Trust
Privacy policy
Replaces: the version last updated 2025-01-10.
A note on words we use
We try to write in plain language. A few terms appear throughout, so we define them once here:
- Personal information (PI) — any information about you as an identifiable person. Your name, email address, and date of birth are personal information.
- Protected health information (PHI) — the subset of personal information that is about your health and is tied to you as an identifiable person. In medwallet this includes things like your medications, your vital signs, lab documents you upload, voice notes you record, and the health profile of family members you add. Throughout this policy, when we say "health information" we mean PHI.
- You — the person using medwallet, and (where you manage records for a family member or dependent) the people whose records you manage.
- We / us / medwallet — the company that operates the medwallet app.
1. Who we are
medwallet is a consumer health-records app. It lets you keep your own and your family's health records — medications, vitals, documents, voice notes, and more — in one place on your device and in our secure backend.
- The person in charge of your personal information (our Privacy Officer): By default this is our Chief Executive Officer, who holds the role of the person in charge of personal-information protection under Quebec Law 25 (P-39.1, s. 3.1), the HIPAA Privacy Official and complaints contact (45 CFR §164.530(a)(1)), and the PIPEDA accountable individual (Schedule 1, Principle 4.1). Quebec Law 25 s. 3.1 and HIPAA §164.530(a)(1)(ii) both require us to publish this person's title and contact information.
2. What this policy covers and how medwallet is regulated
medwallet is built to handle real health information under the privacy and health-records laws that apply to our users. Those users are in Canada, and their health information is stored and processed in Canada.
The laws we have designed medwallet around are:
- HIPAA (the U.S. Health Insurance Portability and Accountability Act) — the U.S. health-privacy framework.
- Quebec Law 25 (the Act respecting the protection of personal information in the private sector, P-39.1) — the Quebec private-sector privacy law.
- PIPEDA (the Personal Information Protection and Electronic Documents Act) — the Canadian federal private-sector privacy law.
3. What personal information we collect
We collect only what we need to run the app and provide its features.
| Category | Examples | Is it health information (PHI)? |
|---|---|---|
| Account and identity | Your email address; sign-in details; if you use Sign in with Apple, an identity token from Apple | Personal information, not health information |
| Health records you enter | Medications and dose logs; vital signs (e.g. weight, height); allergies; conditions; consent choices; mood check-ins | Yes — health information |
| Documents and voice notes | Lab PDFs and other files you upload; voice notes you record, and their text transcripts | Yes — health information |
| Family / dependent records | The same kinds of records, for family members or dependents you add and manage | Yes — health information |
| Billing | Your subscription status and opaque billing identifiers from our payment providers. We do not receive or store your full card number — our payment providers handle that. | Personal information, not health information |
| Device and technical | An opaque device identifier used to deliver notifications; app version and platform; basic diagnostic and usage signals | Personal information; designed to carry no health information (see § 6) |
We do not sell your personal information.
4. Why we collect it
We collect and use your information for these purposes:
- To provide the app: to store, display, and organize your and your family's health records; to send dose reminders; to transcribe voice notes; to manage your household and dependents.
- To run your account: to sign you in and keep you signed in; to manage your subscription and billing.
- To keep the service safe and reliable: to detect and fix errors, prevent abuse, and maintain a security and access audit trail as health-records law requires.
- To communicate with you: to send transactional messages (for example, an account or invite email, or a notice that your data export is ready).
Under Quebec Law 25, our purposes must be serious and legitimate and are determined before we collect. Under PIPEDA we identify our purposes at or before collection. Under HIPAA, we apply the minimum-necessary principle to uses and disclosures.
5. Who we share it with (our service providers)
We use a small set of vetted service providers (sometimes called subprocessors) to run medwallet. Where a provider handles your health information, we have a signed Business Associate Agreement (BAA) — the contract HIPAA requires before a provider may handle PHI on our behalf — in place. We list them openly here.
Providers that handle your health information (under a signed BAA):
| Provider | What it does | Health information handled |
|---|---|---|
| Supabase | Our database, file storage, and sign-in system — the main system that stores your records, documents, and voice notes | Yes — this is where your records live |
| Microsoft Azure (Speech service) | Converts your voice notes into text | Yes — the audio of your voice note and its transcript |
Providers used in a way designed to carry no health information:
| Provider | What it does | Health information handled |
|---|---|---|
| Microsoft Azure (audit storage, transactional email, secrets, monitoring) | Stores a health-information-free audit trail; sends transactional email; holds secrets; monitors system health | No — designed to be free of health information |
| Sentry | Error reporting (helps us find and fix crashes) | No — a filter removes health information before anything is sent |
| PostHog | Product analytics (helps us understand how the app is used) | No — a filter removes health information before anything is sent |
| Stripe and RevenueCat | Process subscription payments and track entitlements | No — billing status and opaque identifiers only; not your health records |
| Firebase Cloud Messaging (Google) | Delivers push notifications (like dose reminders) | No — the notification carries only an opaque code; the readable text is built on your own device |
| Apple (Sign in with Apple) | Lets you sign in with your Apple ID | No — an identity token only |
How we keep health information out of the "no health information" providers: our app is built so that anything not on a small approved list of fields is automatically stripped out before it leaves our systems. This is a deny-by-default design — if a field is not explicitly allowed, it is removed.
6. Where your information is stored (data residency)
Your health information is stored and processed in Canada. It lives in a Canadian region (Canada Central, ca-central-1), in-country, and is not moved to another region. Our backups stay within Canada as well.
The one time your health information leaves our control is when you ask for a copy of it (see § 7, "Get a copy of your data / portability"). At that point you are pulling your own data to your own device. That is you exercising your right of access, not us sending your data somewhere.
Cross-border note for billing: Our payment providers operate in both Canada and the United States. The information that reaches them is billing status and opaque identifiers — not your health records. Because some billing information may be processed outside Quebec, Quebec Law 25 requires us to assess that transfer.
7. Your rights and how to use them
You have rights over your personal information. Depending on where you live, these come from HIPAA, Quebec Law 25, and PIPEDA. You can:
- Access — get confirmation of what we hold about you and a copy of it.
- Correct — fix information that is inaccurate or incomplete.
- Delete — ask us to delete your account and your health records (see "Deleting your account" below for how this works and what is kept).
- Restrict — ask us to limit certain uses of your information.
- Get a copy of your data (portability) — receive a copy of the health information you have provided, in a structured, commonly used technological format. medwallet provides this as a FHIR R4 export (FHIR is a widely used health-data interchange standard), plus a labelled companion file for any data that does not map to FHIR. You request it inside the app; you download your own copy.
- Withdraw consent — where we rely on your consent, you can withdraw it. Withdrawing is as easy as giving it.
- Complain — to us, and to the relevant privacy regulator (see § 12).
How to make a request: Contact our Privacy Officer (see § 1). We respond within 30 days.
Deleting your account — how it works, honestly
When you delete your account, we want to be straight with you about what happens, because health-records law requires us to keep a small, health-information-free record of certain events even after you delete.
- Your health records are deleted. When you delete your account, your and your dependents' live health records (medications, vitals, documents, voice notes, mood check-ins, and so on) are permanently removed from our active systems.
- A health-information-free audit trail is kept. Health-records law (HIPAA's audit-control and disclosure-accounting requirements, and Quebec/Canadian retention rules) requires us to keep a record that certain events happened — for example, when records were accessed or shared. This trail contains no clinical health information — it records only that an event occurred, using non-identifying internal references. We keep it for a legally required retention period (at least the HIPAA floor of about six years), then destroy or anonymize it.
- Backups age out. For disaster-recovery reasons, deleted information can remain in our encrypted backups for up to 28 days before those backups age out and the information is gone from them too. We do not restore it except to recover from a disaster.
- Export first. Before you delete, you can export a copy of your data (see "Get a copy of your data" above). The delete flow offers this.
- Some things we can't undo for you. If you had a paid subscription, deleting your account does not automatically refund it, and a subscription bought through Apple or Google must be cancelled through Apple or Google. We tell you this in the delete flow.
8. How long we keep your information (retention)
We keep your information only as long as we need it for the purposes above, and then we destroy or anonymize it. In summary:
| Category | How long we keep it |
|---|---|
| Live health records | While your account is active; deleted when you delete your account (see § 7) |
| Account and identity | While your account is active; identity details are scrubbed when your account is purged |
| Audit / compliance trail (health-information-free) | A legally required retention period — at least the HIPAA floor of about six years — then destroyed or anonymized |
| Backups | Up to 28 days in the encrypted point-in-time backup chain, then aged out |
9. How we protect your information (safeguards)
We protect your information with technical and organizational measures, including:
- Encryption of your information in transit (TLS) and at rest, and on your device.
- Strict access controls. Access to your records is enforced at the database level, so one household's records cannot be read by another. Our system is built so that no ordinary app request runs with elevated database privileges.
- An audit trail of access to health information, as health-records law requires.
- A health-information-stripping layer that removes health information from anything sent to our error-reporting, analytics, billing, email, and push providers (see § 5).
- Vendor agreements (BAAs and service-provider mandates) requiring our providers to protect your information.
10. Children's and dependents' information
medwallet lets an adult account holder manage health records for family members and dependents, including children.
- Age gate. A person under 14 cannot be the account holder.
- Dependents. An account holder can add and manage records for dependents. For a dependent aged 14 or older, medwallet records whether they may be eligible to consent for themselves, consistent with Quebec Law 25, which requires the consent of the person with parental authority for a minor under 14 (P-39.1 s. 4.1).
- Health information about a child or dependent is treated as the sensitive health information it is, with the same protections as any other health information in medwallet.
11. If there is a data breach
If there is a confidentiality incident or breach affecting your personal information, and it meets the legal threshold for notification, we will notify the affected individuals and the relevant privacy regulator as the law requires. We maintain an internal incident register and follow a breach-response procedure.
The thresholds and timelines are set by law:
- Quebec Law 25 (s. 3.5): we notify the Commission d'accès à l'information (CAI) and affected individuals where there is a risk of serious injury, and we keep a register of confidentiality incidents (s. 3.8).
- PIPEDA (s. 10.1 / s. 10.2 / s. 10.3): we report to the Office of the Privacy Commissioner of Canada (OPC) and notify affected individuals where there is a real risk of significant harm, and we keep breach records.
- HIPAA (45 CFR §164.400–414): we follow the Breach Notification Rule where it applies.
We commit to notifying without unreasonable delay once the legal threshold is met. We do not promise a fixed number of hours, because the law sets the standard and a premature or inaccurate notice can do more harm than good.
12. Who regulates us and how to complain
If you have a concern, contact our Privacy Officer first (see § 1). You also have the right to complain to a regulator:
- Quebec: Commission d'accès à l'information du Québec (CAI).
- Canada (federal): Office of the Privacy Commissioner of Canada (OPC).
13. French version (version française)
Quebec law — Quebec Law 25 and the Charter of the French Language — requires a French-language version of this policy for Quebec users, and the French version is the authoritative version for Quebec legal purposes.
15. Changes to this policy
If we make a significant change to how we handle your information, we will update this policy and update the effective date.
17. Google user data
Google user data. If you connect your Gmail account, medwallet reads your mail (read-only) solely to find health-related documents and import them into your own medwallet record. We never send, change, or delete your mail. We do not use your Gmail data for advertising, never sell it, and our staff do not read it except with your explicit consent, for security, or where the law requires. You can disconnect Gmail at any time, which stops all access and deletes our stored connection tokens.
medwallet's use of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements. The use of raw or derived user data received from Workspace APIs will adhere to the Google User Data Policy, including the Limited Use requirements.
medwallet does not retain user data obtained through Workspace APIs to develop, improve, or train non-personalized artificial-intelligence or machine-learning models.
Remplace: la version dont la dernière mise à jour date du 2025-01-10.
Une note sur les mots que nous utilisons
Nous essayons d'écrire en langage clair et simple. Quelques termes reviennent tout au long de la politique; nous les définissons une seule fois ici:
- Renseignements personnels — tout renseignement à votre sujet en tant que personne identifiable. Votre nom, votre adresse courriel et votre date de naissance sont des renseignements personnels.
- Renseignements de santé protégés (PHI) — le sous-ensemble des renseignements personnels qui concernent votre santé et qui sont rattachés à vous en tant que personne identifiable. Dans medwallet, cela comprend par exemple vos médicaments, vos signes vitaux, les documents de laboratoire que vous téléversez, les notes vocales que vous enregistrez et le profil de santé des membres de la famille que vous ajoutez. Dans toute cette politique, quand nous disons « renseignements sur la santé », nous voulons dire les PHI.
- Vous — la personne qui utilise medwallet et, lorsque vous gérez des dossiers pour un membre de la famille ou une personne à charge, les personnes dont vous gérez les dossiers.
- Nous / medwallet — la société qui exploite l'application medwallet.
1. Qui nous sommes
medwallet est une application grand public de dossiers de santé. Elle vous permet de garder vos dossiers de santé et ceux de votre famille — médicaments, signes vitaux, documents, notes vocales et plus encore — en un seul endroit, sur votre appareil et sur nos serveurs sécurisés.
- La personne responsable de vos renseignements personnels (notre responsable de la protection des renseignements personnels): Par défaut, il s'agit de notre chef de la direction, qui exerce le rôle de responsable de la protection des renseignements personnels au sens de la Loi 25 du Québec (P-39.1, art. 3.1), de responsable de la vie privée et de point de contact pour les plaintes au sens de la HIPAA (45 CFR §164.530(a)(1)), et de personne responsable au sens de la LPRPDE (annexe 1, principe 4.1). L'art. 3.1 de la Loi 25 du Québec et le §164.530(a)(1)(ii) de la HIPAA nous obligent tous deux à publier le titre et les coordonnées de cette personne.
2. Ce que couvre cette politique et comment medwallet est réglementée
medwallet est conçue pour traiter de véritables renseignements sur la santé, sous le régime des lois sur la protection des renseignements personnels et des lois sur les dossiers de santé qui s'appliquent à nos utilisateurs. Ces utilisateurs se trouvent au Canada, et leurs renseignements sur la santé sont stockés et traités au Canada.
Les lois autour desquelles nous avons conçu medwallet sont les suivantes:
- HIPAA (Health Insurance Portability and Accountability Act des États-Unis) — le cadre américain de protection de la vie privée en matière de santé.
- La Loi 25 du Québec (Loi sur la protection des renseignements personnels dans le secteur privé, P-39.1) — la loi québécoise sur la protection des renseignements personnels dans le secteur privé.
- La LPRPDE (Loi sur la protection des renseignements personnels et les documents électroniques) — la loi fédérale canadienne sur la protection des renseignements personnels dans le secteur privé.
3. Les renseignements personnels que nous recueillons
Nous recueillons seulement ce qu'il nous faut pour faire fonctionner l'application et offrir ses fonctions.
| Catégorie | Exemples | S'agit-il de renseignements sur la santé (PHI)? |
|---|---|---|
| Compte et identité | Votre adresse courriel; vos identifiants de connexion; si vous utilisez Se connecter avec Apple, un jeton d'identité fourni par Apple | Renseignements personnels, pas des renseignements sur la santé |
| Dossiers de santé que vous saisissez | Médicaments et journaux de doses; signes vitaux (p. ex. poids, taille); allergies; problèmes de santé; choix de consentement; suivis de l'humeur | Oui — renseignements sur la santé |
| Documents et notes vocales | PDF de laboratoire et autres fichiers que vous téléversez; notes vocales que vous enregistrez, et leurs transcriptions | Oui — renseignements sur la santé |
| Dossiers de la famille et des personnes à charge | Les mêmes types de dossiers, pour les membres de la famille ou les personnes à charge que vous ajoutez et gérez | Oui — renseignements sur la santé |
| Facturation | L'état de votre abonnement et des identifiants de facturation opaques provenant de nos prestataires de paiement. Nous ne recevons pas et ne stockons pas votre numéro de carte complet — nos prestataires de paiement s'en chargent. | Renseignements personnels, pas des renseignements sur la santé |
| Appareil et données techniques | Un identifiant d'appareil opaque servant à acheminer les notifications; la version de l'application et la plateforme; des signaux de diagnostic et d'utilisation de base | Renseignements personnels; conçus pour ne transporter aucun renseignement sur la santé (voir § 6) |
Nous ne vendons pas vos renseignements personnels.
4. Pourquoi nous les recueillons
Nous recueillons et utilisons vos renseignements aux fins suivantes:
- Pour fournir l'application: stocker, afficher et organiser vos dossiers de santé et ceux de votre famille; envoyer des rappels de prise de médicaments; transcrire les notes vocales; gérer votre ménage et vos personnes à charge.
- Pour gérer votre compte: vous connecter et vous garder connecté; gérer votre abonnement et votre facturation.
- Pour garder le service sûr et fiable: détecter et corriger les erreurs, prévenir les abus et tenir une piste de vérification de la sécurité et des accès, comme l'exigent les lois sur les dossiers de santé.
- Pour communiquer avec vous: envoyer des messages transactionnels (par exemple, un courriel de compte ou d'invitation, ou un avis indiquant que votre exportation de données est prête).
Selon la Loi 25 du Québec, nos fins doivent être sérieuses et légitimes, et elles sont déterminées avant la collecte. Selon la LPRPDE, nous déterminons nos fins au plus tard au moment de la collecte. Selon la HIPAA, nous appliquons le principe du minimum nécessaire aux utilisations et aux communications.
5. À qui nous les communiquons (nos prestataires de services)
Pour faire fonctionner medwallet, nous faisons appel à un petit ensemble de prestataires de services vérifiés (parfois appelés sous-traitants). Lorsqu'un prestataire traite vos renseignements sur la santé, nous avons conclu avec lui une entente d'associé commercial signée (« Business Associate Agreement » ou BAA) — le contrat que la HIPAA exige avant qu'un prestataire puisse traiter des PHI pour notre compte. Nous les énumérons ouvertement ici.
Prestataires qui traitent vos renseignements sur la santé (sous une BAA signée):
| Prestataire | Ce qu'il fait | Renseignements sur la santé traités |
|---|---|---|
| Supabase | Notre base de données, notre stockage de fichiers et notre système de connexion — le système principal qui stocke vos dossiers, vos documents et vos notes vocales | Oui — c'est là que vivent vos dossiers |
| Microsoft Azure (service Speech) | Convertit vos notes vocales en texte | Oui — l'audio de votre note vocale et sa transcription |
Prestataires utilisés d'une manière conçue pour ne transporter aucun renseignement sur la santé:
| Prestataire | Ce qu'il fait | Renseignements sur la santé traités |
|---|---|---|
| Microsoft Azure (stockage d'audit, courriel transactionnel, secrets, surveillance) | Stocke une piste de vérification exempte de renseignements sur la santé; envoie des courriels transactionnels; conserve des secrets; surveille l'état du système | Non — conçu pour être exempt de renseignements sur la santé |
| Sentry | Rapports d'erreurs (nous aide à trouver et à corriger les pannes) | Non — un filtre retire les renseignements sur la santé avant tout envoi |
| PostHog | Analyse de produit (nous aide à comprendre comment l'application est utilisée) | Non — un filtre retire les renseignements sur la santé avant tout envoi |
| Stripe et RevenueCat | Traitent les paiements d'abonnement et suivent les droits d'accès conférés par votre abonnement | Non — état de facturation et identifiants opaques seulement; pas vos dossiers de santé |
| Firebase Cloud Messaging (Google) | Achemine les notifications poussées (comme les rappels de prise de médicaments) | Non — la notification ne transporte qu'un code opaque; le texte lisible est composé sur votre propre appareil |
| Apple (Se connecter avec Apple) | Vous permet de vous connecter avec votre identifiant Apple | Non — un jeton d'identité seulement |
Comment nous gardons les renseignements sur la santé hors des prestataires « sans renseignements sur la santé »: notre application est construite de sorte que tout ce qui ne figure pas sur une courte liste de champs approuvés est automatiquement retiré avant de quitter nos systèmes. C'est une conception de type refus par défaut — si un champ n'est pas explicitement autorisé, il est retiré.
6. Où vos renseignements sont stockés (résidence des données)
Vos renseignements sur la santé sont stockés et traités au Canada. Ils résident dans une région canadienne (Canada Central, ca-central-1), au pays, et ne sont pas déplacés vers une autre région. Nos copies de sauvegarde restent aussi au Canada.
Le seul moment où vos renseignements sur la santé quittent notre contrôle, c'est lorsque vous en demandez une copie (voir § 7, « Obtenir une copie de vos données / portabilité »). À ce moment-là, c'est vous qui rapatriez vos propres données vers votre propre appareil. C'est vous qui exercez votre droit d'accès, et non nous qui envoyons vos données ailleurs.
Note transfrontalière pour la facturation: Nos prestataires de paiement exercent leurs activités au Canada et aux États-Unis. Les renseignements qui leur parviennent sont l'état de facturation et des identifiants opaques — pas vos dossiers de santé. Comme certains renseignements de facturation peuvent être traités à l'extérieur du Québec, la Loi 25 du Québec nous oblige à évaluer ce transfert.
7. Vos droits et comment les exercer
Vous avez des droits sur vos renseignements personnels. Selon votre lieu de résidence, ces droits découlent de la HIPAA, de la Loi 25 du Québec et de la LPRPDE. Vous pouvez:
- Accès — obtenir la confirmation de ce que nous détenons à votre sujet et en recevoir une copie.
- Rectification — faire corriger un renseignement inexact ou incomplet.
- Suppression — nous demander de supprimer votre compte et vos dossiers de santé (voir « Supprimer votre compte » ci-dessous pour savoir comment cela fonctionne et ce qui est conservé).
- Restriction — nous demander de restreindre certaines utilisations de vos renseignements.
- Obtenir une copie de vos données (portabilité) — recevoir une copie des renseignements sur la santé que vous avez fournis, dans un format technologique structuré et couramment utilisé. medwallet l'offre sous forme d'exportation FHIR R4 (FHIR est une norme d'échange de données de santé largement utilisée), accompagnée d'un fichier complémentaire étiqueté pour toute donnée qui ne correspond pas à FHIR. Vous en faites la demande dans l'application; vous téléchargez votre propre copie.
- Retrait du consentement — lorsque nous nous appuyons sur votre consentement, vous pouvez le retirer. Le retirer est aussi simple que de le donner.
- Plainte — auprès de nous, et auprès de l'organisme de réglementation de la vie privée compétent (voir § 12).
Comment faire une demande: Communiquez avec notre responsable de la protection des renseignements personnels (voir § 1). Nous répondons dans un délai de 30 jours.
Supprimer votre compte — comment cela fonctionne, honnêtement
Quand vous supprimez votre compte, nous voulons être francs avec vous sur ce qui se passe, parce que les lois sur les dossiers de santé nous obligent à garder, même après la suppression, un petit registre de certains événements, exempt de renseignements sur la santé.
- Vos dossiers de santé sont supprimés. Quand vous supprimez votre compte, vos dossiers de santé actifs et ceux de vos personnes à charge (médicaments, signes vitaux, documents, notes vocales, suivis de l'humeur, etc.) sont retirés de façon permanente de nos systèmes actifs.
- Une piste de vérification exempte de renseignements sur la santé est conservée. Les lois sur les dossiers de santé (les exigences de la HIPAA en matière de contrôles d'audit et de comptabilisation des communications, ainsi que les règles de conservation québécoises et canadiennes) nous obligent à garder la trace que certains événements se sont produits — par exemple, quand des dossiers ont été consultés ou partagés. Cette piste ne contient aucun renseignement clinique sur la santé — elle consigne seulement qu'un événement a eu lieu, au moyen de références internes non identifiantes. Nous la conservons pendant la période de conservation exigée par la loi (au moins le plancher HIPAA d'environ six ans), puis nous la détruisons ou l'anonymisons.
- Les copies de sauvegarde expirent avec le temps. Pour des raisons de reprise après sinistre, les renseignements supprimés peuvent demeurer dans nos copies de sauvegarde chiffrées pendant une période maximale de 28 jours, après quoi ces copies expirent et les renseignements en disparaissent aussi. Nous ne les restaurons pas, sauf pour nous remettre d'un sinistre.
- Exportez d'abord. Avant de supprimer, vous pouvez exporter une copie de vos données (voir « Obtenir une copie de vos données » ci-dessus). Le processus de suppression vous l'offre.
- Certaines choses que nous ne pouvons pas annuler pour vous. Si vous aviez un abonnement payant, la suppression de votre compte n'entraîne pas automatiquement son remboursement, et un abonnement acheté auprès d'Apple ou de Google doit être annulé auprès d'Apple ou de Google. Nous vous le disons dans le processus de suppression.
8. Combien de temps nous conservons vos renseignements (conservation)
Nous conservons vos renseignements seulement aussi longtemps que nous en avons besoin pour les fins ci-dessus, puis nous les détruisons ou les anonymisons. En résumé:
| Catégorie | Durée de conservation |
|---|---|
| Dossiers de santé actifs | Tant que votre compte est actif; supprimés quand vous supprimez votre compte (voir § 7) |
| Compte et identité | Tant que votre compte est actif; les détails d'identité sont effacés quand votre compte est purgé |
| Piste de vérification / de conformité (exempte de renseignements sur la santé) | Une période de conservation exigée par la loi — au moins le plancher HIPAA d'environ six ans — puis destruction ou anonymisation |
| Copies de sauvegarde | Jusqu'à 28 jours dans la chaîne de sauvegarde chiffrée à récupération ponctuelle, puis expiration |
9. Comment nous protégeons vos renseignements (mesures de protection)
Nous protégeons vos renseignements au moyen de mesures techniques et organisationnelles, notamment:
- Le chiffrement de vos renseignements en transit (TLS) et au repos, ainsi que sur votre appareil.
- Des contrôles d'accès stricts. L'accès à vos dossiers est appliqué au niveau de la base de données, de sorte que les dossiers d'un ménage ne peuvent pas être lus par un autre. Notre système est construit de façon qu'aucune requête ordinaire de l'application ne s'exécute avec des privilèges de base de données élevés.
- Une piste de vérification des accès aux renseignements sur la santé, comme l'exigent les lois sur les dossiers de santé.
- Une couche de filtrage des renseignements sur la santé qui retire les renseignements sur la santé de tout ce qui est envoyé à nos prestataires de rapports d'erreurs, d'analyse, de facturation, de courriel et de notifications poussées (voir § 5).
- Des ententes avec les prestataires (BAA et mandats de prestataires de services) qui les obligent à protéger vos renseignements.
10. Renseignements des enfants et des personnes à charge
medwallet permet à un titulaire de compte adulte de gérer les dossiers de santé de membres de sa famille et de personnes à charge, y compris des enfants.
- Seuil d'âge. Une personne de moins de 14 ans ne peut pas être titulaire du compte.
- Personnes à charge. Un titulaire de compte peut ajouter des personnes à charge et gérer leurs dossiers. Pour une personne à charge de 14 ans ou plus, medwallet consigne si elle peut être admissible à consentir pour elle-même, conformément à la Loi 25 du Québec, qui exige le consentement du titulaire de l'autorité parentale pour un mineur de moins de 14 ans (P-39.1, art. 4.1).
- Les renseignements sur la santé d'un enfant ou d'une personne à charge sont traités comme les renseignements sensibles sur la santé qu'ils sont, avec les mêmes protections que tout autre renseignement sur la santé dans medwallet.
11. En cas d'incident de confidentialité (atteinte à la protection des données)
S'il survient un incident de confidentialité ou une atteinte touchant vos renseignements personnels, et que le seuil légal de notification est atteint, nous aviserons les personnes concernées et l'organisme de réglementation de la vie privée compétent, comme la loi l'exige. Nous tenons un registre interne des incidents et suivons une procédure de réponse aux atteintes.
Les seuils et les délais sont fixés par la loi:
- Loi 25 du Québec (art. 3.5): nous avisons la Commission d'accès à l'information (CAI) et les personnes concernées lorsqu'il existe un risque de préjudice sérieux, et nous tenons un registre des incidents de confidentialité (art. 3.8).
- LPRPDE (art. 10.1 / 10.2 / 10.3): nous faisons rapport au Commissariat à la protection de la vie privée du Canada (CPVP) et nous avisons les personnes concernées lorsqu'il existe un risque réel de préjudice grave, et nous tenons des registres des atteintes.
- HIPAA (45 CFR §164.400–414): nous suivons la règle de notification des atteintes (« Breach Notification Rule ») lorsqu'elle s'applique.
Nous nous engageons à donner l'avis sans délai déraisonnable une fois le seuil légal atteint. Nous ne promettons pas un nombre d'heures fixe, parce que c'est la loi qui fixe la norme et qu'un avis prématuré ou inexact peut faire plus de mal que de bien.
12. Qui nous réglemente et comment porter plainte
Si vous avez une préoccupation, communiquez d'abord avec notre responsable de la protection des renseignements personnels (voir § 1). Vous avez aussi le droit de porter plainte auprès d'un organisme de réglementation:
- Québec: Commission d'accès à l'information du Québec (CAI).
- Canada (fédéral): Commissariat à la protection de la vie privée du Canada (CPVP).
13. Version française (French version)
Le droit québécois — la Loi 25 et la Charte de la langue française — exige une version française de cette politique pour les utilisateurs du Québec, et la version française est la version faisant autorité aux fins juridiques québécoises.
15. Modifications de cette politique
Si nous apportons un changement important à la façon dont nous traitons vos renseignements, nous mettrons à jour cette politique et sa date d'entrée en vigueur.
17. Données utilisateur de Google
Données utilisateur de Google. Si vous connectez votre compte Gmail, medwallet lit vos courriels (en lecture seule) uniquement pour repérer des documents liés à la santé et les importer dans votre propre dossier medwallet. Nous n'envoyons, ne modifions ni ne supprimons jamais vos courriels. Nous n'utilisons pas vos données Gmail à des fins publicitaires, nous ne les vendons jamais, et notre personnel ne les lit pas, sauf avec votre consentement explicite, à des fins de sécurité ou lorsque la loi l'exige. Vous pouvez déconnecter Gmail à tout moment, ce qui met fin à tout accès et supprime les jetons de connexion que nous stockions.
L'utilisation par medwallet des renseignements reçus des API de Google se conformera à la politique relative aux données utilisateur des services d'API de Google (« Google API Services User Data Policy »), y compris ses exigences d'utilisation limitée (« Limited Use »). L'utilisation des données utilisateur brutes ou dérivées reçues des API Workspace se conformera à la politique de Google sur les données utilisateur (« Google User Data Policy »), y compris les exigences d'utilisation limitée.
medwallet ne conserve pas les données utilisateur obtenues par l'entremise des API Workspace pour développer, améliorer ou entraîner des modèles d'intelligence artificielle ou d'apprentissage automatique non personnalisés.