Vie privée

Politique de confidentialité

1. INTRODUCTION

Stery Inc. (ci-après l'« Éditeur » ou « nous ») s'engage à protéger les renseignements personnels des utilisateurs de l'application Stery (ci-après l'« Application »), conformément à la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP, RLRQ c. P-39.1) telle que modifiée par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (2021, c. 25, ci-après « Loi 25 »).

La présente Politique de confidentialité (ci-après la « Politique ») décrit les renseignements personnels que nous collectons, les raisons pour lesquelles nous les collectons, la manière dont nous les utilisons et les protégeons, ainsi que les droits dont vous disposez à leur égard.

Cette Politique est distincte des Conditions d'utilisation de l'Application et constitue un document autonome, conformément aux exigences de la LPRPSP.

2. RESPONSABLE DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS

Conformément à l'article 3.1 de la LPRPSP, l'Éditeur a désigné un responsable de la protection des renseignements personnels :

Responsable de la protection des renseignements personnels

Stery Inc.

512 avenue Pine

Saint-Lambert, Québec, Canada

Courriel : contact@stery.ca

Téléphone : 1 888 559-7719

Le responsable veille au respect de la LPRPSP et des présentes politiques et pratiques de gouvernance à l'égard des renseignements personnels.

3. RENSEIGNEMENTS PERSONNELS COLLECTÉS

3.1 Renseignements d'identification professionnelle

–Nom et prénom de l'opérateur
–Fonction professionnelle (dentiste, assistant(e), technicien(ne))

3.2 Données de stérilisation (renseignements professionnels)

–Numéro et date du cycle de stérilisation
–Identifiant, nom et numéro de série de l'autoclave
–Type de cycle et paramètres physiques (température, pression, durée)
–Résultats des tests chimiques et biologiques
–Statut du cycle (réussite, échec, motif d'échec)
–Nom de l'opérateur ayant effectué le cycle
–Liste des instruments inclus dans le cycle

3.3 Photographies et preuves visuelles

–Photos de l'écran de l'autoclave
–Photos des indicateurs chimiques
–Photos des résultats de tests biologiques

3.4 Données techniques

–Identifiant unique de la tablette
–Identifiants des Périphériques du Système Stery
–Journaux de fonctionnement du Système (horodatage, état de connectivité)

3.5 Données vocales (si l'assistant vocal est activé)

–La reconnaissance vocale est effectuée entièrement sur la tablette
–Aucun enregistrement vocal n'est conservé ni transmis à un serveur externe
–Le traitement est instantané et éphémère

3.6 Données non collectées

Nous ne collectons pas :

–De données de santé des patients de la Clinique
–De données biométriques des utilisateurs
–De données de géolocalisation
–De données de navigation web
–De données à des fins publicitaires ou de profilage commercial

4. FINALITÉS DE LA COLLECTE ET DU TRAITEMENT

Les renseignements personnels sont collectés et traités exclusivement pour les finalités suivantes :

Fourniture du Service de traçabilité de la stérilisation: Mobilise l'ensemble des catégories de renseignements collectés.
Identification des opérateurs pour chaque cycle (imputabilité): S'appuie sur les renseignements d'identification professionnelle.
Génération d'étiquettes de traçabilité conformes: S'appuie sur les données de stérilisation des cycles.
Fonctionnement et synchronisation du Système Stery: S'appuie sur les données techniques de l'appareil.
Envoi de rappels de conformité réglementaire: S'appuie sur les données techniques pour planifier les notifications.
Production de rapports d'audit et d'historique: Combine les données de stérilisation et les photographies de preuve.
Maintenance et support technique à distance: S'appuie sur les données techniques nécessaires au diagnostic.
Respect des obligations légales et réglementaires: Mobilise l'ensemble des catégories de renseignements collectés.

Aucun renseignement personnel n'est utilisé à des fins de prospection commerciale, de publicité ciblée ou de profilage.

5. BASE LÉGALE DU TRAITEMENT

Le traitement des renseignements personnels repose sur les bases légales suivantes :

–Consentement exprès de l'Utilisateur, obtenu de manière distincte pour chaque finalité
–Exécution du contrat de vente et d'abonnement entre la Clinique et l'Éditeur
–Obligations légales en matière de traçabilité de la stérilisation des dispositifs médicaux

6. RENSEIGNEMENTS PERSONNELS SENSIBLES

Certaines données collectées peuvent constituer des renseignements personnels sensibles au sens de l'article 12 de la LPRPSP, notamment les données liées à la conformité des cycles de stérilisation et les résultats de tests biologiques, dans la mesure où elles peuvent avoir une incidence sur la sécurité des soins prodigués aux patients.

Le consentement pour la collecte et l'utilisation de ces données est obtenu de manière expresse, libre et éclairée, conformément aux exigences renforcées de la LPRPSP pour les renseignements sensibles.

7. DURÉE DE CONSERVATION

Données de stérilisation (cycles, tests, étiquettes): Conservées pendant 10 ans à compter de la date du cycle, afin de répondre aux exigences de conformité réglementaire et de traçabilité des dispositifs médicaux.
Photographies et preuves visuelles: Conservées 10 ans à compter de la date du cycle, à titre de pièces justificatives de la conformité du processus.
Renseignements d'identification des opérateurs: Conservés pendant toute la durée de la relation contractuelle, puis deux années supplémentaires pour la gestion des comptes et le respect des obligations légales de conservation.
Données techniques (jetons, identifiants d'appareils): Conservées le temps de la session active ou jusqu'à leur révocation, pour assurer le bon fonctionnement technique du Service.
Données vocales: Non conservées. Le traitement est instantané et entièrement local, aucune donnée n'est enregistrée ni transmise.

À l'expiration de la durée de conservation, les renseignements personnels sont détruits ou anonymisés de manière irréversible, conformément à la politique de destruction de l'Éditeur.

L'Éditeur tient un calendrier de conservation et procède à des destructions périodiques pour s'assurer du respect des durées indiquées.

8. COMMUNICATION À DES TIERS

8.1 Sous-traitants

L'Éditeur peut communiquer des renseignements personnels à des sous-traitants sélectionnés, dans la mesure strictement nécessaire aux finalités décrites. Ces sous-traitants interviennent dans les domaines suivants :

–Hébergement et stockage cloud : données de stérilisation, photographies et identifiants techniques, hébergés sur des serveurs situés au Canada ;
–Communication entre les composants du Système : données techniques nécessaires au fonctionnement en temps réel des Périphériques.

Des ententes contractuelles conformes aux exigences de la LPRPSP sont conclues avec chaque sous-traitant, stipulant les mesures de protection applicables aux renseignements communiqués. La liste des sous-traitants est disponible sur demande auprès du responsable de la protection des renseignements personnels.

8.2 Intégration fabricants d'autoclaves (optionnelle)

Si la Clinique active l'intégration avec la plateforme cloud d'un fabricant d'autoclaves, des données de cycles pourront être échangées avec ledit fabricant. Cette fonctionnalité est optionnelle et requiert le consentement exprès de la Clinique.

8.3 Engagements

–Aucun renseignement personnel n'est vendu, loué ou échangé à des fins commerciales ou publicitaires.
–Aucun renseignement n'est communiqué à des tiers autres que ceux identifiés ci-dessus, sauf obligation légale (ordonnance d'un tribunal, demande d'une autorité compétente).

9. HÉBERGEMENT ET LOCALISATION DES DONNÉES

9.1 Localisation

Stockage local (tablette): Reste au Canada, sur l'appareil installé dans les locaux de la Clinique.
Base de données et stockage cloud: Hébergés au Canada, sur des serveurs situés en territoire canadien.
Infrastructure de communication: Repose sur des serveurs sécurisés offrant un niveau de protection adéquat.

9.2 Engagement de résidence des données

L'Éditeur s'engage à héberger les données de stérilisation et les renseignements personnels sur des serveurs situés au Canada, afin de garantir que les renseignements personnels demeurent sous la juridiction des lois canadiennes et québécoises en matière de protection de la vie privée.

9.3 Transferts hors Québec

Dans l'éventualité où un transfert de renseignements personnels hors du Québec s'avérerait nécessaire (par exemple, pour le fonctionnement de certains services d'infrastructure), l'Éditeur s'engage à :

–Procéder à une évaluation des facteurs relatifs à la vie privée (ÉFVP) conformément à l'article 17.1 de la LPRPSP avant tout transfert ;
–S'assurer que les renseignements bénéficient d'une protection adéquate dans la juridiction de destination ;
–Conclure des ententes contractuelles appropriées avec les destinataires ;
–Informer les personnes concernées de la nature des renseignements transférés et de la juridiction de destination.

10. SÉCURITÉ DES DONNÉES

10.1 Mesures techniques

L'Éditeur met en oeuvre des mesures de sécurité raisonnables et proportionnées à la sensibilité des renseignements personnels traités :

–Chiffrement en transit : Toutes les communications entre les composants du Système et les serveurs sont chiffrées selon les normes de l'industrie.
–Chiffrement au repos : Les données stockées sur la tablette et dans le cloud sont chiffrées au repos.
–Stockage sécurisé des identifiants : Les identifiants sensibles sont protégés par des mécanismes de stockage sécurisé intégrés au matériel.
–Environnement contrôlé : La tablette fonctionne dans un environnement verrouillé et administré à distance, empêchant toute utilisation non autorisée.
–Communications sécurisées : Les échanges entre les composants du Système Stery utilisent des protocoles sécurisés.

10.2 Mesures organisationnelles

–Politique de gestion des incidents de confidentialité ;
–Évaluation régulière des facteurs relatifs à la vie privée ;
–Restriction d'accès aux données selon le principe du privilège minimal ;
–Journalisation des accès aux renseignements personnels ;
–Formation du personnel de l'Éditeur aux obligations de la LPRPSP.

10.3 Limites

Aucune mesure de sécurité ne peut garantir une protection absolue contre toute intrusion ou accès non autorisé. L'Éditeur s'engage toutefois à mettre en oeuvre les mesures de sécurité conformes aux meilleures pratiques de l'industrie et proportionnées à la sensibilité des renseignements traités.

11. DROITS DES UTILISATEURS

Conformément à la LPRPSP, vous disposez des droits suivants à l'égard de vos renseignements personnels :

11.1 Droit d'accès

Vous avez le droit de recevoir, sur demande, confirmation de l'existence de renseignements personnels vous concernant et d'en obtenir communication (art. 27 LPRPSP). Nous répondons à toute demande dans un délai de 30 jours.

11.2 Droit de rectification

Vous avez le droit de faire rectifier tout renseignement personnel inexact, incomplet ou équivoque vous concernant (art. 28 LPRPSP).

11.3 Droit de suppression (droit à l'effacement)

Vous pouvez demander la suppression de vos renseignements personnels lorsque la collecte ou le traitement n'est pas conforme à la loi.

Note importante : Les données de stérilisation constituent une piste d'audit réglementaire. Leur suppression peut être refusée si elle contrevient aux obligations de conservation imposées par la réglementation applicable en matière de traçabilité des dispositifs médicaux. Dans ce cas, vous en serez informé par écrit avec les motifs du refus.

11.4 Droit à la portabilité

Conformément à l'article 27 de la LPRPSP, vous pouvez demander la communication de vos renseignements personnels dans un format technologique structuré et couramment utilisé (PDF, CSV). L'Application offre une fonctionnalité intégrée d'export PDF pour les rapports de cycles.

11.5 Retrait du consentement

Vous pouvez retirer votre consentement à tout moment en adressant une demande au responsable de la protection des renseignements personnels. Le retrait du consentement :

–Ne compromet pas la licéité du traitement effectué avant le retrait ;
–Peut entraîner l'impossibilité d'utiliser certaines fonctionnalités du Service ;
–Ne s'applique pas aux traitements fondés sur une obligation légale de conservation.

11.6 Exercice des droits

Pour exercer l'un de ces droits, adressez votre demande par écrit au responsable de la protection des renseignements personnels aux coordonnées indiquées à l'article 2. Nous pourrons vous demander de fournir des renseignements supplémentaires pour vérifier votre identité avant de donner suite à votre demande.

12. CONSENTEMENT

12.1 Modalités

Conformément aux articles 14 et suivants de la LPRPSP :

–Le consentement est demandé de manière distincte pour chaque finalité de traitement ;
–Le consentement est libre, éclairé et donné à des fins spécifiques ;
–Le consentement pour les renseignements sensibles est exprès ;
–Le consentement n'est pas intégré aux Conditions d'utilisation mais recueilli séparément via les mécanismes dédiés de l'Application ;
–Le consentement ne peut être une condition d'accès au Service, sauf si la collecte est nécessaire à la fourniture de celui-ci.

12.2 Consentement des mineurs

L'Application étant destinée à un usage professionnel, elle n'est pas conçue pour être utilisée par des mineurs. Aucun renseignement personnel de mineurs n'est collecté.

13. GESTION DES INCIDENTS DE CONFIDENTIALITÉ

13.1 Définition

Un incident de confidentialité désigne tout accès, utilisation, communication, perte ou toute autre atteinte à la protection de renseignements personnels (art. 3.6 LPRPSP).

13.2 Notification à la Commission d'accès à l'information

Conformément à l'article 3.5 de la LPRPSP, en cas d'incident de confidentialité présentant un risque de préjudice sérieux, l'Éditeur notifiera la Commission d'accès à l'information du Québec (CAI) avec diligence.

13.3 Notification aux personnes concernées

L'Éditeur notifiera les personnes dont les renseignements personnels sont visés par l'incident, avec diligence, en leur communiquant :

–La nature des renseignements personnels visés ;
–Les circonstances de l'incident ;
–La date ou la période durant laquelle l'incident est survenu ou est susceptible de s'être produit ;
–Les mesures prises ou envisagées pour diminuer les risques de préjudice ;
–Les mesures que la personne peut prendre pour atténuer le risque ;
–Les coordonnées d'une personne-ressource.

13.4 Registre des incidents

L'Éditeur tient un registre des incidents de confidentialité, conformément à l'article 3.8 de la LPRPSP. Ce registre est conservé pour une durée minimale de cinq (5) ans et est disponible sur demande de la CAI.

13.5 Mesures correctives

À la suite de tout incident, l'Éditeur prend les mesures raisonnables pour réduire le risque de préjudice et prévenir la récurrence d'incidents de même nature.

14. MODIFICATIONS DE LA POLITIQUE

L'Éditeur se réserve le droit de modifier la présente Politique à tout moment. Les modifications entrent en vigueur trente (30) jours après leur notification aux personnes concernées par tout moyen approprié (notification dans l'Application, communication à la Clinique).

L'Éditeur s'engage à informer clairement les Utilisateurs de tout changement substantiel apporté à la Politique, notamment en ce qui concerne les catégories de renseignements collectés, les finalités de traitement ou les sous-traitants.

15. CONTACT ET PLAINTES

15.1 Contact

Pour toute question relative à la présente Politique, à la protection de vos renseignements personnels ou pour exercer vos droits :

Responsable de la protection des renseignements personnels

Stery Inc.

512 avenue Pine

Saint-Lambert, Québec, Canada

Courriel : contact@stery.ca

Téléphone : 1 888 559-7719

15.2 Plaintes

Si vous estimez que vos renseignements personnels n'ont pas été traités conformément à la LPRPSP, vous pouvez :

1. Nous contacter directement aux coordonnées ci-dessus. Nous traiterons votre plainte avec diligence.

2. Déposer une plainte auprès de la Commission d'accès à l'information du Québec (CAI) :

Commission d'accès à l'information du Québec

525, boulevard René-Lévesque Est, bureau 2.36

Québec (Québec) G1R 5S9

Téléphone : 1-888-528-7741

Site web : www.cai.gouv.qc.ca

RÉFÉRENCES LÉGISLATIVES

La présente Politique est rédigée en conformité avec les lois et règlements suivants :

–Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1), modifiée par la Loi 25 (2021, c. 25)
–Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ / PIPEDA) (L.C. 2000, ch. 5)
–Code civil du Québec (RLRQ, c. CCQ-1991)
–Charte des droits et libertés de la personne (RLRQ, c. C-12)