Head of Legal and Regulatory Affairs•3 octobre 2023
Date d’entrée en vigueur : octobre 2024 Dernière mise à jour : février 2026
1. Introduction
Heidi Health Canada Inc (« Heidi », « nous », « notre » ou « nos ») s’engage à protéger les données personnelles des utilisateurs conformément à la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP, RLRQ, c. P-39.1), telle que modernisée par la Loi 25, et à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Cette politique de confidentialité explique comment nous collectons, utilisons, stockons et protégeons vos renseignements personnels, et décrit vos droits en vertu des lois applicables. Dans la présente politique, les termes "données personnelles" et "renseignements personnels" sont utilisés de manière interchangeable.
2. Champ d’application
Cette politique s’applique aux personnes situées au Québec qui utilisent la plateforme Heidi, y compris les professionnels de santé et les patients dont les données sont susceptibles d'être traitées dans le cadre de l'utilisation des services de Heidi. Elle couvre également notre rôle en tant que sous-traitant agissant pour le compte des prestataires de soins de santé, en leur qualité de responsables du traitement, ainsi que dans certains cas où Heidi agit en tant que responsable du traitement à des fins administratives limitées au sens de la LPRPSP et de la LPRPDE.
3. Rôles et responsabilités
Heidi Health agit en tant que sous-traitant pour le compte des prestataires de soins de santé (les responsables du traitement) lorsqu’elle traite les données des consultations cliniques. Heidi peut agir en tant que responsable du traitement pour des besoins administratifs (par exemple, la création de comptes utilisateurs, la communication de support, l’analyse d’utilisation de la plateforme). Ces rôles sont définis conformément à la LPRPSP et à la LPRPDE.
4. Base légale du traitement
Nous traitons les renseignements personnels conformément à la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP), telle que modernisée par la Loi 25 :
Consentement (art. 5 et 6 LPRPSP) : La collecte requiert le consentement éclairé de la personne concernée, recueilli par le professionnel de santé. Ce consentement doit être manifeste pour les renseignements sensibles, notamment les renseignements de santé.
Finalité déterminée (art. 12 LPRPSP) : Les renseignements personnels sont utilisés uniquement aux fins pour lesquelles ils ont été collectés ou à des fins compatibles.
Nécessité contractuelle (art. 8 et 13 LPRPSP) : Le traitement nécessaire à l'exécution du contrat de service entre Heidi et le professionnel de santé.
Obligation légale : Le traitement nécessaire au respect des lois applicables au Québec et au Canada.
5. Types de données collectées
Selon votre utilisation de Heidi, nous pouvons traiter :
- Données cliniques : transcriptions textuelles de consultations (générées à partir du flux audio, lequel n'est pas stocké , voir ci-dessous)
- Données techniques : adresse IP, type de navigateur, informations sur l’appareil, journaux d’utilisation
- Données de support : informations fournies volontairement à nos canaux d’assistance
Nous ne collectons ni ne stockons aucun enregistrement audio. L’audio est diffusé de manière sécurisée pour la transcription en temps réel et est immédiatement supprimé après traitement.
6. Comment nous utilisons vos données
- Pour fournir nos services de transcription par l’IA et de documentation clinique - Pour offrir un support client et répondre aux questions des utilisateurs - Pour respecter nos obligations légales ou réglementaires - Pour maintenir et améliorer la sécurité et les fonctionnalités de la plateforme - Pour remplir nos obligations contractuelles envers les prestataires de soins utilisant Heidi
Nous n’utilisons pas les données personnelles, identifiables ou non, pour entraîner les modèles d’IA, ni ne les vendons ou partageons à des fins de marketing, de profilage ou de recherche.
7. Transferts internationaux
Toutes les données personnelles des utilisateurs canadiens sont hébergées au Canada. Tout transfert hors du Québec est effectué conformément aux articles 17 et suivants de la LPRPSP, qui exigent une évaluation des facteurs relatifs à la vie privée (EFVP) préalable et des garanties contractuelles équivalentes. Une liste des sous-traitants, des services qu’ils fournissent et des juridictions dans lesquelles ils opèrent est disponible dans notre Trust Center.
8. Conservation et suppression des données
Les données personnelles sont conservées uniquement pendant la durée définie par le prestataire de soins (responsable du traitement) ou selon nos obligations contractuelles. Les utilisateurs peuvent supprimer les transcriptions ou demander leur suppression à tout moment. Nous mettons en œuvre le droit à la suppression conformément à l'article 28 de la LPRPSP et procédons à la suppression permanente et sécurisée des données conformément aux normes ISO 27001.
9. Cookies et technologies de suivi
Nous utilisons des cookies et technologies similaires pour soutenir le fonctionnement sécurisé et efficace de la plateforme Heidi. Ces technologies nous permettent d'analyser les modes d'utilisation de la plateforme, maintenir les sessions utilisateurs et assurer les fonctionnalités de la plateforme.
Types de cookies utilisés :
Cookies strictement nécessaires : essentiels au fonctionnement de notre plateforme. Incluent par exemple ceux qui permettent de se connecter à des zones sécurisées et de naviguer entre les pages.
Cookies de performance et d’analyse : permettent de reconnaître et de compter le nombre de visiteurs et de comprendre leur interaction avec la plateforme. Toutes les données sont dépersonnalisées.
Base légale : Les cookies strictement nécessaires sont utilisés sans consentement conformément à la Loi concernant le cadre juridique des technologies de l'information (RLRQ, c. C-1.1). Les cookies analytiques requièrent votre consentement préalable conformément à la LPRPSP.
Gestion des cookies : Vous pouvez gérer ou désactiver les cookies via les paramètres de votre navigateur. La désactivation des cookies essentiels peut affecter les fonctionnalités de la plateforme.
10. Sécurité des données
Nous mettons en place des mesures techniques et organisationnelles pour protéger les données personnelles, notamment : - Chiffrement TLS 1.2+ en transit et AES-256 au repos - Contrôle d’accès basé sur les rôles - Journaux d’audit en temps réel - Systèmes de détection et de prévention d’intrusion - Scans de vulnérabilité réguliers et tests de pénétration annuels
L’accès aux données est limité aux personnes autorisées, consigné, et nécessite une approbation préalable du responsable du traitement ou de l’utilisateur autorisé.
Les données sont hébergées par Amazon Web Services (AWS) dans des centres de données situés au Canada, avec des certifications SOC 2 Type II et ISO 27001.
11. Vos droits
En tant que résident du Québec, vous disposez des droits suivants : accès à vos renseignements personnels , rectification, suppression ou anonymisation lorsque la finalité est accomplie, retrait du consentement, portabilité dans un format technologique structuré et couramment utilisé, et droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé.
Pour exercer vos droits : support@heidihealth.com
Nous nous engageons à résoudre toute préoccupation ou plainte de manière transparente et rapide.
12. Sociétés affiliées
Heidi Health Canada Inc est affiliée à Oscer Enterprises Pty Ltd, Heidi Health Trading Pty Ltd, Heidi Health Ltd, Heidi Health Corp et Heidi Health Ireland Ltd . Nous pouvons partager vos données avec ces entités, uniquement en conformité avec cette politique de confidentialité. Si vous utilisez leurs services, veuillez consulter également leurs politiques respectives.