Politique de confidentialité et de protection des renseignements personnels

8 août 2025

Politique de confidentialité et de protection des renseignements personnels

Introduction

Dilato Applications Inc. (“Dilato” ou “nous”) accorde une importance primordiale à la protection des renseignements personnels. La présente Politique de confidentialité décrit nos pratiques de collecte, d’utilisation, de conservation et de divulgation des renseignements personnels dans le cadre de nos services. Nos services s’adressent exclusivement à des professionnels de la santé autorisés et ne sont pas destinés à un usage par les patients ou le grand public.

Renseignements Collectés

Nous collectons uniquement les renseignements personnels nécessaires à la fourniture et à l’amélioration de nos services. Cela peut inclure:

  • Informations de compte: nom, titre, coordonnées (adresse courriel, numéro de téléphone), informations d’inscription et de facturation du professionnel de la santé utilisateur.
  • Données d’utilisation: informations techniques sur l’utilisation de l’application Dilato (p. ex. journaux d’activité, type d’appareil, adresse IP) afin d’améliorer l’expérience et la sécurité.
  • Renseignements de santé saisis dans l’application: données de santé ou cliniques concernant des patients, que le professionnel utilisateur peut entrer lors de la rédaction de notes via nos gabarits cliniques ou lors d’enregistrements audio. Ces renseignements de santé sont traités de manière confidentielle et sécurisée, comme décrit ci-dessous, et restent sous le contrôle du professionnel de la santé utilisateur.

Nous collectons ces informations de manière volontaire lorsque vous créez un compte, utilisez nos services ou nous contactez pour du support. Nous ne collectons pas directement de renseignements auprès des patients; toute donnée de patient traitée par Dilato est fournie par le professionnel de la santé utilisateur dans le cadre de son utilisation de la plateforme.

Utilisation des Renseignements

Les renseignements personnels collectés sont utilisés exclusivement pour les finalités suivantes:

  • Fourniture du service: Nous utilisons vos informations de compte et les données que vous saisissez pour exploiter l’application Dilato et fournir les fonctionnalités demandées (ex. création de notes cliniques).
  • Communication: Vos coordonnées peuvent être utilisées pour vous envoyer des notifications techniques et administratives liées à votre compte (ex. confirmations d’actions, alertes de sécurité, mises à jour des Conditions d’utilisation ou de la présente Politique), pour assurer le support utilisateur en répondant à vos demandes d’assistance/suggestions et en résolvant d’éventuels incidents techniques, ainsi que, si vous y avez consenti, pour vous informer sur les nouveautés du service, les nouvelles fonctionnalités, les offres promotionnelles ou les événements liés à notre application. Vous pouvez ajuster vos préférences de communication à tout moment via les instructions fournies dans nos courriels.
  • Amélioration du service: Nous pouvons analyser de façon agrégée et anonyme l’utilisation de Dilato (hors renseignements de santé) afin d’améliorer nos gabarits, nos fonctionnalités ou la performance de l’application. Aucune donnée de santé identifiable n’est utilisée pour entraîner ou améliorer nos algorithmes d’intelligence artificielle. Aucune donnée personnelle n’est utilisée pour toute autre fin secondaire non liée à la prestation de nos services, sauf autorisation expresse de votre part. En particulier, les renseignements de santé que vous saisissez ne sont jamais exploités à des fins de recherche, de marketing ou d’entraînement de modèles d’IA sans consentement préalable et spécifique.
  • Conformité légale et support: Vos renseignements peuvent être utilisés afin de nous conformer aux lois applicables, répondre à des obligations légales ou réglementaires, prévenir la fraude, assurer la sécurité de nos utilisateurs, ou vous fournir un soutien technique.

Divulgation et Transfert des Données

Dilato ne vend ni ne loue vos renseignements personnels à des tiers. Nous pouvons communiquer des renseignements personnels uniquement dans les cas suivants:

  • Fournisseurs de services autorisés: Nous faisons appel à des sous-traitants de confiance (p. ex. hébergement infonuagique, services d’intelligence artificielle, outils d’analyse) pour le fonctionnement de notre plateforme. Ces fournisseurs sont sélectionnés selon des critères stricts de sécurité et conformité, n’accèdent qu’aux informations nécessaires à l’exécution de leurs services et sont contractuellement tenus de protéger vos données et d’en préserver la confidentialité conformément à nos instructions et aux lois applicables. Ceci inclus un Accord de Traitement de Données avec chacun des tiers qui traitent des données personnelles. De plus, pour tous les sous-traitants qui traitent des renseignements de santé, un Accord d’Association d’Affaires (BAA) est a été conclu afin d’assurer la protection et la confidentialité de ces renseignements.
  • Groupe de facturation: Si votre abonnement à Dilato est payé par une autre personne, comme un employeur, une clinique ou une organisation, via un groupe de facturation centralisé, vous acceptez que votre nom et votre adresse courriel soient partagés avec le payeur à des fins de gestion de facturation et de compte. De plus, nous pouvons fournir au payeur des statistiques d’utilisation agrégées (ex. : fréquence d’utilisation, nombre de gabarits créés). Nous ne partagerons jamais le contenu de vos gabarits ou de vos notes cliniques que vous saisissez. Certains payeurs, notamment les grandes organisations, peuvent appliquer des paramètres spécifiques aux comptes sous leur groupe de facturation, comme restreindre l’accès à certaines fonctionnalités. Votre compte Dilato reste personnel et, si vous souhaitez quitter un groupe de facturation pour passer à un abonnement individuel, vous pouvez en faire la demande directement à la personne qui gère les membres de votre groupe pour le payeur ou nous contacter directement.
  • Obligations légales: Nous pouvons divulguer des renseignements personnels si la loi l’exige ou en réponse à une procédure judiciaire valide (p. ex. mandat, ordonnance d’un tribunal ou demande réglementaire). Dilato se réserve également le droit de communiquer des informations si cela est nécessaire pour détecter ou prévenir une fraude, faire respecter nos Conditions d’utilisation, ou protéger les droits, la propriété ou la sécurité de Dilato ou de ses utilisateurs.
  • Transaction d’entreprise: En cas de fusion, acquisition, réorganisation ou de toute autre transaction impliquant le transfert de nos activités, les données personnelles pourraient être transmises à l’entité succédante conformément aux lois applicables. Dans un tel cas, les utilisateurs seraient informés, et vos droits en matière de protection des données seraient maintenus.

En dehors de ces cas, notre politique est de ne divulguer aucune information personnelle à des tiers sans votre consentement.

Hébergement et Localisation des Données

Dilato privilégie l’hébergement local des données de santé afin d’assurer leur confidentialité et de respecter la souveraineté des données. Ainsi, les renseignements de santé que vous saisissez dans Dilato (c’est-à-dire les données cliniques sur vos patients) sont hébergés sur des serveurs sécurisés situés au Québec, Canada, à moins que vous ne choisissiez explicitement une autre localisation pour ces données, le cas échéant. Ce choix de localisation peut vous être offert pour répondre à vos besoins spécifiques ou à des obligations réglementaires particulières (par exemple, hébergement dans une autre juridiction), mais par défaut, les données de santé demeurent au Québec.

Les autres données des utilisateurs (par exemple, vos informations de compte et les métadonnées d’utilisation) peuvent être stockées sur des serveurs situés soit au Canada, soit aux États-Unis, en fonction de nos besoins opérationnels. Toute transmission ou stockage de renseignements personnels hors du Québec ou du Canada se fait en conformité avec les lois applicables, y compris la mise en place de garanties appropriées et la réalisation d’une évaluation des facteurs relatifs à la vie privée préalable, conformément à la Loi 25.

Conservation et Suppression des Données

Nous conservons les renseignements personnels uniquement pour la durée nécessaire à la réalisation des finalités décrites dans la présente Politique, ou tel que requis par la loi. Notre Politique de conservation et destruction des données décrit les durées de conservation applicables à différents types d’informations. Une fois les périodes de conservation expirées ou la demande de suppression traitée, nous détruisons ou anonymisons de façon sécurisée vos données.

Par exemple, les données associées à votre compte restent stockées tant que votre compte est actif. Les renseignements de santé de vos patients, si vous en saisissez dans l’application, sont supprimés de nos systèmes dans un délai maximal de 48 heures après leur traitement.

Si vous décidez de supprimer votre compte ou de demander la suppression de vos données, nous procéderons à l’effacement ou à l’anonymisation de vos renseignements personnels conformément à votre demande. Sur demande de suppression de vos données, Dilato supprimera vos informations personnelles dans un délai maximal de trente (30) jours. Cela inclut vos données de profil et tout renseignement personnel identifiable dans nos systèmes.

Veuillez noter que certaines informations pourraient être conservées au-delà de ce délai de 30 jours si la loi nous y oblige ou pour des raisons légitimes limitées – par exemple, pour remplir nos obligations légales, résoudre des litiges ou exercer nos droits (ex: factures devant être conservées, prévention de fraudes). Le cas échéant, ces données résiduelles sont strictement protégées et ne sont accessibles qu’à des fins juridiques ou réglementaires.

Sécurité des Données

Nous prenons très au sérieux la sécurité des renseignements personnels et de santé qui nous sont confiés. Nous appliquons des mesures de sécurité administratives, techniques et physiques conformes aux normes de l’industrie et à nos obligations légales afin de protéger vos données contre tout accès non autorisé, usage abusif, divulgation ou modification. Ces mesures comprennent, entre autres: le chiffrement des données sensibles en transit et au repos, des contrôles d’accès stricts limitant l’accès aux seules personnes ayant besoin de consulter les données pour fournir le service, la surveillance de nos infrastructures, des contrôles de sécurité réguliers et des protocoles de sauvegarde et de récupération d’urgence.

Les renseignements personnels que vous nous fournissez sont stockés sur des serveurs sécurisés à accès restreint. Nos politiques internes détaillent les pratiques et procédures mises en œuvre pour assurer un environnement sécurisé et pour réagir efficacement en cas d’incident. Nos systèmes d’hébergement respectent notamment des normes de sécurité élevées, équivalentes ou supérieures à celles requises dans le domaine de la santé.

Malgré tous nos efforts, aucun mode de transmission sur Internet ou de stockage électronique n’est totalement sécurisé. En effet, la nature même du réseau public Internet fait qu’il est impossible de garantir une sécurité absolue des données transmises. Par conséquent, Dilato ne peut promettre qu’aucune violation de sécurité ne surviendra jamais, mais nous mettons tout en œuvre pour l’éviter et, le cas échéant, en minimiser les impacts. Nous recommandons également à nos utilisateurs de maintenir la confidentialité de leurs identifiants et de mettre à jour régulièrement leur mots de passe.

Les détails sur nos mesures de sécurité à jour peuvent être consultés sur notre page de sécurité.

Notification des Violations de Données

En cas d’incident de sécurité affectant des renseignements personnels, Dilato s’engage à suivre les procédures de notification prévues par les lois applicables. Si une violation de données survient et qu’elle présente un risque élevé de préjudice pour les personnes concernées, nous notifierons l’événement dans les plus brefs délais à la ou aux autorités compétentes en matière de protection des données, et en tout état de cause dans un délai maximum de 72 heures après en avoir pris connaissance. Cette notification comprendra les informations requises (nature de l’incident, données concernées, mesures correctives prises, etc.)

De plus, lorsque la violation de données est susceptible d’entraîner un risque de préjudice sérieux pour les personnes concernées, nous aviserons également dans les meilleurs délais les individus touchés ou notre client professionnel de la santé afin qu’il puisse informer ses patients, si applicable. Cette communication décrira la nature de la violation et les mesures recommandées pour atténuer les risques. Nous tenons également un registre interne de tous les incidents de confidentialité et le communiquerons, sur demande, à la Commission d’accès à l’information du Québec ou à toute autorité compétente, conformément aux exigences légales. Chaque incident de sécurité est traité avec la plus haute priorité par notre équipe, et nous prenons toutes les mesures correctives nécessaires pour prévenir qu’il ne se reproduise.

Conformité aux Lois et Protection des Renseignements de Santé

Dilato se conforme aux exigences des différentes juridictions en matière de protection des données personnelles, en particulier pour les données de santé sensibles:

  • Loi 25 (Québec): Nous respectons les obligations découlant de la Loi 25, notamment la désignation d’un responsable de la protection des renseignements personnels, l’adoption de règles internes de gouvernance en matière de confidentialité, la réalisation d’analyses de risques quant à la communication de données et la notification des incidents de sécurité. La Loi 25, adoptée en 2021, vise à protéger la population québécoise en responsabilisant les entreprises quant aux renseignements personnels qu’elles détiennent, principe qui guide nos pratiques. Dilato traite les renseignements personnels des utilisateurs québécois conformément aux dispositions de cette loi, y compris en offrant aux personnes concernées les droits d’accès, de rectification, d’opposition, d’effacement et de portabilité prévus par le cadre légal québécois. De plus, nous adhérons au principe de protection des données dès la conception et par défaut, et nous ne réalisons aucun profilage ni décision automatisée sur les utilisateurs sans base légale valable et sans vous en informer.
  • HIPAA (États-Unis): Nous nous conformons aux exigences de la Health Insurance Portability and Accountability Act (HIPAA), une loi fédérale américaine qui régit la manière dont les organisations de santé traitent et sécurisent les informations médicales sensibles. Dans ce cadre, Dilato agit en tant que « business associate » (partenaire contractuel) des professionnels de la santé (qui sont, eux, des « covered entities » au sens de HIPAA). Nous mettons en place les mesures de protection administratives, techniques et physiques requises par la HIPAA pour protéger les renseignements de santé protégés. Nous n’utilisons ni ne divulguons les renseignements de santé que vous saisissez dans Dilato que pour vous fournir nos services et en accord avec les finalités permises par la loi (par ex. traitements, opérations internes autorisées), et jamais pour des fins non autorisées telles que le marketing ou l’entraînement de systèmes d’IA sur les données des patients sans consentement. Aucune donnée de santé n’est utilisée pour entraîner nos modèles d’intelligence artificielle ou d’apprentissage automatique.

Il convient de souligner que Dilato est une plateforme destinée exclusivement aux professionnels de la santé. Les patients n’ont pas accès directement à Dilato et n’y créent pas de compte; par conséquent, les renseignements personnels que nous traitons concernent principalement nos utilisateurs professionnels (et, indirectement, les patients dont les données sont saisies par ces professionnels). Le professionnel de la santé utilisateur demeure le gardien des renseignements de santé de ses patients et est responsable de s’assurer qu’il dispose des consentements nécessaires de la part des patients pour utiliser Dilato. Dilato, en tant que fournisseur de service, traite ces renseignements pour le compte du professionnel conformément à ses instructions et aux ententes de confidentialité applicables, en veillant à ne pas les utiliser à d’autres fins.

Témoins et technologies de suivi

Aucun témoin (cookie) non essentiel ni suivi analytique n’est activé par défaut sur notre site web sans votre consentement explicite. Seuls les témoins strictement nécessaires au fonctionnement du site et à la sécurité (ex. authentification, gestion de session) sont actifs par défaut. Vous avez la possibilité d’accepter ou de refuser l’utilisation de témoins analytiques via le bandeau de consentement affiché lors de votre première visite. Vous pouvez également modifier vos préférences à tout moment en utilisant le lien de gestion de l’utilisation des données disponible en bas de page. La désactivation de certains témoins essentiels peut affecter le fonctionnement de certaines fonctionnalités.

Mise à Jour de la Politique

La présente Politique de confidentialité peut être modifiée à l’avenir pour refléter l’évolution de nos pratiques, l’ajout de nouvelles fonctionnalités ou le respect de nouvelles exigences légales. En cas de changement important, la nouvelle version de la Politique sera publiée sur notre site Web au moins 30 jours avant son entrée en vigueur, et une notification pourra vous être envoyée (via courriel ou au sein de l’application). Nous vous encourageons à consulter notre Politique de confidentialité pour demeurer informé de nos pratiques de protection des données.

Si vous continuez à utiliser Dilato après la date d’entrée en vigueur des modifications, vous serez réputé avoir accepté la Politique mise à jour. Si vous n’acceptez pas les termes modifiés, vous devrez cesser d’utiliser nos services.

Contact et Questions

Pour toute question ou plainte concernant cette Politique de confidentialité, ou pour exercer vos droits en matière de renseignements personnels (par exemple, accès ou correction de vos données, retrait de consentement, portabilité, etc.), vous pouvez contacter notre responsable de la protection des renseignements personnels:

Dilato Applications Inc.: Responsable de la Protection des Renseignements Personnels

Courriel: info@dilato.app

Nous répondrons à vos demandes dans les meilleurs délais, et au plus tard dans les délais prévus par la loi. Selon votre localisation, si vous estimez que vos droits ne sont pas respectés après nous avoir contactés, vous avez le droit d’introduire une réclamation auprès de l’autorité de protection des données compétente de votre pays de résidence.