Politique de confidentialité de DRRD Nutrition

1. Portée et application

La présente politique s'applique à tous les renseignements personnels et renseignements personnels sur la santé que DRRD Nutrition (« nous », « notre ») recueille par l'intermédiaire de son site Web, de sa plateforme de réservation en ligne, du portail patient, des consultations vidéo et des services en personne. En utilisant nos services ou en nous fournissant des renseignements, vous acceptez les pratiques décrites dans la présente politique.

2. Renseignements que nous recueillons

Nous recueillons différentes catégories de renseignements selon la manière dont vous interagissez avec nous :

• Renseignements d'identification : nom, date de naissance, adresse, numéro de téléphone, courriel, contact d'urgence, identifiants gouvernementaux lorsque requis pour la facturation ou l'assurance.
• Renseignements de santé : antécédents médicaux, médicaments actuels, allergies, restrictions alimentaires, facteurs liés au mode de vie, mesures corporelles, résultats de laboratoire que vous partagez, journaux alimentaires, notes cliniques de vos visites et tout renseignement fourni lors des consultations.
• Renseignements de réservation et de visite : rendez-vous, présence, communications, enregistrements des consultations vidéo (uniquement avec votre consentement explicite) et documentation clinique générée pendant vos soins.
• Renseignements de compte et techniques : identifiants de connexion, adresse IP, informations sur l'appareil, type de navigateur et données d'utilisation lorsque vous accédez à notre portail patient.
• Renseignements de paiement : adresse de facturation et données de paiement traitées par notre fournisseur de paiement sécurisé (nous ne stockons pas les numéros de carte complets).

3. Comment nous utilisons vos renseignements

Nous utilisons vos renseignements aux fins suivantes :

• Fournir des consultations en nutrition, des évaluations cliniques, des plans alimentaires et des soins de suivi.
• Planifier les rendez-vous et envoyer des rappels.
• Communiquer avec vous au sujet de vos soins, notamment par courriel, SMS et consultations vidéo.
• Traiter les paiements et gérer la facturation.
• Tenir des dossiers cliniques conformément à nos obligations professionnelles et légales.
• Générer la documentation clinique, y compris les notes cliniques assistées par IA (voir la section 4 — Documentation assistée par IA).
• Améliorer nos services et l'expérience patient à partir de données agrégées et dépersonnalisées.
• Nous conformer aux exigences légales, réglementaires et professionnelles.

4. Documentation clinique assistée par IA

Afin d'améliorer la qualité des soins cliniques et de réduire la charge administrative de nos praticiens, nous utilisons des services d'intelligence artificielle (IA) pour assister la documentation clinique. Plus précisément :

• Amélioration et résumé des notes : l'IA aide à raffiner et structurer les notes cliniques rédigées par nos diététistes pendant ou après vos visites.
• Transcription des consultations (avec consentement) : si une consultation vidéo est enregistrée avec votre consentement, l'IA peut être utilisée pour transcrire l'enregistrement et générer des notes cliniques structurées.
• Pistes cliniques : l'IA peut aider à identifier des alertes potentielles (carences nutritionnelles, contre-indications) à partir de vos renseignements de santé.
• Le contenu généré par l'IA est toujours révisé par un praticien qualifié avant d'être ajouté à votre dossier clinique.
• Hébergement des services d'IA : le traitement par IA est effectué par Amazon Web Services (AWS) Bedrock, un service admissible à la conformité HIPAA fourni par Amazon. AWS Bedrock traite les requêtes dans des centres de données situés aux États-Unis.
• Vos données ne sont pas utilisées pour entraîner les modèles d'IA, sont chiffrées en transit et au repos, et sont régies par l'Entente de partenariat (Business Associate Agreement, BAA) d'Amazon, qui oblige contractuellement AWS à protéger vos renseignements de santé.

5. Traitement transfrontalier des données et votre consentement

Certains des services technologiques que nous utilisons pour soutenir vos soins impliquent le traitement de vos renseignements à l'extérieur du Canada :

• La documentation assistée par IA (décrite ci-dessus) est traitée par AWS Bedrock aux États-Unis.
• L'envoi de courriels est géré par Amazon Simple Email Service.
• L'infrastructure de consultation vidéo (Amazon Chime SDK) achemine principalement les données par les centres AWS au Canada.
• Toutes les autres données de patient — y compris les dossiers médicaux, les rendez-vous, les communications et les documents téléversés — sont stockées dans les centres de données AWS au Canada (région de Montréal).
• En vertu de la Loi 25 du Québec et de la LPRPS de l'Ontario, nous devons obtenir votre consentement avant de traiter vos renseignements personnels sur la santé à l'extérieur du Canada. En acceptant la présente politique et en continuant à utiliser nos services, vous consentez au traitement transfrontalier décrit ci-dessus aux fins de la prestation de vos soins.
• Vous pouvez retirer ce consentement à tout moment en nous contactant. Le retrait du consentement désactivera les fonctions de documentation assistée par IA pour vos soins; les autres services continueront normalement.

6. Où vos données sont stockées

Nous utilisons Amazon Web Services (AWS) pour notre infrastructure. Tout le stockage principal des données se fait dans la région AWS Canada (Centre) — Montréal. Les exceptions précises sont détaillées à la section 5 ci-dessus. AWS est tenu contractuellement, en vertu de notre Entente de partenariat, de protéger vos renseignements de santé conformément aux normes HIPAA, qui satisfont également aux exigences des lois provinciales canadiennes sur la vie privée.

7. Comment nous partageons vos renseignements

Nous ne vendons, ne louons ni n'échangeons vos renseignements personnels à des tiers. Nous ne partageons vos renseignements que comme suit :

• Avec votre consentement : lorsque vous nous autorisez explicitement à partager des renseignements avec un autre professionnel de la santé, un membre de votre famille ou une organisation.
• Autres professionnels de la santé : selon les besoins pour la continuité des soins (médecin de famille, spécialistes), avec votre consentement.
• Fournisseurs de services (« sous-traitants ») : nous faisons appel à des fournisseurs tiers de confiance pour exploiter nos services. Chacun est lié par une entente écrite de traitement des données. Voir la liste des sous-traitants ci-dessous.
• Obligations légales : lorsque la loi, une ordonnance judiciaire ou une autorité réglementaire l'exigent.
• Obligations professionnelles : tel que requis par notre ordre professionnel (par exemple, l'Ordre des diététistes de l'Ontario).

8. Sous-traitants

Nous comptons sur les services tiers suivants pour offrir nos soins. Chacun est lié par des ententes de protection des données :

• Amazon Web Services (AWS) — infrastructure infonuagique, hébergement de bases de données, stockage de fichiers, traitement par IA (Bedrock), envoi de courriels (SES) et consultations vidéo (Chime SDK). Une BAA HIPAA est en place.
• Vercel — hébergement de nos sites Web destinés aux patients et de notre portail. Aucun renseignement de santé n'est stocké chez Vercel.
• Stripe / Square — traitement des paiements. Conforme PCI DSS.
• Google (API Calendar, optionnel) — lorsque nos praticiens connectent leur Google Calendar pour gérer les rendez-vous. Aucun renseignement de santé n'est transmis à Google. Voir la section 9 — Services Google.

9. Services Google

Nous pouvons utiliser des services Google aux fins suivantes :

• Intégration Google Calendar (côté praticien) : nos praticiens peuvent connecter leur Google Calendar à notre système pour synchroniser leurs disponibilités. Cette connexion utilise l'authentification OAuth de Google. Nous accédons uniquement aux événements de calendrier nécessaires à la planification — nous n'accédons pas au contenu des événements non liés. Aucun renseignement personnel sur la santé d'un patient n'est jamais envoyé à Google par cette intégration.
• Utilisation des données utilisateur Google : lorsqu'un praticien autorise l'accès à Google Calendar, nous utilisons ces données uniquement pour : (a) lire les événements pour déterminer les disponibilités, (b) créer de nouveaux événements pour les rendez-vous réservés, et (c) mettre à jour ou annuler les événements lorsque les réservations changent.
• Les données Google ne sont partagées avec aucune autre partie, ne sont pas utilisées à des fins publicitaires et ne servent pas à entraîner des modèles d'IA.
• Les praticiens peuvent révoquer notre accès à tout moment dans les paramètres de leur compte Google.
• Notre utilisation des renseignements reçus des API Google adhère à la Politique d'utilisation des données utilisateur des services API Google, y compris les exigences relatives à l'utilisation limitée.

10. Durée de conservation de vos renseignements

Nous conservons vos renseignements personnels sur la santé pendant les périodes requises par la loi applicable et notre ordre professionnel :

• Dossiers cliniques : 10 ans à compter de la date du dernier service, ou jusqu'à ce que vous atteigniez l'âge de la majorité plus 10 ans (selon la dernière éventualité), tel que requis par la Loi sur les professions de la santé réglementées de l'Ontario.
• Dossiers de facturation et financiers : 7 ans à des fins fiscales et réglementaires.
• Dossiers de compte et de connexion : jusqu'à votre demande de suppression ou 2 ans après votre dernière activité.
• Communications marketing : jusqu'à votre désinscription.
• Enregistrements de consultations vidéo (lorsqu'effectués avec consentement) : 90 jours, puis suppression automatique.

11. Vos droits

Vous avez les droits suivants concernant vos renseignements personnels sur la santé :

• Droit d'accès : vous pouvez demander une copie des renseignements personnels que nous détenons à votre sujet.
• Droit de rectification : vous pouvez demander que nous corrigions des renseignements inexacts ou incomplets.
• Droit de retrait du consentement : vous pouvez retirer votre consentement à des utilisations spécifiques (traitement par IA, communications marketing) à tout moment.
• Droit de plainte : vous pouvez déposer une plainte auprès de notre responsable de la protection de la vie privée, du Commissaire à l'information et à la protection de la vie privée de l'Ontario (CIPVP), de la Commission d'accès à l'information du Québec (CAI) ou du Commissariat à la protection de la vie privée du Canada (CPVP).
• Droit à la portabilité : vous pouvez demander vos dossiers dans un format électronique portable.
• Pour exercer ces droits, contactez notre responsable de la protection de la vie privée à l'aide des coordonnées de la section 16.

12. Comment nous protégeons vos renseignements

Nous utilisons des mesures de sécurité conformes aux normes de l'industrie pour protéger vos renseignements :

• Chiffrement en transit (TLS 1.2 ou supérieur) pour toutes les données envoyées sur Internet.
• Chiffrement au repos (AES-256) pour toutes les données stockées.
• Authentification multifacteur pour tous les comptes du personnel.
• Contrôles d'accès basés sur les rôles — le personnel n'accède qu'aux renseignements nécessaires à ses fonctions.
• Journalisation complète de tous les accès aux dossiers des patients, conformément à l'article 10(3) de la LPRPS.
• Évaluations de sécurité régulières et mises à jour.
• Formation obligatoire en confidentialité et sécurité pour tout le personnel.
• Vérification des antécédents des employés manipulant des renseignements personnels sur la santé.

13. Notification en cas d'atteinte aux données

Dans l'éventualité peu probable d'une atteinte à la vie privée touchant vos renseignements personnels sur la santé, nous vous aviserons ainsi que les autorités réglementaires compétentes, conformément à la loi. En vertu de la LPRPS, nous vous aviserons et informerons le Commissaire à l'information et à la protection de la vie privée de l'Ontario à la première occasion raisonnable. En vertu de la Loi 25 du Québec, nous aviserons la Commission d'accès à l'information et les personnes touchées lorsqu'une atteinte présente un risque de préjudice sérieux.

14. Vie privée des enfants

Nous offrons des services aux mineurs sous la supervision de leurs parents ou tuteurs légaux. Pour les patients sous l'âge du consentement dans leur province (16 ans en Ontario, 14 ans au Québec pour les décisions de soins), le consentement parental est requis pour le traitement et la collecte de données. Nous ne recueillons pas sciemment de renseignements personnels d'enfants sans le consentement approprié.

15. Modifications de la présente politique

Nous pouvons mettre à jour la présente politique de confidentialité de temps à autre afin de refléter les changements apportés à nos services, à notre technologie, aux exigences légales ou à nos pratiques d'affaires. Lorsque nous apportons des changements importants, nous vous en aviserons par courriel ou par l'intermédiaire de notre portail patient. La version la plus récente est toujours disponible sur notre site Web avec la date de « Dernière mise à jour » ci-dessous.

16. Nous contacter

Si vous avez des questions concernant la présente politique de confidentialité, souhaitez exercer vos droits en matière de vie privée ou déposer une plainte, veuillez contacter notre responsable de la protection de la vie privée :

Dernière mise à jour : 5/3/2026