Politique de confidentialité de SpeechCatcher

1. Introduction

1.1. Qui nous sommes et ce que couvre la présente politique

1.2. Notre engagement envers votre vie privée : la promesse de « connaissance nulle »

• Toutes les données, y compris les renseignements sur les clients, les enregistrements audio des séances de thérapie et les métadonnées (collectivement, les « Données de session ») sont chiffrées directement sur l'appareil du Fournisseur avant d'être transmises ou stockées.
• Les clés cryptographiques nécessaires pour déchiffrer ces Données de session sont détenues exclusivement par les utilisateurs autorisés (le Fournisseur et, le cas échéant, le Client) et ne sont jamais partagées avec Speech Metrics ni accessibles par celle-ci.
• Par conséquent, nous ne pouvons pas écouter, consulter ou autrement accéder au contenu de toute séance de thérapie. Nous traitons vos Données de session comme un conteneur opaque, illisible et scellé de manière sécuritaire.

Ce choix architectural est délibéré, conçu pour garantir que la confidentialité de la relation Fournisseur-Client est techniquement et programmatiquement protégée. En commençant par cette promesse, nous visons à fournir une assurance immédiate que vos données les plus sensibles demeurent privées, accessibles uniquement aux personnes que vous autorisez. Cette approche va au-delà de la simple conformité pour bâtir un fondement de confiance, en abordant de manière proactive la principale préoccupation en matière de confidentialité associée aux communications liées à la santé.

2. Renseignements que nous traitons

Pour fournir notre Service, nous devons traiter certaines catégories de renseignements. Nous nous engageons à respecter le principe de minimisation des données, ce qui signifie que nous ne recueillons et ne traitons que les renseignements adéquats, pertinents et limités à ce qui est nécessaire aux fins pour lesquelles ils sont traités.

2.1. Renseignements que vous (le Fournisseur) fournissez directement

Lorsqu'un Fournisseur s'inscrit au Service et l'utilise, nous recueillons les renseignements nécessaires pour établir et maintenir un compte professionnel. Ceux-ci comprennent :

• Renseignements sur le compte : Votre nom complet, votre adresse courriel et un mot de passe sécurisé.
• Renseignements de paiement : Votre adresse de facturation et les détails de votre carte de paiement. Ces renseignements sont traités directement par notre processeur de paiement tiers sécurisé (p. ex., Stripe) et ne sont pas stockés sur nos serveurs.
• Communications : Si vous communiquez avec nous pour obtenir du soutien à la clientèle ou pour d'autres demandes, nous recueillerons le contenu de ces communications, y compris votre nom, votre adresse courriel et tout autre renseignement que vous choisissez de fournir.

2.2. Renseignements que nous traitons en votre nom (Données de session chiffrées)

Lorsqu'un Fournisseur utilise le Service pour enregistrer une séance de thérapie, les principales données générées sont les Données de session chiffrées. Cette catégorie comprend :

• Enregistrement audio chiffré : Le fichier audio de la séance de thérapie, qui est immédiatement chiffré sur l'appareil d'enregistrement.
• Métadonnées chiffrées : Les renseignements associés tels que la date, l'heure et la durée de la séance, qui sont également chiffrés avec l'audio.

Nous traitons ces Données de session chiffrées uniquement en tant que Sous-traitant (au sens du RGPD) ou Associé d'affaires (au sens de la HIPAA) pour le compte du Fournisseur. Notre rôle est strictement limité à faciliter le stockage et la transmission sécurisés de ce « conteneur » chiffré de renseignements selon les directives du Fournisseur. Nous n'avons aucun moyen technique d'accéder au contenu de ce conteneur.

2.3. Renseignements que nous ne recueillons pas et auxquels nous n'accédons pas

Pour renforcer notre promesse de « connaissance nulle », nous déclarons expressément que nous ne nous livrons pas aux activités suivantes :

• Nous n'écoutons pas, ne transcrivons pas et n'analysons pas le contenu de vos enregistrements audio.
• Nous n'accédons pas aux renseignements de santé des Clients contenus dans les Données de session et ne les traitons pas.
• Nous ne partageons le contenu de vos séances avec aucun tiers.
• Nous n'utilisons pas le contenu de vos séances à des fins de publicité, de marketing ou à toute autre fin.

Divulguer ce qui n'est pas recueilli est un élément essentiel de la transparence et contribue à renforcer la confiance des utilisateurs en éliminant toute ambiguïté concernant nos pratiques en matière de données.

2.4. Renseignements recueillis automatiquement (Données d'utilisation et d'appareil)

• Renseignements sur l'appareil : Le type d'appareil que vous utilisez, la version de son système d'exploitation et les identifiants uniques de l'appareil.
• Analytiques d'utilisation : Nous utilisons PostHog, une plateforme d'analytique de produits, pour recueillir des renseignements sur la façon dont vous interagissez avec le Service. Cela comprend les événements liés à l'administration de tests (démarrage, achèvement et annulation de tests), la navigation dans les tests (avancement entre les écrans), le suivi des cibles (marquage des cibles de parole comme produites), la validation des enregistrements, la génération de rapports, la gestion des clients (création et mise à jour des dossiers de clients), les téléchargements de contenu et la soumission de commentaires. Chaque événement comprend l'écran où il s'est produit et l'environnement de l'application. Aucun nom de client, contenu de séance, donnée d'évaluation ou enregistrement audio n'est inclus dans les événements analytiques.
• Relecture de session : Lorsque les analytiques sont activées, PostHog peut enregistrer des relectures de session qui capturent vos interactions avec l'interface de l'application, telles que les transitions d'écran, les tapotements et les gestes. Les relectures de session ne capturent pas le contenu des Données de session chiffrées.
• Suivi des erreurs : PostHog capture automatiquement les erreurs de l'application, y compris les exceptions non interceptées, les rejets de promesses non gérés et les erreurs et avertissements de la console. Ces données sont utilisées pour identifier et résoudre les défauts logiciels.
• Données de journal : Lorsque vous utilisez notre Service, nos serveurs enregistrent automatiquement des renseignements, qui peuvent inclure votre adresse de protocole Internet (IP), la date et l'heure de vos demandes et des données liées aux plantages ou erreurs de l'application.

Il est essentiel de noter que ces données recueillies automatiquement sont traitées de manière à ne jamais être liées au contenu de vos Données de session chiffrées. Elles sont utilisées uniquement à des fins opérationnelles. Aucune identification d'utilisateur n'est effectuée par l'entremise des analytiques; tous les événements analytiques sont capturés de manière anonyme.

3. Comment et pourquoi nous utilisons vos renseignements (Fins du traitement)

Chaque renseignement que nous traitons est lié à une fin spécifique, explicite et légitime. Cette correspondance est une exigence fondamentale du droit de la protection des données et garantit que nous n'utilisons pas vos données au-delà de ce qui est nécessaire et divulgué.

4. Notre base juridique pour le traitement en vertu du RGPD

Pour les personnes situées dans l'Espace économique européen (EEE), au Royaume-Uni (R.-U.) et en Suisse, nous traitons les données personnelles sur les bases juridiques suivantes, telles que définies par le Règlement général sur la protection des données (RGPD) :

• Exécution d'un contrat : Nous traitons les Renseignements sur le compte, les Renseignements de paiement et les Données de session chiffrées du Fournisseur parce que cela est nécessaire à l'exécution du contrat de service que nous avons avec nos Fournisseurs. Cela comprend la création de leur compte et la fourniture des fonctionnalités de base d'enregistrement, de stockage et de transmission auxquelles ils se sont abonnés.
• Intérêts légitimes : Nous traitons les Données d'utilisation et d'appareil et les Données de journal sur la base de notre intérêt légitime à maintenir un Service sécurisé, fonctionnel et fiable. Nous nous appuyons également sur nos intérêts légitimes pour communiquer avec les Fournisseurs au sujet de mises à jour importantes du Service. Nous avons mis en balance ces intérêts avec vos droits en matière de protection des données et avons conclu que notre traitement est nécessaire et ne porte pas atteinte à vos droits et libertés fondamentaux.
• Consentement : Pour toute activité de traitement qui n'est pas essentielle à la prestation du Service, comme les témoins d'analytique non essentiels ou les communications marketing, nous nous appuierons sur votre consentement explicite.
• Traitement pour le compte d'un responsable du traitement : Pour les Données de session chiffrées, qui contiennent des « catégories particulières de données personnelles » (c.-à-d. des données concernant la santé) au sens de l'article 9 du RGPD, nous agissons en tant que Sous-traitant. Le Fournisseur est le Responsable du traitement. Le Fournisseur est responsable d'établir une base juridique pour le traitement de ces données sensibles, qui sera généralement le consentement explicite du Client. Notre politique exige que les Fournisseurs certifient qu'ils ont obtenu tous les consentements nécessaires de leurs Clients avant d'utiliser notre Service pour enregistrer des séances.

Cette délimitation claire des rôles est un aspect essentiel de la conformité au RGPD. En tant que Sous-traitant, nous sommes liés par notre accord contractuel avec le Fournisseur pour protéger les données et ne les traiter que conformément à ses instructions. Le Fournisseur, en tant que Responsable du traitement, conserve la responsabilité principale des données et de la protection des droits des Clients.

5. Partage et divulgation des données

Nous ne vendons pas vos renseignements personnels. Nous limitons le partage de vos renseignements aux circonstances spécifiques décrites ci-dessous :

• Fournisseurs de services tiers (Sous-traitants) : Nous faisons appel à un nombre limité de sociétés tierces pour exécuter des fonctions en notre nom. Celles-ci comprennent :
  • Fournisseurs d'hébergement infonuagique (p. ex., Amazon Web Services, Microsoft Azure) : Ces fournisseurs stockent les Données de session chiffrées. Ils sont contractuellement et techniquement empêchés d'accéder au contenu de ces données.
  • Processeurs de paiement (p. ex., Stripe) : Ces fournisseurs traitent les renseignements de carte de paiement pour les abonnements.
  • Services d'analytique (PostHog) : Nous utilisons PostHog pour recueillir les analytiques d'utilisation, les relectures de session et les données de suivi des erreurs, tel que décrit à la section 2.4. PostHog traite ces données en notre nom en vertu d'une entente de traitement des données qui l'oblige à maintenir la confidentialité et la sécurité des données. PostHog n'est autorisé à traiter les données que pour les fins spécifiques pour lesquelles nous l'engageons. Les données analytiques ne sont recueillies qu'avec votre consentement explicite.
• Exigences légales : Nous pouvons divulguer vos renseignements si nous sommes tenus de le faire par la loi, ou si nous croyons de bonne foi qu'une telle divulgation est nécessaire pour nous conformer à une obligation légale, telle qu'une ordonnance du tribunal ou une assignation à comparaître. Dans un tel scénario, il est important de noter que pour les Données de session chiffrées, nous ne pouvons fournir que le fichier de données chiffré et illisible, car nous ne possédons pas les clés pour le déchiffrer.
• Transferts d'entreprise : En cas de fusion, d'acquisition ou de vente de tout ou partie de nos actifs, vos renseignements pourraient être transférés dans le cadre de cette transaction. Nous vous aviserons de tout changement de propriété ou de contrôle de vos renseignements personnels.

6. Sécurité et conservation des données

6.1. Nos mesures de sécurité : le chiffrement de bout en bout expliqué

1. Chiffrement : Lorsqu'une séance est enregistrée, les données audio sont immédiatement brouillées sur l'appareil du Fournisseur dans un format illisible appelé texte chiffré, à l'aide d'un algorithme de chiffrement robuste comme AES-256.
2. Transmission : Ce texte chiffré est transmis à nos serveurs pour le stockage. À aucun moment lors de cette transmission, quiconque — y compris nous, notre fournisseur d'hébergement ou tout tiers — ne peut lire les données.
3. Déchiffrement : Les données demeurent chiffrées lors de leur stockage sur nos serveurs. Elles ne peuvent être déchiffrées et reconverties en audio lisible que sur un appareil qui possède la clé de déchiffrement correcte — à savoir, le(s) appareil(s) autorisé(s) du Fournisseur.

En plus du E2EE, nous employons d'autres mesures de sécurité, y compris des contrôles d'accès pour limiter l'accès interne aux données, des évaluations de sécurité régulières et la formation des employés en matière de protection des données.

6.2. Périodes de conservation des données

Nous conservons différentes catégories de données pour différentes périodes, guidés par le principe de ne stocker les données que pendant la durée nécessaire.

• Données du compte du Fournisseur : Nous conservons ces renseignements aussi longtemps que le compte du Fournisseur est actif. Après la fermeture d'un compte, nous pouvons conserver certains renseignements pendant une période limitée pour nous conformer aux obligations légales, financières et fiscales.
• Données de session chiffrées : En tant que Responsable du traitement et Entité visée, le Fournisseur est responsable de déterminer la période de conservation de ces données. Les exigences de conservation des dossiers de santé varient selon la juridiction et les lignes directrices professionnelles (p. ex., la HIPAA exige que les dossiers soient conservés pendant au moins six ans). Notre Service fournit aux Fournisseurs les outils pour gérer et supprimer leurs Données de session chiffrées conformément à leurs propres obligations légales et professionnelles. Nous conservons ces données uniquement selon les directives du Fournisseur.
• Données d'utilisation et d'appareil : Nous conservons ces données pour une période limitée, généralement de 18 à 24 mois, selon les besoins en matière de sécurité, d'analytique et d'amélioration du Service. Après cette période, les données sont soit supprimées, soit anonymisées.

Cette politique de conservation aborde directement le conflit potentiel entre les réglementations telles que le RGPD, qui accorde un droit à l'effacement, et la HIPAA, qui impose la conservation à long terme des dossiers. En donnant au Fournisseur — la partie ayant l'obligation légale et éthique envers son Client — le contrôle du cycle de vie des données, nous nous assurons que ces exigences complexes peuvent être correctement gérées.

7. Vos droits et choix en matière de confidentialité

Nous croyons qu'il est important de vous donner le contrôle de vos renseignements personnels. Selon votre lieu de résidence, vous disposez de certains droits concernant vos données. Nous avons créé le tableau suivant pour fournir une comparaison claire et rapide de vos principaux droits en vertu du RGPD et de la HIPAA. Il s'agit d'un résumé convivial; des explications détaillées sont fournies aux sections 8 et 9.

Pour exercer l'un de ces droits, veuillez suivre les instructions du tableau. Pour les droits liés aux données de votre compte, vous pouvez communiquer directement avec nous à privacy@speechmetrics.ca. Pour les droits liés à vos données de séance, vous devez communiquer avec votre Fournisseur, qui est le responsable du traitement de ces renseignements. Nous fournirons à nos Fournisseurs les outils et le soutien nécessaires pour les aider à répondre à vos demandes.

8. Renseignements pour les utilisateurs en Australie

La vie privée des personnes en Australie est protégée par la Privacy Act 1988 fédérale et les Australian Privacy Principles (APPs) qui y sont contenus.

• Applicabilité : La Privacy Act s'applique aux agences du gouvernement australien, aux organismes du secteur privé ayant un chiffre d'affaires annuel de plus de 3 millions AUD et à tous les fournisseurs de services de santé.
• Renseignements personnels et sensibles : La Loi définit les « renseignements personnels » comme des renseignements ou une opinion concernant une personne identifiable. Elle offre une protection spéciale pour les « renseignements sensibles », qui comprennent les renseignements de santé, les données génétiques et l'origine raciale ou ethnique.

8.1. Les Australian Privacy Principles (APPs)

Les 13 APPs établissent les normes de traitement des renseignements personnels. Nos pratiques sont alignées sur ces principes.

• APP 1 — Gestion ouverte et transparente : Nous nous engageons à gérer vos renseignements personnels de manière transparente. La présente Politique de confidentialité est conçue pour être claire et à jour, expliquant les types de renseignements que nous recueillons, comment nous les traitons et à quelles fins. Elle détaille également comment vous pouvez accéder à vos données, les corriger ou déposer une plainte.
• APP 2 — Anonymat et pseudonymat : Vous avez le droit de traiter avec nous de manière anonyme ou en utilisant un pseudonyme lorsque cela est légal et praticable.
• APP 3 — Collecte de renseignements personnels sollicités : Nous ne recueillons que les renseignements personnels raisonnablement nécessaires à nos fonctions. Nous ne recueillerons pas de renseignements sensibles (y compris les renseignements de santé) vous concernant sans votre consentement, sauf si une exception s'applique.
• APP 5 — Avis de collecte : Au moment de la collecte de vos renseignements personnels ou avant celle-ci, nous vous informerons des fins de la collecte, des personnes à qui nous pourrions les divulguer et d'autres détails pertinents tels qu'indiqués dans la présente politique.
• APP 6 — Utilisation ou divulgation : Nous n'utiliserons ou ne divulguerons vos renseignements personnels qu'aux fins principales pour lesquelles ils ont été recueillis, sauf si vous avez consenti à une utilisation ou divulgation secondaire, ou si une autre exception s'applique.
• APP 7 — Marketing direct : Nous n'utiliserons pas vos renseignements sensibles à des fins de marketing direct sans votre consentement explicite. Pour tout marketing direct, nous fournirons un moyen simple de vous désinscrire.
• APP 12 et 13 — Accès et correction : Vous avez le droit de demander l'accès aux renseignements personnels que nous détenons à votre sujet et de demander que nous corrigions tout renseignement inexact, périmé ou incomplet.

8.2. Vos droits en Australie

En vertu de la Privacy Act, vous avez le droit de :

• Savoir pourquoi vos renseignements personnels sont recueillis et comment ils seront utilisés.
• Accéder à vos renseignements personnels et les corriger.
• Demeurer anonyme ou utiliser un pseudonyme dans certaines situations.
• Vous désinscrire des communications de marketing direct.

Les plaintes concernant une violation des APPs peuvent être adressées à l'Office of the Australian Information Commissioner (OAIC), qui est l'organisme de réglementation national indépendant pour la vie privée et l'accès à l'information.

9. Renseignements pour les utilisateurs au Canada

Les renseignements personnels, y compris les renseignements personnels sur la santé, sont protégés par une combinaison de lois fédérales et provinciales au Canada. Nos pratiques de traitement des données sont conçues pour se conformer à ces réglementations.

9.1. Loi fédérale sur la protection des renseignements personnels : LPRPDE

La loi fédérale canadienne sur la protection des renseignements personnels dans le secteur privé est la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). La LPRPDE régit la façon dont les organismes engagés dans des activités commerciales recueillent, utilisent et divulguent les renseignements personnels.

• Applicabilité : La LPRPDE s'applique à notre service lorsque nous traitons les renseignements personnels d'utilisateurs canadiens à travers les frontières provinciales ou nationales. Pour les activités qui se déroulent entièrement dans une province dotée d'une loi sur la protection des renseignements personnels « essentiellement similaire », la loi provinciale s'applique.
• Renseignements personnels : En vertu de la LPRPDE, les « renseignements personnels » sont définis de manière large comme tout « renseignement concernant un individu identifiable ». Cela comprend votre nom, votre âge, vos numéros d'identification et des données sensibles telles que les dossiers médicaux et de santé.
• Vos droits en vertu de la LPRPDE : Vous avez le droit de :
  • Savoir pourquoi un organisme recueille, utilise ou divulgue vos renseignements personnels.
  • S'attendre à ce que vos renseignements soient recueillis, utilisés et divulgués à des fins raisonnables et appropriées.
  • Accéder aux renseignements personnels détenus à votre sujet et contester leur exactitude et leur exhaustivité. Les organismes doivent répondre aux demandes d'accès dans les 30 jours.
• Nos obligations en vertu de la LPRPDE : Nous sommes tenus de :
  • Obtenir un consentement valable et éclairé pour la collecte, l'utilisation et la divulgation de vos renseignements personnels.
  • Mettre en place des mesures de sécurité appropriées pour protéger vos renseignements personnels contre la perte, le vol ou l'accès non autorisé.
  • Aviser le Commissariat à la protection de la vie privée (CPVP) et les personnes touchées de toute atteinte aux données qui présente un « risque réel de préjudice grave ».

9.2. Lois provinciales sur la protection des renseignements personnels

Plusieurs provinces canadiennes ont leurs propres lois sur la protection des renseignements personnels du secteur privé qui ont été jugées « essentiellement similaires » à la LPRPDE. Pour les activités menées entièrement dans ces provinces, la loi provinciale s'applique.

• Québec : Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25, anciennement Projet de loi 64). La Loi 25 modernise de manière significative le cadre québécois de protection des renseignements personnels, introduisant des exigences plus strictes. Les principales dispositions comprennent :
  • Consentement renforcé : Le consentement doit être clair, granulaire et demandé séparément pour chaque fin spécifique. Le consentement exprès est requis pour les renseignements personnels sensibles, et le consentement parental est nécessaire pour les mineurs de moins de 14 ans.
  • Évaluations des facteurs relatifs à la vie privée (ÉFVP) : Nous sommes tenus d'effectuer des ÉFVP pour certaines activités, notamment avant de transférer des renseignements personnels à l'extérieur du Québec, afin de s'assurer que les données bénéficient d'une protection adéquate.
  • Droits élargis des utilisateurs : La Loi 25 vous accorde des droits similaires au RGPD, y compris le droit à la portabilité des données (en vigueur depuis septembre 2024) et le droit de demander la désindexation de vos renseignements (un « droit à l'oubli »).
  • Confidentialité par défaut : Les produits et services technologiques doivent être configurés pour offrir le niveau de confidentialité le plus élevé par défaut.
  • Signalement des atteintes : Nous devons signaler tout incident de confidentialité qui présente un « risque de préjudice sérieux » à la Commission d'accès à l'information (CAI) et aux personnes concernées.
• Alberta : Personal Information Protection Act (PIPA). La PIPA de l'Alberta régit la façon dont les organismes du secteur privé de la province traitent les renseignements personnels.
  • Applicabilité : La PIPA s'applique aux organismes réglementés au niveau provincial en Alberta. Les renseignements personnels sur la santé sont principalement protégés par une loi distincte, la Health Information Act.
  • Vos droits : Vous avez le droit de savoir pourquoi vos données sont recueillies, de vous attendre à ce qu'elles soient traitées de manière raisonnable, et d'accéder à vos renseignements personnels et de demander des corrections.
  • Consentement : Les organismes doivent obtenir votre consentement explicite avant de recueillir, utiliser ou divulguer vos renseignements personnels.
• Colombie-Britannique : Personal Information Protection Act (PIPA). La PIPA de la C.-B. établit les règles de gestion des données personnelles par les organismes du secteur privé et les organismes sans but lucratif de la province.
  • Applicabilité : La PIPA s'applique à la plupart des organismes privés en C.-B. Les dossiers de santé spécifiques sont également couverts par la E-Health (Personal Health Information Access and Protection of Privacy) Act.
  • Renseignements personnels : La loi définit les renseignements personnels de manière large pour inclure le nom, l'adresse, les renseignements médicaux et l'historique d'emploi.
  • Vos droits : Vous avez le droit de savoir pourquoi vos renseignements sont recueillis, de vous attendre à ce qu'ils soient utilisés de manière raisonnable, d'y accéder et de demander des corrections.
• Ontario : Loi sur la protection des renseignements personnels sur la santé (LPRPS). Pour les utilisateurs en Ontario, la collecte, l'utilisation et la divulgation des renseignements personnels sur la santé sont spécifiquement régies par la LPRPS. Cette loi s'applique aux « dépositaires de renseignements sur la santé », tels que les fournisseurs de soins de santé, et est considérée comme essentiellement similaire à la LPRPDE pour les données de santé.

10. Renseignements pour les utilisateurs dans l'Espace économique européen (EEE), au Royaume-Uni et en Suisse

Si vous êtes situé dans l'EEE, au Royaume-Uni ou en Suisse, vous disposez de certains droits et protections en vertu du RGPD. La présente section fournit les divulgations détaillées requises par ce règlement.

10.1. Vos droits en vertu du RGPD

Vous disposez des droits suivants concernant vos données personnelles :

• Le droit d'accès : Vous avez le droit de demander une copie des données personnelles que nous détenons à votre sujet.
• Le droit de rectification : Vous avez le droit de demander que nous corrigions toute donnée personnelle inexacte ou incomplète.
• Le droit à l'effacement (« Droit à l'oubli ») : Vous avez le droit de demander la suppression de vos données personnelles lorsqu'il n'y a pas de raison impérieuse de poursuivre leur traitement.
• Le droit à la limitation du traitement : Vous avez le droit de demander que nous suspendions le traitement de vos données personnelles dans certaines circonstances.
• Le droit à la portabilité des données : Vous avez le droit de recevoir vos données personnelles dans un format structuré, lisible par machine, et de les faire transmettre à un autre responsable du traitement.
• Le droit d'opposition : Vous avez le droit de vous opposer à notre traitement de vos données personnelles lorsque nous nous appuyons sur un intérêt légitime comme base juridique.
• Droits relatifs à la prise de décision automatisée et au profilage : Vous avez le droit de ne pas faire l'objet d'une décision fondée uniquement sur un traitement automatisé qui produit des effets juridiques ou des effets significatifs similaires sur vous. Nous ne pratiquons pas un tel traitement.

10.2. Responsable du traitement et délégué à la protection des données

Comme expliqué à la section 4, le Fournisseur est le Responsable du traitement pour les Données de session chiffrées. Speech Metrics est le Responsable du traitement pour les données du compte du Fournisseur et les données d'utilisation et d'appareil. Notre délégué à la protection des données (DPD) ou représentant en matière de confidentialité peut être joint à privacy@speechmetrics.ca ou par courrier à notre adresse d'enregistrement.

10.3. Transferts internationaux de données

Vos renseignements personnels peuvent être transférés, stockés et traités dans un pays qui n'est pas considéré comme assurant un niveau de protection adéquat des données personnelles en vertu du droit de l'Union européenne, comme les États-Unis. Pour assurer une protection adéquate de ces transferts, nous avons mis en place des garanties appropriées, telles que les Clauses contractuelles types (CCT) approuvées par la Commission européenne, afin de garantir que vos données personnelles sont traitées d'une manière conforme et respectueuse des lois de l'UE et du Royaume-Uni en matière de protection des données.

11. Renseignements pour les utilisateurs aux États-Unis

La présente section constitue notre Avis sur les pratiques en matière de confidentialité (« Avis ») tel que requis par la Health Insurance Portability and Accountability Act de 1996 (HIPAA). Elle s'applique aux renseignements médicaux protégés (PHI) qui sont créés ou reçus par les Fournisseurs utilisant notre Service.

LE PRÉSENT AVIS DÉCRIT COMMENT DES RENSEIGNEMENTS MÉDICAUX VOUS CONCERNANT PEUVENT ÊTRE UTILISÉS ET DIVULGUÉS ET COMMENT VOUS POUVEZ Y ACCÉDER. VEUILLEZ LE LIRE ATTENTIVEMENT.

11.1. Nos responsabilités

11.2. Comment nous pouvons utiliser et divulguer vos PHI

11.3. Utilisations et divulgations nécessitant votre autorisation

Toute autre utilisation ou divulgation de vos PHI par votre Fournisseur non décrite dans son Avis sur les pratiques en matière de confidentialité ne sera effectuée qu'avec votre autorisation écrite. Vous pouvez révoquer cette autorisation en tout temps, par écrit, sauf dans la mesure où votre Fournisseur a déjà agi en se fondant sur votre autorisation.

11.4. Vos droits concernant vos PHI

Vous disposez des droits suivants concernant vos PHI. Pour exercer ces droits, vous devez communiquer directement avec votre Fournisseur.

• Droit de consulter et de copier : Vous avez le droit de consulter et d'obtenir une copie de vos PHI.
• Droit de modification : Si vous estimez que les PHI que votre Fournisseur détient à votre sujet sont incorrects ou incomplets, vous pouvez lui demander de modifier les renseignements.
• Droit à une comptabilité des divulgations : Vous avez le droit de demander une liste des divulgations de vos PHI effectuées par votre Fournisseur à des fins autres que le traitement, le paiement et les opérations de soins de santé.
• Droit de demander des restrictions : Vous avez le droit de demander une restriction ou une limitation des PHI que votre Fournisseur utilise ou divulgue à votre sujet.
• Droit de demander des communications confidentielles : Vous avez le droit de demander que votre Fournisseur communique avec vous au sujet de questions médicales d'une certaine manière ou à un certain endroit.

11.5. Comment déposer une plainte

Si vous estimez que vos droits en matière de confidentialité ont été violés, vous pouvez déposer une plainte auprès de votre Fournisseur ou du secrétaire du U.S. Department of Health and Human Services. Vous pouvez également communiquer avec notre responsable de la protection des renseignements personnels à privacy@speechmetrics.ca. Vous ne serez pas pénalisé pour avoir déposé une plainte.

12. Vie privée des enfants

Notre Service est destiné à être utilisé par des Fournisseurs autorisés. Nous ne faisons pas de marketing auprès des enfants de moins de 16 ans et ne recueillons pas sciemment de renseignements personnels directement auprès d'eux. Si un Fournisseur utilise notre Service pour enregistrer des séances avec un Client mineur, il incombe au seul Fournisseur d'obtenir le consentement légalement valide du parent ou du tuteur légal de l'enfant conformément aux lois applicables, telles que la Children's Online Privacy Protection Act (COPPA) aux États-Unis et les exigences spécifiques de consentement en vertu du RGPD.

13. Modifications à la présente Politique de confidentialité

Nous pouvons mettre à jour la présente Politique de confidentialité de temps à autre pour refléter les changements dans nos pratiques ou pour d'autres raisons opérationnelles, légales ou réglementaires. Si nous apportons des modifications importantes, nous vous en aviserons par courriel (envoyé à l'adresse courriel indiquée dans votre compte) ou au moyen d'un avis bien en vue dans le Service avant l'entrée en vigueur de la modification. Nous vous encourageons à consulter périodiquement cette page pour obtenir les derniers renseignements sur nos pratiques en matière de confidentialité.

14. Comment nous joindre