moyen du logiciel U-Shoot ne sont jamais hébergées par U-Shoot SAS. Elles demeurent dans les locaux du cabinet dentaire utilisateur, sur son matériel (poste de travail, serveur local, NAS local), en mode auto-hébergement par le responsable de traitement.

Le cabinet dentaire est donc à la fois :

  • Responsable de traitement au sens de l'Article 4.7 RGPD pour les données de ses patients ;
  • Hébergeur de ses propres données de santé, dans le cadre de l'exception légale d'auto-hébergement par le responsable de traitement (cf. doctrine ANS sur le périmètre L.1111-8 CSP).

À ce titre, le cabinet n'est pas soumis à l'obligation d'agrément HDS pour ses propres données, mais reste tenu aux obligations de sécurité de l'Article 32 RGPD et au secret professionnel de l'Article L.1110-4 du Code de la santé publique.

3.3 Service de relais chiffré pour l'accès distant

Lorsqu'un praticien du cabinet souhaite accéder à son catalog depuis l'extérieur (domicile, déplacement), U-Shoot fournit un service de relais TCP/WebSocket hébergé sur l'infrastructure cloud U-Shoot. Ce relais :

  • Transite des paquets chiffrés de bout en bout entre le client distant du praticien et le serveur de son cabinet ;
  • Est conçu pour empêcher l'accès au contenu de ces paquets dans le cadre normal de fonctionnement (les clés de chiffrement sont détenues exclusivement par le serveur cabinet et le client distant) ;
  • N'effectue aucune conservation applicative des données transitées (buffer mémoire strictement éphémère nécessaire à la retransmission, libéré en quelques secondes maximum) ;
  • Conserve uniquement des métadonnées techniques (identifiant de session, horodatage, volume transféré, adresses IP) pour les besoins de sécurité (audit, lutte contre l'abus), à l'exclusion de tout contenu.

U-Shoot SAS considère que ce service de relais constitue un simple service de transport au sens du Règlement (UE) 2022/2065 sur les services numériques (DSA), Article 4 ; un service d'hébergement à responsabilité allégée au sens de l'Article 6.I.2 de la LCEN (responsabilité limitée pour les contenus dont elle n'a pas connaissance) ; et un service couvert par le secret des correspondances au sens de l'Article L.32-3 du Code des postes et des communications électroniques.

Cette qualification, et l'analyse selon laquelle un tel service de transport éphémère chiffré ne relève pas du régime d'agrément HDS de l'Article L.1111-8 CSP, est défendue par U-Shoot SAS sur la base de la doctrine publiée par l'Agence du Numérique en Santé (périmètre de la certification HDS) excluant les services de simple transport sans rétention ni accès au contenu. Cette position s'appuie sur une documentation technique et juridique interne détaillée, communicable sur demande motivée à un conseil juridique ou à l'autorité compétente.

En cas d'évolution de la doctrine ou d'une décision publique de l'autorité compétente requalifiant ce service en hébergement de données de santé, U-Shoot SAS s'engage à migrer le relais sur une infrastructure certifiée HDS dans un délai raisonnable, sans modification produit du côté du cabinet ou du client distant. Cette clause de pivot est documentée dans le DPA Art.28 et la politique de confidentialité.

Article 4 — Activité et qualification juridique

U-Shoot SAS édite un logiciel de gestion de photos cliniques destiné aux professionnels de santé bucco-dentaire et fournit, à titre accessoire, un service de relais chiffré pour l'accès distant à l'infrastructure du cabinet.

À ce titre, U-Shoot SAS est soumise au Règlement (UE) 2016/679 (RGPD), à la loi n°78-17 du 6 janvier 1978 modifiée, aux dispositions du Code de la santé publique applicables aux données de santé (notamment Articles L.1110-4 et L.1111-8 CSP), ainsi qu'à la LCEN, au CPCE et au Règlement (UE) 2022/2065 (DSA).

U-Shoot SAS n'est pas elle-même un professionnel de santé et ne dispense aucun acte de soin.

4.1 Qualification RGPD

Périmètre Qualification de U-Shoot SAS Base légale
Compte praticien (email, mot de passe, identité administrative) Responsable de traitement Art.6.1.b RGPD (exécution du contrat)
Données de facturation Responsable de traitement Art.6.1.c RGPD (obligation légale)
Métadonnées techniques du relais (sessions, IP, volumes) Responsable de traitement Art.6.1.f RGPD (intérêt légitime — sécurité)
Contenu des Données patient (photos, identité, notes cliniques) U-Shoot SAS ne traite pas le contenu de ces données (elles ne quittent pas le cabinet ; le transit chiffré E2E via le relais n'est pas accessible à U-Shoot dans le cadre normal du service) Sans objet pour U-Shoot — relève du Cabinet (Art.9.2.h + L.1110-4 CSP)
Métadonnées techniques de transit (UUID session, IP, volumes, horodatages) Sous-traitant limité Art.28 : U-Shoot traite ces métadonnées pour le compte du Cabinet (sécurité, audit) Art.28 RGPD — voir DPA résiduel

4.2 Distinction par rapport au modèle SaaS classique

Contrairement à un modèle SaaS d'hébergement de données patient, U-Shoot SAS n'est pas sous-traitant au sens de l'Article 28 RGPD pour le contenu des données patient. U-Shoot agit toutefois comme sous-traitant limité pour certaines métadonnées techniques strictement nécessaires au fonctionnement du service de relais (UUID de session, adresses IP, volumes transférés, horodatages), encadrées par le DPA résiduel. Cette architecture est rendue possible par le chiffrement E2E systématique du contenu (l'infrastructure est conçue pour empêcher l'accès au contenu dans le cadre normal de fonctionnement) et par l'absence de conservation applicative des données patient sur les serveurs U-Shoot.

Un DPA résiduel est cependant proposé à la signature par chaque cabinet activant le service de relais, pour encadrer les traitements limités dans lesquels U-Shoot intervient (métadonnées techniques, support distant le cas échéant).

Article 5 — Référent RGPD

Pour toute question relative à la protection des données personnelles, le contact est : rgpd@u-shoot.io.

À ce jour, U-Shoot SAS n'est pas tenue de désigner un Délégué à la Protection des Données (DPO) au sens de l'Article 37 RGPD. Cette désignation sera revue selon le critère "traitement à grande échelle de données sensibles" — qui ne devrait pas être atteint dans le modèle pivot puisque U-Shoot ne traite pas les données patient en clair.

Article 6 — Propriété intellectuelle

L'ensemble des éléments composant le service U-Shoot et le site https://u-shoot.io — incluant sans s'y limiter le code source, les interfaces utilisateur, la charte graphique, les logos, les textes, les illustrations, les bases de données, les noms de domaine — sont la propriété exclusive de U-Shoot SAS ou des tiers ayant accordé à U-Shoot SAS une licence d'utilisation.

Toute reproduction, extraction, modification, distribution, ou utilisation publique sans autorisation écrite expresse de U-Shoot SAS est strictement interdite et constitue une contrefaçon au sens des Articles L.335-2 et L.335-3 du Code de la propriété intellectuelle (sanctions : 3 ans d'emprisonnement et 300 000 € d'amende).

La marque verbale française "U-SHOOT" est déposée à l'Institut National de la Propriété Industrielle (INPI) sous le numéro 5 261 566 (dépôt du 25 mai 2026, classes 9 et 42). Le logo associé est protégé au titre du droit d'auteur.

Article 7 — Liens hypertextes

Le site https://u-shoot.io peut contenir des liens vers des sites tiers. U-Shoot SAS n'exerce aucun contrôle sur ces sites et décline toute responsabilité quant à leur contenu, leur disponibilité, ou les pratiques de protection de la vie privée qu'ils mettent en œuvre.

Article 8 — Modification des mentions légales

Les présentes mentions légales peuvent être modifiées à tout moment par U-Shoot SAS. La date de dernière mise à jour figure en tête du document.

L'historique des versions antérieures est conservé par U-Shoot SAS à des fins de traçabilité juridique et communicable sur demande à rgpd@u-shoot.io.

Article 9 — Loi applicable

Les présentes mentions légales sont régies par le droit français. Tout litige sera porté devant les tribunaux compétents conformément aux règles de droit commun.

Conformément à la Loi n°94-665 du 4 août 1994 (loi Toubon), la version française du présent document fait foi en cas de divergence avec toute traduction.

Article 10 — Contact

Pour toute question relative aux présentes mentions :

U-Shoot SAS 16 rue Henri Poincaré, 92110 Clichy Email : contact@u-shoot.io Référent RGPD : rgpd@u-shoot.io


Annexe — Sanctions et rappels réglementaires

Pour mémoire (ne fait pas grief à la présente publication) :

Manquement Sanction maximale
Défaut de mentions légales LCEN (Art.6-III) 75 000 € d'amende + 1 an d'emprisonnement (Art.6-VI LCEN)
Violations RGPD (Art.5/6/9) 20 M€ ou 4 % du chiffre d'affaires mondial (Art.83 RGPD)
Violations Art.32-34 RGPD (sécurité, notification) 10 M€ ou 2 % du CA mondial
Atteinte au secret professionnel 1 an + 15 000 € (Art.226-13 CP + L.1110-4 CSP)
Défaut d'agrément HDS 3 ans + 45 000 € (L.1115-1 CSP)
Contrefaçon logiciel 3 ans + 300 000 € (Art.L.335-2 CPI)

Jurisprudence récente notable secteur santé : Dedalus Biologie 1,5 M€ CNIL (2022) pour fuite de 491 000 dossiers patients — défaut de mesures Art.32 RGPD.