Version 2.1.2 — En vigueur à compter du 1er juillet 2026
Article 1 — Éditeur
Le service U-Shoot et le site web https://u-shoot.io sont édités par :
U-SHOOT (Société par actions simplifiée — SAS)
- Capital social : 2 000 €
- Siège social : 16 rue Henri Poincaré, 92110 Clichy
- RCS Nanterre 106 484 827
- SIRET : 106 484 827 00014
- Code APE/NAF : 6201Z (Programmation informatique)
- N° TVA intracommunautaire : FR28106484827
Email : contact@u-shoot.io
Article 2 — Directeur de la publication
Le directeur de la publication est Monsieur Marc Laguillaumie, en sa qualité de Président de U-Shoot SAS.
Article 3 — Hébergement
3.1 Hébergement du site et de l'infrastructure cloud minimale U-Shoot
Le site https://u-shoot.io et l'infrastructure cloud minimale U-Shoot (services d'authentification, interface d'administration, gestion des paiements, relais chiffré pour l'accès distant) sont hébergés par :
Scaleway SAS
- 8 rue de la Ville l'Évêque, 75008 Paris, France
- Téléphone : +33 1 84 13 00 00
- Site : https://www.scaleway.com
L'infrastructure cloud U-Shoot tourne sur une instance Dedibox standard chez Scaleway. Cet hébergement n'est pas certifié HDS au sens de l'article L.1111-8 du Code de la santé publique, car aucune donnée patient n'est stockée par U-Shoot SAS. Voir Article 4 pour la qualification juridique.
3.2 Hébergement des données patient des cabinets clients
Les données patient (photographies cliniques, notes de session, identité patient) traitées au moyen du logiciel U-Shoot ne sont jamais hébergées par U-Shoot SAS. Elles demeurent dans les locaux du cabinet dentaire utilisateur, sur son matériel (poste de travail, serveur local, NAS local), en mode auto-hébergement par le responsable de traitement.
Le cabinet dentaire est donc à la fois :
- Responsable de traitement au sens de l'Article 4.7 RGPD pour les données de ses patients ;
- Hébergeur de ses propres données de santé, dans le cadre de l'exception légale d'auto-hébergement par le responsable de traitement (cf. doctrine ANS sur le périmètre L.1111-8 CSP).
À ce titre, le cabinet n'est pas soumis à l'obligation d'agrément HDS pour ses propres données, mais reste tenu aux obligations de sécurité de l'Article 32 RGPD et au secret professionnel de l'Article L.1110-4 du Code de la santé publique.
3.3 Service de relais chiffré pour l'accès distant
Lorsqu'un praticien du cabinet souhaite accéder à son catalog depuis l'extérieur (domicile, déplacement), U-Shoot fournit un service de relais TCP/WebSocket hébergé sur l'infrastructure cloud U-Shoot. Ce relais :
- Transite des paquets chiffrés de bout en bout entre le client distant du praticien et le serveur de son cabinet ;
- Est conçu pour empêcher l'accès au contenu de ces paquets dans le cadre normal de fonctionnement (les clés de chiffrement sont détenues exclusivement par le serveur cabinet et le client distant) ;
- N'effectue aucune conservation applicative des données transitées (buffer mémoire strictement éphémère nécessaire à la retransmission, libéré en quelques secondes maximum) ;
- Conserve uniquement des métadonnées techniques (identifiant de session, horodatage, volume transféré, adresses IP) pour les besoins de sécurité (audit, lutte contre l'abus), à l'exclusion de tout contenu.
U-Shoot SAS considère que ce service de relais constitue un simple service de transport au sens du Règlement (UE) 2022/2065 sur les services numériques (DSA), Article 4 ; un service d'hébergement à responsabilité allégée au sens de l'Article 6.I.2 de la LCEN (responsabilité limitée pour les contenus dont elle n'a pas connaissance) ; et un service couvert par le secret des correspondances au sens de l'Article L.32-3 du Code des postes et des communications électroniques.
Cette qualification, et l'analyse selon laquelle un tel service de transport éphémère chiffré ne relève pas du régime d'agrément HDS de l'Article L.1111-8 CSP, est défendue par U-Shoot SAS sur la base de la doctrine publiée par l'Agence du Numérique en Santé (périmètre de la certification HDS) excluant les services de simple transport sans rétention ni accès au contenu. Cette position s'appuie sur une documentation technique et juridique interne détaillée, communicable sur demande motivée à un conseil juridique ou à l'autorité compétente.
En cas d'évolution de la doctrine ou d'une décision publique de l'autorité compétente requalifiant ce service en hébergement de données de santé, U-Shoot SAS s'engage à migrer le relais sur une infrastructure certifiée HDS dans un délai raisonnable, sans modification produit du côté du cabinet ou du client distant. Cette clause de pivot est documentée dans le DPA Art.28 et la politique de confidentialité.
Article 4 — Activité et qualification juridique
U-Shoot SAS édite un logiciel de gestion de photos cliniques destiné aux professionnels de santé bucco-dentaire et fournit, à titre accessoire, un service de relais chiffré pour l'accès distant à l'infrastructure du cabinet.
À ce titre, U-Shoot SAS est soumise au Règlement (UE) 2016/679 (RGPD), à la loi n°78-17 du 6 janvier 1978 modifiée, aux dispositions du Code de la santé publique applicables aux données de santé (notamment Articles L.1110-4 et L.1111-8 CSP), ainsi qu'à la LCEN, au CPCE et au Règlement (UE) 2022/2065 (DSA).
U-Shoot SAS n'est pas elle-même un professionnel de santé et ne dispense aucun acte de soin.
4.1 Qualification RGPD
| Périmètre | Qualification de U-Shoot SAS | Base légale |
|---|---|---|
| Compte praticien (email, mot de passe, identité administrative) | Responsable de traitement | Art.6.1.b RGPD (exécution du contrat) |
| Données de facturation | Responsable de traitement | Art.6.1.c RGPD (obligation légale) |
| Métadonnées techniques du relais (sessions, IP, volumes) | Responsable de traitement | Art.6.1.f RGPD (intérêt légitime — sécurité) |
| Contenu des Données patient (photos, identité, notes cliniques) | U-Shoot SAS ne traite pas le contenu de ces données (elles ne quittent pas le cabinet ; le transit chiffré E2E via le relais n'est pas accessible à U-Shoot dans le cadre normal du service) | Sans objet pour U-Shoot — relève du Cabinet (Art.9.2.h + L.1110-4 CSP) |
| Métadonnées techniques de transit (UUID session, IP, volumes, horodatages) | Sous-traitant limité Art.28 : U-Shoot traite ces métadonnées pour le compte du Cabinet (sécurité, audit) | Art.28 RGPD — voir DPA résiduel |
4.2 Distinction par rapport au modèle SaaS classique
Contrairement à un modèle SaaS d'hébergement de données patient, U-Shoot SAS n'est pas sous-traitant au sens de l'Article 28 RGPD pour le contenu des données patient. U-Shoot agit toutefois comme sous-traitant limité pour certaines métadonnées techniques strictement nécessaires au fonctionnement du service de relais (UUID de session, adresses IP, volumes transférés, horodatages), encadrées par le DPA résiduel. Cette architecture est rendue possible par le chiffrement E2E systématique du contenu (l'infrastructure est conçue pour empêcher l'accès au contenu dans le cadre normal de fonctionnement) et par l'absence de conservation applicative des données patient sur les serveurs U-Shoot.
Un DPA résiduel est cependant proposé à la signature par chaque cabinet activant le service de relais, pour encadrer les traitements limités dans lesquels U-Shoot intervient (métadonnées techniques, support distant le cas échéant).
Article 5 — Référent RGPD
Pour toute question relative à la protection des données personnelles, le contact est : rgpd@u-shoot.io.
À ce jour, U-Shoot SAS n'est pas tenue de désigner un Délégué à la Protection des Données (DPO) au sens de l'Article 37 RGPD. Cette désignation sera revue selon le critère "traitement à grande échelle de données sensibles" — qui ne devrait pas être atteint dans le modèle pivot puisque U-Shoot ne traite pas les données patient en clair.
Article 6 — Propriété intellectuelle
L'ensemble des éléments composant le service U-Shoot et le site https://u-shoot.io — incluant sans s'y limiter le code source, les interfaces utilisateur, la charte graphique, les logos, les textes, les illustrations, les bases de données, les noms de domaine — sont la propriété exclusive de U-Shoot SAS ou des tiers ayant accordé à U-Shoot SAS une licence d'utilisation.
Toute reproduction, extraction, modification, distribution, ou utilisation publique sans autorisation écrite expresse de U-Shoot SAS est strictement interdite et constitue une contrefaçon au sens des Articles L.335-2 et L.335-3 du Code de la propriété intellectuelle (sanctions : 3 ans d'emprisonnement et 300 000 € d'amende).
La marque verbale française "U-SHOOT" est déposée à l'Institut National de la Propriété Industrielle (INPI) sous le numéro 5 261 566 (dépôt du 25 mai 2026, classes 9 et 42). Le logo associé est protégé au titre du droit d'auteur.
Article 7 — Liens hypertextes
Le site https://u-shoot.io peut contenir des liens vers des sites tiers. U-Shoot SAS n'exerce aucun contrôle sur ces sites et décline toute responsabilité quant à leur contenu, leur disponibilité, ou les pratiques de protection de la vie privée qu'ils mettent en œuvre.
Article 8 — Modification des mentions légales
Les présentes mentions légales peuvent être modifiées à tout moment par U-Shoot SAS. La date de dernière mise à jour figure en tête du document.
L'historique des versions antérieures est conservé par U-Shoot SAS à des fins de traçabilité juridique et communicable sur demande à rgpd@u-shoot.io.
Article 9 — Loi applicable
Les présentes mentions légales sont régies par le droit français. Tout litige sera porté devant les tribunaux compétents conformément aux règles de droit commun.
Conformément à la Loi n°94-665 du 4 août 1994 (loi Toubon), la version française du présent document fait foi en cas de divergence avec toute traduction.
Article 10 — Contact
Pour toute question relative aux présentes mentions :
U-Shoot SAS 16 rue Henri Poincaré, 92110 Clichy Email : contact@u-shoot.io Référent RGPD : rgpd@u-shoot.io
Annexe — Sanctions et rappels réglementaires
Pour mémoire (ne fait pas grief à la présente publication) :
| Manquement | Sanction maximale |
|---|---|
| Défaut de mentions légales LCEN (Art.6-III) | 75 000 € d'amende + 1 an d'emprisonnement (Art.6-VI LCEN) |
| Violations RGPD (Art.5/6/9) | 20 M€ ou 4 % du chiffre d'affaires mondial (Art.83 RGPD) |
| Violations Art.32-34 RGPD (sécurité, notification) | 10 M€ ou 2 % du CA mondial |
| Atteinte au secret professionnel | 1 an + 15 000 € (Art.226-13 CP + L.1110-4 CSP) |
| Défaut d'agrément HDS | 3 ans + 45 000 € (L.1115-1 CSP) |
| Contrefaçon logiciel | 3 ans + 300 000 € (Art.L.335-2 CPI) |
Jurisprudence récente notable secteur santé : Dedalus Biologie 1,5 M€ CNIL (2022) pour fuite de 491 000 dossiers patients — défaut de mesures Art.32 RGPD.