FR
🇫🇷Français
🇬🇧English
Retour Ă  l'accueil

Accord de traitement des données (DPA)

Entrée en vigueur : 2 avril 2026 · Référence : EM-SGSI-LEG-DPA-FR-001_v1.0

Alignement : ISO/IEC 27001:2022 · SOC 2 Type 2 · Loi 25 (Québec) · LPRPDE (Canada)

Objet : Le présent DPA régit le traitement des données personnelles effectué par ExpertMedical dans le cadre de la fourniture de la plateforme SaaS ExpertMedical.ai. Il complète les Conditions d'utilisation et la Politique de confidentialité.

1. Parties

Le présent Accord de traitement des données (« DPA ») est conclu entre :

Le Client (médecin ou organisation utilisatrice de la plateforme)

ET

ExpertMedical inc. (ci-après « ExpertMedical »)

2. Objet

2.1 Le présent DPA régit le traitement des données personnelles effectué par ExpertMedical dans le cadre de la fourniture de la plateforme SaaS ExpertMedical.ai.

2.2 Il complète les Conditions d'utilisation et la Politique de confidentialité.

2.3 En cas de conflit, le présent DPA prévaut pour tout ce qui concerne la protection des données.

3. DĂ©finitions

  • DonnĂ©es personnelles : toute information permettant d'identifier une personne.
  • DonnĂ©es de santĂ© (PHI) : renseignements personnels de santĂ©.
  • Traitement : toute opĂ©ration effectuĂ©e sur des donnĂ©es (collecte, stockage, modification, etc.).
  • Responsable du traitement : le Client.
  • Sous-traitant : ExpertMedical.

4. RĂ´le des parties

4.1 Le Client agit comme responsable du traitement.

4.2 ExpertMedical agit comme sous-traitant.

4.3 ExpertMedical traite les données uniquement :

  • selon les instructions documentĂ©es du Client
  • pour la prestation des services

4.4 ExpertMedical ne traite pas les données à ses propres fins.

5. Nature et finalité du traitement

5.1 Nature du traitement :

  • stockage
  • structuration
  • analyse assistĂ©e par IA
  • gĂ©nĂ©ration de rapports

5.2 Finalités :

  • production de rapports mĂ©dico-lĂ©gaux
  • gestion de dossiers
  • sĂ©curitĂ© et journalisation

6. Catégories de données

6.1 Données traitées :

  • donnĂ©es d'identification
  • donnĂ©es professionnelles
  • donnĂ©es de santĂ© (PHI)
  • donnĂ©es techniques (logs, IP)

6.2 Catégories de personnes :

  • patients
  • professionnels de santĂ©
  • utilisateurs de la plateforme

7. Instructions du Client

7.1 ExpertMedical agit uniquement sur instruction du Client.

7.2 L'utilisation de la plateforme constitue une instruction valide.

8. Sécurité des données

8.1 ExpertMedical met en Ĺ“uvre des mesures conformes aux meilleures pratiques :

  • chiffrement AES-256-GCM (au repos)
  • chiffrement TLS 1.3 (en transit)
  • MFA obligatoire
  • contrĂ´le d'accès (moindre privilège)
  • journalisation et surveillance
  • tests de sĂ©curitĂ©

8.2 Les données sont hébergées exclusivement au Canada (GCP Montréal).

8.3 Aucune donnée de santé (PHI) n'est transférée hors du Canada.

9. Confidentialité

9.1 ExpertMedical s'engage à assurer la confidentialité des données.

9.2 Les employés et sous-traitants sont soumis à des obligations contractuelles strictes.

10. Sous-traitants ultérieurs

10.1 ExpertMedical peut utiliser des sous-traitants (ex. GCP, Stripe).

10.2 Tous les sous-traitants sont soumis Ă  :

  • des obligations de sĂ©curitĂ© Ă©quivalentes
  • des contrats de protection des donnĂ©es

10.3 ExpertMedical demeure responsable de leurs actions.

11. Transferts de données

11.1 Les données de santé (PHI) demeurent au Canada.

11.2 Certaines données administratives peuvent être traitées hors Canada.

11.3 Ces transferts sont encadrés par des EFVP (PIA).

12. Droits des personnes

12.1 Le Client est responsable de répondre aux demandes des personnes concernées.

12.2 ExpertMedical assiste le Client dans la mesure du possible.

13. Notification des incidents

13.1 ExpertMedical notifie le Client sans délai déraisonnable.

13.2 Délai cible : Notification effectuée dans les délais requis par la réglementation applicable, selon la nature et la criticité de l'incident.

13.3 Notification inclut :

  • nature de l'incident
  • donnĂ©es concernĂ©es
  • mesures prises

14. Conservation et suppression

14.1 Données conservées pendant la durée du service.

14.2 Suppression après :

  • fin du contrat
  • ou selon politiques de conservation

14.3 Logs conservés 7 ans.

15. Audit et conformité

15.1 Le Client peut demander des informations de conformité.

15.2 Preuves disponibles via Trust Center.

15.3 Certifications en cours :

  • ISO 27001
  • SOC 2 Type 2

16. Assistance conformité

ExpertMedical assiste le Client pour :

  • EFVP (PIA)
  • audits
  • obligations rĂ©glementaires

17. Responsabilité

17.1 Chaque partie est responsable de ses obligations.

17.2 Les limitations des Conditions d'utilisation s'appliquent.

18. Durée

18.1 Le présent DPA s'applique pendant toute la durée du service.

18.2 Il prend fin avec la résiliation du contrat principal.

19. Loi applicable

19.1 Lois du Québec et du Canada.

19.2 Juridiction : Montréal.

20. Contact

20.1 Pour toute question relative au traitement des données : legal@expertmedical.ai

20.2 ExpertMedical s'engage à répondre dans des délais raisonnables conformément aux exigences applicables.

20.3 Des informations supplémentaires relatives à la sécurité et à la conformité sont disponibles au Trust Center.

Data Processing Agreement (DPA)

Effective date: April 2, 2026 · Reference: EM-SGSI-LEG-DPA-EN-001_v1.0

Alignment: ISO/IEC 27001:2022 · SOC 2 Type 2 · Law 25 (Quebec) · PIPEDA (Canada)

Purpose: This DPA governs the processing of personal data carried out by ExpertMedical in connection with the provision of the ExpertMedical.ai SaaS platform. It supplements the Terms of Use and the Privacy Policy.

1. Parties

This Data Processing Agreement ("DPA") is entered into between:

The Client (physician or organization using the platform)

AND

ExpertMedical inc. (hereinafter "ExpertMedical")

2. Purpose

2.1 This DPA governs the processing of personal data carried out by ExpertMedical in connection with the provision of the ExpertMedical.ai SaaS platform.

2.2 It supplements the Terms of Use and the Privacy Policy.

2.3 In the event of conflict, this DPA prevails with respect to data protection matters.

3. Definitions

  • Personal Data: any information that can identify an individual.
  • Health Data (PHI): personal health information.
  • Processing: any operation performed on data (collection, storage, modification, etc.).
  • Controller: the Client.
  • Processor: ExpertMedical.

4. Roles of the Parties

4.1 The Client acts as the data controller.

4.2 ExpertMedical acts as the data processor.

4.3 ExpertMedical processes data only:

  • according to the Client's documented instructions
  • for the provision of services

4.4 ExpertMedical does not process data for its own purposes.

5. Nature and Purpose of Processing

5.1 Nature of processing:

  • storage
  • structuring
  • AI-assisted analysis
  • report generation

5.2 Purposes:

  • production of medico-legal reports
  • case management
  • security and logging

6. Categories of Data

6.1 Data processed:

  • identification data
  • professional data
  • health data (PHI)
  • technical data (logs, IP)

6.2 Categories of data subjects:

  • patients
  • healthcare professionals
  • platform users

7. Client Instructions

7.1 ExpertMedical acts only on the Client's instructions.

7.2 Use of the platform constitutes a valid instruction.

8. Data Security

8.1 ExpertMedical implements measures aligned with best practices:

  • AES-256-GCM encryption (at rest)
  • TLS 1.3 encryption (in transit)
  • Mandatory MFA
  • Access control (least privilege)
  • Logging and monitoring
  • Security testing

8.2 Data is hosted exclusively in Canada (GCP Montreal).

8.3 No health data (PHI) is transferred outside Canada.

9. Confidentiality

9.1 ExpertMedical undertakes to ensure the confidentiality of data.

9.2 Employees and subcontractors are subject to strict contractual obligations.

10. Subprocessors

10.1 ExpertMedical may use subprocessors (e.g., GCP, Stripe).

10.2 All subprocessors are subject to:

  • equivalent security obligations
  • data protection agreements

10.3 ExpertMedical remains responsible for their actions.

11. Data Transfers

11.1 Health data (PHI) remains in Canada.

11.2 Certain administrative data may be processed outside Canada.

11.3 These transfers are governed by PIAs (Privacy Impact Assessments).

12. Data Subject Rights

12.1 The Client is responsible for responding to data subject requests.

12.2 ExpertMedical assists the Client to the extent possible.

13. Incident Notification

13.1 ExpertMedical notifies the Client without undue delay.

13.2 Target timeframe: Notification is carried out within the timeframes required by applicable regulations, based on the nature and severity of the incident.

13.3 Notification includes:

  • nature of the incident
  • data concerned
  • measures taken

14. Retention and Deletion

14.1 Data is retained for the duration of the service.

14.2 Deletion occurs after:

  • termination of the contract
  • or according to retention policies

14.3 Logs are retained for 7 years.

15. Audit and Compliance

15.1 The Client may request compliance information.

15.2 Evidence is available via the Trust Center.

15.3 Certifications in progress:

  • ISO 27001
  • SOC 2 Type 2

16. Compliance Assistance

ExpertMedical assists the Client with:

  • PIAs
  • audits
  • regulatory obligations

17. Liability

17.1 Each party is responsible for its obligations.

17.2 The limitations set out in the Terms of Use apply.

18. Term

18.1 This DPA applies for the entire duration of the service.

18.2 It terminates upon termination of the main agreement.

19. Governing Law

19.1 Laws of Quebec and Canada.

19.2 Jurisdiction: Montreal.

20. Contact

20.1 For any questions regarding data processing: legal@expertmedical.ai

20.2 ExpertMedical will respond within reasonable timeframes in accordance with applicable requirements.

20.3 Additional information regarding security and compliance is available at the Trust Center.