Entente contractuelle de confidentialité sur les renseignements de santé

8 août 2025

Entente contractuelle de confidentialité sur les renseignements de santé

La présente Entente contractuelle de confidentialité sur les renseignements de santé constitue l’engagement de confidentialité formel de Dilato et de ses partenaires pour la protection des renseignements de santé envers les organismes et utilisateurs, conformément aux obligations légales, telle que la Loi sur les Renseignements de Santé et de Services Sociaux, la Loi sur la protection des renseignements personnels dans le secteur privé et aux standards de sécurité en vigueur. Cette entente s'applique automatiquement aux utilisateurs et organisations de santé du Québec et est intégrée par référence dans les conditions d'utilisation de Dilato.

Responsabilité du traitement des renseignements de santé

Conformément à la LRSSS, un utilisateur (professionnel de la santé ou organisme) peut communiquer des renseignements de santé d’un patient à un tiers pour exécuter un contrat de service. L'utilisateur est le responsable des renseignements de santé au sens de la Loi 5 et est responsable de l'obtention du consentement nécessaire de ses patients pour le traitement de leurs renseignements de santé.

Dilato agit en tant que fournisseur de services et sous-traitant technologique. Bien que la plateforme soit conçue spécifiquement pour la rédaction de notes cliniques, Dilato n’intervient pas dans les décisions concernant les renseignements saisies par les utilisateurs, qui restent sous la responsabilité des professionnels de santé.

Raison d’utilisation

Les renseignements de santé transmis seront utilisés exclusivement pour l’exécution des tâches spécifiques confiées à Dilato, soit la génération de notes cliniques. Les renseignements ne seront en aucun cas utilisés à des fins personnelles, commerciales ou publicitaires, sans l’autorisation légale applicable.

Conservation et suppression des données

Les données pouvant contenir des renseignements de santé (notes cliniques saisies, notes cliniques générées, fichiers audio, transcriptions) collectés par les utilisateurs de Dilato du Québec sont hébergés par défaut sur des serveurs situés au Québec (Montréal) à moins que l’utilisateur ne sélectionne une autre région. Dilato s'assure que des mesures contractuelles strictes sont en place avec notre partenaire infonuagique, incluant des obligations de confidentialité, des mesures de sécurité strictes et des engagements relatifs à la notification des incidents de sécurité.

Les renseignements de santé sont conservés pour un maximum de 48 heures après traitement sur nos serveurs, après quoi ils sont supprimés de façon sécuritaire et définitive. Ce délai avant la destruction est nécessaire afin de permettre aux utilisateurs de réviser leurs notes cliniques avant leur transfert vers le dossier médical électrique.

Si l’utilisateur souhaite conserver certaines notes cliniques au-delà de 48 heures, les renseignements de santé qu’elles contiennent sont remplacés par des données génériques afin d’empêcher toute identification des patients, conformément à notre Politique de rétention et de destruction des données.

L'utilisateur peut supprimer lui-même toutes ses notes sur la plateforme de Dilato. Lui ou son organisme peut aussi demander la suppression de toutes ses notes cliniques en contactant notre équipe de support. Toutes les demandes de suppression seront traitées dans les délais qui respecteront les obligations légales.

Transfert de données

Dans le cadre de ses services, Dilato peut transférer certains fichiers audio, transcriptions ou notes cliniques à des fournisseurs de technologies d’intelligence artificielle à l’extérieur du Québec. Ces transferts sont réalisés vers des infrastructures situées soit au Canada, aux États-Unis ou en Union Européenne, en fonction des besoins et des capacités des partenaires technologiques.

Dilato a conclu des ententes de confidentialité avec tous les tiers impliqués dans le traitement de ces renseignements de santé. Pour chacun des tiers, un Accord de Traitement de Données (Data Processing Agreement - DPA) et un Accord d’Association d’Affaires (Business Associate Agreement - BAA) ont été conclus. Le DPA est un contrat qui encadre le traitement des données personnelles par un sous-traitant, en garantissant leur sécurité et leur utilisation conforme aux réglementations en vigueur. Le BAA, quant à lui, est une obligation spécifique à la réglementation HIPAA, exigeant que tous les fournisseurs manipulant des données de santé respectent des normes strictes de confidentialité et de protection des informations des patients. Ces accords contractuels garantissent que les données transmises sont utilisées exclusivement aux fins demandées, qu’elles ne sont ni stockées ni exploitées à d’autres fins, et qu’elles sont protégées contre tout accès non autorisé.

De plus, ces partenaires technologiques de Dilato n'ont aucun droit de rétention des données et ne conservent aucune information après le traitement des requêtes. La liste de ces fournisseurs peut être fournie sur demande.

Dilato n’a pas d’intégration direct avec les dossiers médicaux électriques (DMÉ) et dossiers cliniques informatisés (DCI). L’utilisateur doit manuellement transférer ses notes cliniques de Dilato vers son système de dossiers-patients.

Engagement de confidentialité du personnel

Tous les membres du personnel susceptibles d'accéder aux renseignements de santé ont signé un engagement formel de confidentialité, garantissant qu'ils ne divulgueront ni n'utiliseront ces informations en dehors du cadre strict de leurs fonctions.

Conformité aux réglementations

Dilato s'engage à respecter les réglementations suivantes : la Loi 5 du Québec (Loi sur la protection des renseignements personnels dans le secteur privé), la Loi sur les services de santé et les services sociaux (LRSSS) du Québec, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE/PIPEDA) au Canada, ainsi que la Health Insurance Portability and Accountability Act (HIPAA) aux États-Unis. Ces engagements garantissent une gestion rigoureuse et sécurisée des renseignements de santé.

Sécurité

Dilato met en œuvre des mesures de sécurité rigoureuses pour protéger les renseignements de santé, conformément aux règles de gouvernance de la LRSSS (articles 90 et 97) et aux standards de sécurité exigés, entre autre en conformité avec les normes HIPAA. Les renseignements de santé sont toujours chiffrés lors de leur transmission (TLS 1.2 ou +) puis stockés sous forme chiffrée (AES-256) sur des serveurs situés à Montréal.

Dilato a réalisé une Évaluation des facteurs relatifs à la vie privé (EFVP) afin d’assurer la confidentialité des renseignements de santé et d’en atténuer les risques, en tenant compte de la sensibilité des renseignements concernés, la finalité de leur utilisation, les mesures de protection contractuelles, leur quantité, leur répartition et leur support.

Contrôle des accès

L’accès aux renseignements de santé est journalisé et ces journaux sont conservés pendant six (6) ans, en conformité avec les exigences de la Loi 5. Les accès nécessitent des identifiants sécurisés avec authentification à deux facteurs. Seuls les membres autorisés de l’équipe de Dilato et des tiers impliqués auront accès aux renseignements, dans le strict cadre de l’exécution du mandat.

Gestion des incidents de confidentialité

En cas d'incident de confidentialité ou tentative de violation, comme un accès non autorisé, une fuite de données ou tout autre obligation relative à la protection des renseignements prévues cette entente, Dilato s'engage à en informer les utilisateurs et le responsable de la protection des renseignements des organismes touchés dans un maximum de 24 heures suivant la découverte de l’incident, conformément à la Loi 5. Nous mettrons également rapidement en place des mesures pour réduire l'impact de l'incident. Nous en informerons également la Commission d'accès à l'information (CAI) si l'incident présente un risque sérieux de préjudice.

Audit et vérification

Dilato est soumis à des audits périodiques de sécurité et de conformité. Sur demande du responsable des renseignements de l’organisme, Dilato acceptera que l’organisme effectue toute vérification ou enquête jugée nécessaire en matière de protection des renseignements. Dilato peut fournir des rapports d'audit et de la documentation sur ses pratiques de sécurité et de protection des données. Dilato transmettra, sans frais, tous les renseignements obtenus ou produits dans le cadre du mandat ou contrat qui sont en sa possession, chaque fois que cela sera requis par l’organisme.