Confiance
Politique de confidentialité
Remplace: la version dont la dernière mise à jour date du 2025-01-10.
Une note sur les mots que nous utilisons
Nous essayons d'écrire en langage clair et simple. Quelques termes reviennent tout au long de la politique; nous les définissons une seule fois ici:
- Renseignements personnels — tout renseignement à votre sujet en tant que personne identifiable. Votre nom, votre adresse courriel et votre date de naissance sont des renseignements personnels.
- Renseignements de santé protégés (PHI) — le sous-ensemble des renseignements personnels qui concernent votre santé et qui sont rattachés à vous en tant que personne identifiable. Dans medwallet, cela comprend par exemple vos médicaments, vos signes vitaux, les documents de laboratoire que vous téléversez, les notes vocales que vous enregistrez et le profil de santé des membres de la famille que vous ajoutez. Dans toute cette politique, quand nous disons « renseignements sur la santé », nous voulons dire les PHI.
- Vous — la personne qui utilise medwallet et, lorsque vous gérez des dossiers pour un membre de la famille ou une personne à charge, les personnes dont vous gérez les dossiers.
- Nous / medwallet — la société qui exploite l'application medwallet.
1. Qui nous sommes
medwallet est une application grand public de dossiers de santé. Elle vous permet de garder vos dossiers de santé et ceux de votre famille — médicaments, signes vitaux, documents, notes vocales et plus encore — en un seul endroit, sur votre appareil et sur nos serveurs sécurisés.
- La personne responsable de vos renseignements personnels (notre responsable de la protection des renseignements personnels): Par défaut, il s'agit de notre chef de la direction, qui exerce le rôle de responsable de la protection des renseignements personnels au sens de la Loi 25 du Québec (P-39.1, art. 3.1), de responsable de la vie privée et de point de contact pour les plaintes au sens de la HIPAA (45 CFR §164.530(a)(1)), et de personne responsable au sens de la LPRPDE (annexe 1, principe 4.1). L'art. 3.1 de la Loi 25 du Québec et le §164.530(a)(1)(ii) de la HIPAA nous obligent tous deux à publier le titre et les coordonnées de cette personne.
2. Ce que couvre cette politique et comment medwallet est réglementée
medwallet est conçue pour traiter de véritables renseignements sur la santé, sous le régime des lois sur la protection des renseignements personnels et des lois sur les dossiers de santé qui s'appliquent à nos utilisateurs. Ces utilisateurs se trouvent au Canada, et leurs renseignements sur la santé sont stockés et traités au Canada.
Les lois autour desquelles nous avons conçu medwallet sont les suivantes:
- HIPAA (Health Insurance Portability and Accountability Act des États-Unis) — le cadre américain de protection de la vie privée en matière de santé.
- La Loi 25 du Québec (Loi sur la protection des renseignements personnels dans le secteur privé, P-39.1) — la loi québécoise sur la protection des renseignements personnels dans le secteur privé.
- La LPRPDE (Loi sur la protection des renseignements personnels et les documents électroniques) — la loi fédérale canadienne sur la protection des renseignements personnels dans le secteur privé.
3. Les renseignements personnels que nous recueillons
Nous recueillons seulement ce qu'il nous faut pour faire fonctionner l'application et offrir ses fonctions.
| Catégorie | Exemples | S'agit-il de renseignements sur la santé (PHI)? |
|---|---|---|
| Compte et identité | Votre adresse courriel; vos identifiants de connexion; si vous utilisez Se connecter avec Apple, un jeton d'identité fourni par Apple | Renseignements personnels, pas des renseignements sur la santé |
| Dossiers de santé que vous saisissez | Médicaments et journaux de doses; signes vitaux (p. ex. poids, taille); allergies; problèmes de santé; choix de consentement; suivis de l'humeur | Oui — renseignements sur la santé |
| Documents et notes vocales | PDF de laboratoire et autres fichiers que vous téléversez; notes vocales que vous enregistrez, et leurs transcriptions | Oui — renseignements sur la santé |
| Dossiers de la famille et des personnes à charge | Les mêmes types de dossiers, pour les membres de la famille ou les personnes à charge que vous ajoutez et gérez | Oui — renseignements sur la santé |
| Facturation | L'état de votre abonnement et des identifiants de facturation opaques provenant de nos prestataires de paiement. Nous ne recevons pas et ne stockons pas votre numéro de carte complet — nos prestataires de paiement s'en chargent. | Renseignements personnels, pas des renseignements sur la santé |
| Appareil et données techniques | Un identifiant d'appareil opaque servant à acheminer les notifications; la version de l'application et la plateforme; des signaux de diagnostic et d'utilisation de base | Renseignements personnels; conçus pour ne transporter aucun renseignement sur la santé (voir § 6) |
Nous ne vendons pas vos renseignements personnels.
4. Pourquoi nous les recueillons
Nous recueillons et utilisons vos renseignements aux fins suivantes:
- Pour fournir l'application: stocker, afficher et organiser vos dossiers de santé et ceux de votre famille; envoyer des rappels de prise de médicaments; transcrire les notes vocales; gérer votre ménage et vos personnes à charge.
- Pour gérer votre compte: vous connecter et vous garder connecté; gérer votre abonnement et votre facturation.
- Pour garder le service sûr et fiable: détecter et corriger les erreurs, prévenir les abus et tenir une piste de vérification de la sécurité et des accès, comme l'exigent les lois sur les dossiers de santé.
- Pour communiquer avec vous: envoyer des messages transactionnels (par exemple, un courriel de compte ou d'invitation, ou un avis indiquant que votre exportation de données est prête).
Selon la Loi 25 du Québec, nos fins doivent être sérieuses et légitimes, et elles sont déterminées avant la collecte. Selon la LPRPDE, nous déterminons nos fins au plus tard au moment de la collecte. Selon la HIPAA, nous appliquons le principe du minimum nécessaire aux utilisations et aux communications.
5. À qui nous les communiquons (nos prestataires de services)
Pour faire fonctionner medwallet, nous faisons appel à un petit ensemble de prestataires de services vérifiés (parfois appelés sous-traitants). Lorsqu'un prestataire traite vos renseignements sur la santé, nous avons conclu avec lui une entente d'associé commercial signée (« Business Associate Agreement » ou BAA) — le contrat que la HIPAA exige avant qu'un prestataire puisse traiter des PHI pour notre compte. Nous les énumérons ouvertement ici.
Prestataires qui traitent vos renseignements sur la santé (sous une BAA signée):
| Prestataire | Ce qu'il fait | Renseignements sur la santé traités |
|---|---|---|
| Supabase | Notre base de données, notre stockage de fichiers et notre système de connexion — le système principal qui stocke vos dossiers, vos documents et vos notes vocales | Oui — c'est là que vivent vos dossiers |
| Microsoft Azure (service Speech) | Convertit vos notes vocales en texte | Oui — l'audio de votre note vocale et sa transcription |
Prestataires utilisés d'une manière conçue pour ne transporter aucun renseignement sur la santé:
| Prestataire | Ce qu'il fait | Renseignements sur la santé traités |
|---|---|---|
| Microsoft Azure (stockage d'audit, courriel transactionnel, secrets, surveillance) | Stocke une piste de vérification exempte de renseignements sur la santé; envoie des courriels transactionnels; conserve des secrets; surveille l'état du système | Non — conçu pour être exempt de renseignements sur la santé |
| Sentry | Rapports d'erreurs (nous aide à trouver et à corriger les pannes) | Non — un filtre retire les renseignements sur la santé avant tout envoi |
| PostHog | Analyse de produit (nous aide à comprendre comment l'application est utilisée) | Non — un filtre retire les renseignements sur la santé avant tout envoi |
| Stripe et RevenueCat | Traitent les paiements d'abonnement et suivent les droits d'accès conférés par votre abonnement | Non — état de facturation et identifiants opaques seulement; pas vos dossiers de santé |
| Firebase Cloud Messaging (Google) | Achemine les notifications poussées (comme les rappels de prise de médicaments) | Non — la notification ne transporte qu'un code opaque; le texte lisible est composé sur votre propre appareil |
| Apple (Se connecter avec Apple) | Vous permet de vous connecter avec votre identifiant Apple | Non — un jeton d'identité seulement |
Comment nous gardons les renseignements sur la santé hors des prestataires « sans renseignements sur la santé »: notre application est construite de sorte que tout ce qui ne figure pas sur une courte liste de champs approuvés est automatiquement retiré avant de quitter nos systèmes. C'est une conception de type refus par défaut — si un champ n'est pas explicitement autorisé, il est retiré.
6. Où vos renseignements sont stockés (résidence des données)
Vos renseignements sur la santé sont stockés et traités au Canada. Ils résident dans une région canadienne (Canada Central, ca-central-1), au pays, et ne sont pas déplacés vers une autre région. Nos copies de sauvegarde restent aussi au Canada.
Le seul moment où vos renseignements sur la santé quittent notre contrôle, c'est lorsque vous en demandez une copie (voir § 7, « Obtenir une copie de vos données / portabilité »). À ce moment-là, c'est vous qui rapatriez vos propres données vers votre propre appareil. C'est vous qui exercez votre droit d'accès, et non nous qui envoyons vos données ailleurs.
Note transfrontalière pour la facturation: Nos prestataires de paiement exercent leurs activités au Canada et aux États-Unis. Les renseignements qui leur parviennent sont l'état de facturation et des identifiants opaques — pas vos dossiers de santé. Comme certains renseignements de facturation peuvent être traités à l'extérieur du Québec, la Loi 25 du Québec nous oblige à évaluer ce transfert.
7. Vos droits et comment les exercer
Vous avez des droits sur vos renseignements personnels. Selon votre lieu de résidence, ces droits découlent de la HIPAA, de la Loi 25 du Québec et de la LPRPDE. Vous pouvez:
- Accès — obtenir la confirmation de ce que nous détenons à votre sujet et en recevoir une copie.
- Rectification — faire corriger un renseignement inexact ou incomplet.
- Suppression — nous demander de supprimer votre compte et vos dossiers de santé (voir « Supprimer votre compte » ci-dessous pour savoir comment cela fonctionne et ce qui est conservé).
- Restriction — nous demander de restreindre certaines utilisations de vos renseignements.
- Obtenir une copie de vos données (portabilité) — recevoir une copie des renseignements sur la santé que vous avez fournis, dans un format technologique structuré et couramment utilisé. medwallet l'offre sous forme d'exportation FHIR R4 (FHIR est une norme d'échange de données de santé largement utilisée), accompagnée d'un fichier complémentaire étiqueté pour toute donnée qui ne correspond pas à FHIR. Vous en faites la demande dans l'application; vous téléchargez votre propre copie.
- Retrait du consentement — lorsque nous nous appuyons sur votre consentement, vous pouvez le retirer. Le retirer est aussi simple que de le donner.
- Plainte — auprès de nous, et auprès de l'organisme de réglementation de la vie privée compétent (voir § 12).
Comment faire une demande: Communiquez avec notre responsable de la protection des renseignements personnels (voir § 1). Nous répondons dans un délai de 30 jours.
Supprimer votre compte — comment cela fonctionne, honnêtement
Quand vous supprimez votre compte, nous voulons être francs avec vous sur ce qui se passe, parce que les lois sur les dossiers de santé nous obligent à garder, même après la suppression, un petit registre de certains événements, exempt de renseignements sur la santé.
- Vos dossiers de santé sont supprimés. Quand vous supprimez votre compte, vos dossiers de santé actifs et ceux de vos personnes à charge (médicaments, signes vitaux, documents, notes vocales, suivis de l'humeur, etc.) sont retirés de façon permanente de nos systèmes actifs.
- Une piste de vérification exempte de renseignements sur la santé est conservée. Les lois sur les dossiers de santé (les exigences de la HIPAA en matière de contrôles d'audit et de comptabilisation des communications, ainsi que les règles de conservation québécoises et canadiennes) nous obligent à garder la trace que certains événements se sont produits — par exemple, quand des dossiers ont été consultés ou partagés. Cette piste ne contient aucun renseignement clinique sur la santé — elle consigne seulement qu'un événement a eu lieu, au moyen de références internes non identifiantes. Nous la conservons pendant la période de conservation exigée par la loi (au moins le plancher HIPAA d'environ six ans), puis nous la détruisons ou l'anonymisons.
- Les copies de sauvegarde expirent avec le temps. Pour des raisons de reprise après sinistre, les renseignements supprimés peuvent demeurer dans nos copies de sauvegarde chiffrées pendant une période maximale de 28 jours, après quoi ces copies expirent et les renseignements en disparaissent aussi. Nous ne les restaurons pas, sauf pour nous remettre d'un sinistre.
- Exportez d'abord. Avant de supprimer, vous pouvez exporter une copie de vos données (voir « Obtenir une copie de vos données » ci-dessus). Le processus de suppression vous l'offre.
- Certaines choses que nous ne pouvons pas annuler pour vous. Si vous aviez un abonnement payant, la suppression de votre compte n'entraîne pas automatiquement son remboursement, et un abonnement acheté auprès d'Apple ou de Google doit être annulé auprès d'Apple ou de Google. Nous vous le disons dans le processus de suppression.
8. Combien de temps nous conservons vos renseignements (conservation)
Nous conservons vos renseignements seulement aussi longtemps que nous en avons besoin pour les fins ci-dessus, puis nous les détruisons ou les anonymisons. En résumé:
| Catégorie | Durée de conservation |
|---|---|
| Dossiers de santé actifs | Tant que votre compte est actif; supprimés quand vous supprimez votre compte (voir § 7) |
| Compte et identité | Tant que votre compte est actif; les détails d'identité sont effacés quand votre compte est purgé |
| Piste de vérification / de conformité (exempte de renseignements sur la santé) | Une période de conservation exigée par la loi — au moins le plancher HIPAA d'environ six ans — puis destruction ou anonymisation |
| Copies de sauvegarde | Jusqu'à 28 jours dans la chaîne de sauvegarde chiffrée à récupération ponctuelle, puis expiration |
9. Comment nous protégeons vos renseignements (mesures de protection)
Nous protégeons vos renseignements au moyen de mesures techniques et organisationnelles, notamment:
- Le chiffrement de vos renseignements en transit (TLS) et au repos, ainsi que sur votre appareil.
- Des contrôles d'accès stricts. L'accès à vos dossiers est appliqué au niveau de la base de données, de sorte que les dossiers d'un ménage ne peuvent pas être lus par un autre. Notre système est construit de façon qu'aucune requête ordinaire de l'application ne s'exécute avec des privilèges de base de données élevés.
- Une piste de vérification des accès aux renseignements sur la santé, comme l'exigent les lois sur les dossiers de santé.
- Une couche de filtrage des renseignements sur la santé qui retire les renseignements sur la santé de tout ce qui est envoyé à nos prestataires de rapports d'erreurs, d'analyse, de facturation, de courriel et de notifications poussées (voir § 5).
- Des ententes avec les prestataires (BAA et mandats de prestataires de services) qui les obligent à protéger vos renseignements.
10. Renseignements des enfants et des personnes à charge
medwallet permet à un titulaire de compte adulte de gérer les dossiers de santé de membres de sa famille et de personnes à charge, y compris des enfants.
- Seuil d'âge. Une personne de moins de 14 ans ne peut pas être titulaire du compte.
- Personnes à charge. Un titulaire de compte peut ajouter des personnes à charge et gérer leurs dossiers. Pour une personne à charge de 14 ans ou plus, medwallet consigne si elle peut être admissible à consentir pour elle-même, conformément à la Loi 25 du Québec, qui exige le consentement du titulaire de l'autorité parentale pour un mineur de moins de 14 ans (P-39.1, art. 4.1).
- Les renseignements sur la santé d'un enfant ou d'une personne à charge sont traités comme les renseignements sensibles sur la santé qu'ils sont, avec les mêmes protections que tout autre renseignement sur la santé dans medwallet.
11. En cas d'incident de confidentialité (atteinte à la protection des données)
S'il survient un incident de confidentialité ou une atteinte touchant vos renseignements personnels, et que le seuil légal de notification est atteint, nous aviserons les personnes concernées et l'organisme de réglementation de la vie privée compétent, comme la loi l'exige. Nous tenons un registre interne des incidents et suivons une procédure de réponse aux atteintes.
Les seuils et les délais sont fixés par la loi:
- Loi 25 du Québec (art. 3.5): nous avisons la Commission d'accès à l'information (CAI) et les personnes concernées lorsqu'il existe un risque de préjudice sérieux, et nous tenons un registre des incidents de confidentialité (art. 3.8).
- LPRPDE (art. 10.1 / 10.2 / 10.3): nous faisons rapport au Commissariat à la protection de la vie privée du Canada (CPVP) et nous avisons les personnes concernées lorsqu'il existe un risque réel de préjudice grave, et nous tenons des registres des atteintes.
- HIPAA (45 CFR §164.400–414): nous suivons la règle de notification des atteintes (« Breach Notification Rule ») lorsqu'elle s'applique.
Nous nous engageons à donner l'avis sans délai déraisonnable une fois le seuil légal atteint. Nous ne promettons pas un nombre d'heures fixe, parce que c'est la loi qui fixe la norme et qu'un avis prématuré ou inexact peut faire plus de mal que de bien.
12. Qui nous réglemente et comment porter plainte
Si vous avez une préoccupation, communiquez d'abord avec notre responsable de la protection des renseignements personnels (voir § 1). Vous avez aussi le droit de porter plainte auprès d'un organisme de réglementation:
- Québec: Commission d'accès à l'information du Québec (CAI).
- Canada (fédéral): Commissariat à la protection de la vie privée du Canada (CPVP).
13. Version française (French version)
Le droit québécois — la Loi 25 et la Charte de la langue française — exige une version française de cette politique pour les utilisateurs du Québec, et la version française est la version faisant autorité aux fins juridiques québécoises.
15. Modifications de cette politique
Si nous apportons un changement important à la façon dont nous traitons vos renseignements, nous mettrons à jour cette politique et sa date d'entrée en vigueur.
17. Données utilisateur de Google
Données utilisateur de Google. Si vous connectez votre compte Gmail, medwallet lit vos courriels (en lecture seule) uniquement pour repérer des documents liés à la santé et les importer dans votre propre dossier medwallet. Nous n'envoyons, ne modifions ni ne supprimons jamais vos courriels. Nous n'utilisons pas vos données Gmail à des fins publicitaires, nous ne les vendons jamais, et notre personnel ne les lit pas, sauf avec votre consentement explicite, à des fins de sécurité ou lorsque la loi l'exige. Vous pouvez déconnecter Gmail à tout moment, ce qui met fin à tout accès et supprime les jetons de connexion que nous stockions.
L'utilisation par medwallet des renseignements reçus des API de Google se conformera à la politique relative aux données utilisateur des services d'API de Google (« Google API Services User Data Policy »), y compris ses exigences d'utilisation limitée (« Limited Use »). L'utilisation des données utilisateur brutes ou dérivées reçues des API Workspace se conformera à la politique de Google sur les données utilisateur (« Google User Data Policy »), y compris les exigences d'utilisation limitée.
medwallet ne conserve pas les données utilisateur obtenues par l'entremise des API Workspace pour développer, améliorer ou entraîner des modèles d'intelligence artificielle ou d'apprentissage automatique non personnalisés.