1. Introduction

1.1 ExpertMedical inc. (« ExpertMedical », « nous ») accorde une importance primordiale à la protection des renseignements personnels, incluant les renseignements personnels de santé (« RPS » ou « PHI »).

1.2 La présente Politique de confidentialité décrit :

• 1.2.1 les types de données collectées
• 1.2.2 les finalités de leur traitement
• 1.2.3 les mesures mises en place pour assurer leur sécurité
• 1.2.4 les droits des utilisateurs

1.3 ExpertMedical applique un principe strict de minimisation des données et ne collecte que les renseignements nécessaires à la prestation de ses services.

2. Rôle des parties

2.1 Dans le cadre de ses services :

• 2.1.1 Le client (médecin ou organisation) agit à titre de responsable des données (contrôleur)
• 2.1.2 ExpertMedical agit à titre de fournisseur de service (processeur / sous-traitant)

2.2 ExpertMedical traite les données uniquement :

• 2.2.1 selon les instructions du client
• 2.2.2 dans le cadre strict de la prestation de ses services

2.3 ExpertMedical n’utilise jamais les données à ses propres fins.

3. Données collectées

Nous pouvons traiter les catégories de données suivantes :

3.1 Données d’identification

• 3.1.1 Nom, prénom
• 3.1.2 Adresse courriel
• 3.1.3 Informations professionnelles

3.2 Données de santé (PHI)

• 3.2.1 Dossiers médicaux
• 3.2.2 Notes cliniques
• 3.2.3 Documents transmis par les utilisateurs
• 3.2.4 Données nécessaires à la production de rapports médico-légaux

3.3 Données techniques

• 3.3.1 Adresse IP
• 3.3.2 Journaux d’activité (logs)
• 3.3.3 Données d’authentification

3.4 Données financières

3.4.1 Les paiements sont traités via Stripe.

3.4.2 ExpertMedical ne stocke pas les informations bancaires complètes.

4. Finalités du traitement

4.1 Les données sont utilisées pour :

• 4.1.1 Fournir et opérer la plateforme
• 4.1.2 Générer des rapports d’expertise
• 4.1.3 Assurer la sécurité, la journalisation et la prévention des incidents
• 4.1.4 Gérer les comptes utilisateurs
• 4.1.5 Effectuer la facturation
• 4.1.6 Respecter les obligations légales et réglementaires

4.2 Base légale du traitement

4.2.1 Les traitements de données reposent sur :

• 4.2.1.1 le consentement de l’utilisateur
• 4.2.1.2 l’exécution d’un contrat
• 4.2.1.3 le respect d’obligations légales
• 4.2.1.4 l’intérêt légitime d’ExpertMedical, notamment en matière de sécurité, de prévention des fraudes et d’amélioration du service

5. Intelligence artificielle

5.1 La plateforme utilise des technologies d’intelligence artificielle :

• 5.1.1 uniquement à des fins d’assistance
• 5.1.2 sans prise de décision médicale
• 5.1.3 sans entraînement sur les données des utilisateurs

5.2 Les données ne sont jamais utilisées pour entraîner des modèles d’intelligence artificielle.

5.3 Les données générées par la plateforme (résumés, structuration, rapports) :

• 5.3.1 demeurent sous le contrôle du client
• 5.3.2 sont considérées comme des données confidentielles

6. Hébergement et localisation des données

6.1 Les données sont hébergées exclusivement au Canada (Google Cloud Platform – région Montréal)

6.2 ExpertMedical ne transfère pas de données sensibles hors du Canada

7. Sécurité des données

7.1 ExpertMedical met en œuvre des mesures de sécurité conformes aux meilleures pratiques :

• 7.1.1 Chiffrement des données (au repos et en transit)
• 7.1.2 Gestion des accès basée sur le principe du moindre privilège
• 7.1.3 Authentification multifacteur (MFA)
• 7.1.4 Journalisation et surveillance des accès
• 7.1.5 Tests de sécurité et contrôles réguliers

8. Conformité

8.1 ExpertMedical s’aligne sur les cadres suivants :

• 8.1.1 Loi 25
• 8.1.2 PIPEDA (Canada)
• 8.1.3 ISO/IEC 27001 (en cours d’obtention)
• 8.1.4 SOC 2 Type 2 (en cours d’obtention)
• 8.1.5 Certification TGV (prévue selon la feuille de route de conformité)

8.2 Des informations complémentaires en matière de sécurité et de conformité sont disponibles dans notre Trust Center.

9. Partage des données

9.1 Les données peuvent être partagées uniquement avec :

• 9.1.1 Fournisseurs essentiels (ex. infrastructure cloud, traitement des paiements)
• 9.1.2 Autorités compétentes lorsque requis par la loi

9.2 Bien que les données de santé (RPS) soient strictement hébergées au Canada, certaines données administratives ou de facturation (ex. via Stripe) peuvent être traitées par des fournisseurs situés à l’extérieur du Québec ou du Canada. Ces transferts font l’objet d’évaluations des facteurs relatifs à la vie privée (EFVP) afin d’en assurer la sécurité et la conformité aux lois applicables.

Aucune donnée de santé (PHI) n’est transférée à l’extérieur du Canada.

9.3 Tous les fournisseurs sont soumis à des obligations contractuelles strictes en matière de sécurité et de confidentialité.

9.4 Aucune donnée n’est vendue.

10. Conservation des données

10.1 Principe général

10.1.1 Les données traitées par ExpertMedical sont conservées selon des durées strictement limitées et proportionnelles aux finalités pour lesquelles elles ont été collectées.

10.2 Données opérationnelles (dossiers et expertises)

10.2.1 Les données liées aux dossiers d’expertise (incluant les documents, notes cliniques et rapports générés) sont conservées :

• 10.2.1.1 pendant la durée nécessaire à la prestation des services
• 10.2.1.2 jusqu’à un maximum de 6 mois suivant le traitement complet du dossier

10.2.2 À l’issue de cette période, les données sont supprimées de manière sécurisée, sauf demande spécifique du client.

10.2.3 Il est de la responsabilité du client d’assurer l’archivage légal des dossiers, notamment lorsque des obligations réglementaires imposent une conservation prolongée (ex. 10 ans).

10.3 Fermeture de compte et suppression des données

10.3.1 En cas de demande de fermeture définitive du compte :

• 10.3.1.1 les données d’identification et de facturation associées au compte sont supprimées dans un délai raisonnable
• 10.3.1.2 les données d’expertise suivent les règles de conservation prévues à la section 10.2

10.3.2 Le client peut, en tout temps, soumettre une demande explicite de suppression anticipée des données d’expertise, sous réserve des obligations légales applicables.

10.4 Journalisation et audit

10.4.1 Les journaux d’activité (logs) sont conservés de manière distincte des données opérationnelles.

10.4.2 Les journaux d’activité sont conservés pour :

• 10.4.2.1 sécurité
• 10.4.2.2 audit
• 10.4.2.3 conformité réglementaire
• 10.4.2.4 détection d’incidents

10.4.3 Durée de conservation des logs : 7 ans

10.5 Suppression sécurisée

10.5.1 À l’issue des périodes de conservation applicables, les données sont :

• 10.5.1.1 supprimées de manière sécurisée
• 10.5.1.2 ou rendues anonymes lorsque applicable

10.5.2 conformément aux meilleures pratiques de l’industrie et aux exigences réglementaires.

11. Droits des utilisateurs

11.1 Conformément à la Loi 25 et à la PIPEDA, vous disposez des droits suivants:

• 11.1.1 Accéder à vos renseignements
• 11.1.2 Demander leur rectification
• 11.1.3 Demander leur suppression (dans les limites légales)
• 11.1.4 Retirer votre consentement
• 11.1.5 Demander la limitation du traitement

11.2 Toute demande peut être adressée au responsable : legal@expertmedical.ai.

12. Incidents de confidentialité

12.1 En cas d’incident de sécurité impliquant des données :

• 12.1.1 ExpertMedical met en œuvre les mesures nécessaires pour contenir l’incident
• 12.1.2 Les clients concernés sont informés sans délai déraisonnable
• 12.1.3 Les obligations réglementaires applicables sont respectées

13. Sous-traitants

13.1 ExpertMedical utilise des fournisseurs tiers pour soutenir ses opérations (ex. infrastructure cloud, paiement).

13.2 Ces fournisseurs sont sélectionnés selon des critères stricts de sécurité et de conformité.

14. Responsable de la protection des renseignements

14.1 Responsable :

David Awogni

CEO & CISO

legal@expertmedical.ai

15. Modifications

15.1 La présente politique peut être modifiée à tout moment.

15.2 Les utilisateurs seront informés de tout changement significatif.

16. Loi applicable

16.1 La présente politique est régie par les lois du Québec et du Canada.