Politique de confidentialité – Services Professionnels

Dernière mise à jour : juin 2022

Cette Politique de confidentialité (la « Politique ») contient des informations sur le traitement de données personnelles effectué par Petal Solutions inc., Xacte (Zone3W inc.) et Petal Solutions Europe B.V. ainsi que toutes ses sociétés affiliées (« Petal »; « nous ») et sur la façon dont vous pouvez exercer vos droits quant à ces données personnelles. Si vous avez des questions additionnelles, n’hésitez pas à contacter notre Déléguée à la protection des données personnelles à l’adresse suivante :

Déléguée à la protection des données personnelles
Responsable de la protection des renseignements personnels
privacy@petalmd.com
350, boul. Charest Est, bureau 300
Québec (Québec) G1K 3H5

Si vous êtes situé en territoire européen, notez que nous agissons à titre de « sous-traitant » pour nos clients dans le cadre de nos services professionnels (tel que défini ici-bas). Nos clients sont les responsables du traitement des données personnelles sous leur contrôle. Ils décident donc des bases légitimes du traitement de données personnelles et répondent à vos demandes à l’égard de vos données personnelles. Nous traitons vos données personnelles selon leurs instructions. Nous vous encourageons à revoir les politiques de confidentialité de ces entités pour toutes questions additionnelles.

1. Quand est-ce que cette politique s'applique?

Cette Politique s’applique dans le cadre de nos services et de nos produits, telles que nos plateformes de rendez-vous médicaux ou de gestion de la productivité des professionnels de la santé (nos « services professionnels »). Nous fournissons nos services professionnels auprès de nos clients, notamment des hôpitaux, des professionnels de la santé, des organismes publics et gouvernementaux. Voici quelques exemples de nos services professionnels:

- Nos services d’orchestrateur de soins, fournis en temps réel pour les organisations de santé par le biais de notre plateforme infonuagique;
- Nos services de portail de prises de rendez-vous patients;
- L’accès à la plateforme Petal pour les demandes de soins primaires des patients;
- L’utilisation de nos services de facturation Xacte;
- L’accès à des formations et services de soutien.

Cette Politique s’applique uniquement au traitement des données dites « personnelles ». Par « données personnelles », nous entendons toute donnée qui nous permet de vous identifier directement ou indirectement, y compris les témoins. Il se peut que certaines des données personnelles indiquées dans cette Politique ne soient pas protégées par les lois qui s’appliquent à vous. Cette Politique est pour fins de transparence.

2. Quand est-ce que cette politique ne s'applique pas?

Cette politique ne s’applique pas dans les cas suivants :

- lors de nos activités de démarchage, incluant le marketing digital par le biais de notre site Internet;
- si vous interagissez avec nous hors de nos services professionnels;
- lors de votre inscription à notre liste d’envoi;
- lors de votre navigation de notre site Internet;
- si vous postulez pour un emploi avec nous.

Pour ces activités de traitement, nous sommes le responsable du traitement, et la Politique de confidentialité applicable à notre site web et à ces activités peut être consultée en cliquant ici.

Cette politique de confidentialité ne s’applique pas aux activités des tiers, notamment les partenaires d’intégration, les réseaux sociaux ou encore aux activités de nos clients, qui sont responsables de leur propre Politique.

3. Quelles données personnelles recueillons-nous et à quelles fins?

Nous recueillons les données personnelles nécessaires à la livraison de nos services professionnels, ce qui peut inclure des données de santé, comme par rapport à des rendez-vous auprès de professionnels, ainsi que des données d’affaires sur les activités de professionnels de la santé. Nous n’utilisons pas les données personnelles collectées dans le cadre de nos services professionnels afin de faire du marketing, ou encore pour les revendre. Nous avons des contrats avec nos clients et suivons les instructions de nos clients quant au traitement de vos données personnelles. Nos clients déterminent les bases juridiques applicables à ces traitements.

Nous collectons des renseignements personnels directement des utilisateurs relativement à leur utilisation de nos services professionnels. Toutefois, les professionnels de la santé peuvent également nous transmettre des données personnelles sur leurs patients dans le cadre de l’utilisation de nos services professionnels, notamment pour les besoins de facturation.

Dans le cadre de nos services professionnels, nous collectons les types de données personnelles identifiées ici-bas, pour les raisons identifiées. Si vous avez des questions, n’hésitez pas à nous contacter.

Données personnelles relatives au compte

Exemples: adresse courriel, mot de passe, avatar ou photographie, préférences, configurations, date de création du compte.

Lorsque vous créez un compte, vous devez fournir certains renseignements selon la nature du compte et l’utilisation souhaitée. Vous avez également l’option d’ajouter une photographie qui sera visible aux autres utilisateurs. Nous utilisons vos données personnelles relatives au compte pour créer votre compte, vous permettre d’interagir avec vos collègues et vous associer à votre organisation, ainsi que pour vous permettre d’utiliser les fonctionnalités de nos services professionnels.

Nous utilisons votre adresse courriel pour vous faire parvenir des mises à jour ainsi que des renseignements relatifs à votre compte.

Données personnelles relatives aux professionnels de la santé

Exemples: numéros de téléphone, spécialité médicale, numéro du permis d’exercice et autorité de délivrance, employeur, coordonnées professionnelles, horaires, absences, événements, messages sécurisés dans la plateforme, documents, information sur la facturation des patients, listes de distribution.

Dans le cadre de nos services professionnels, nous collectons des données personnelles relatives aux professionnels de la santé, et ce, afin de permettre à ceux-ci d’utiliser les fonctionnalités pertinentes de nos services. Par exemple, notre plateforme de messagerie sécurisée est utilisée par les professionnels de la santé afin de communiquer entre eux sur les horaires, et parfois, sur des patients. Nos services professionnels permettent la coordination des horaires, ce qui requiert la collection de renseignements relatifs à l’emploi.

Dans le cadre de nos services de facturation médicale, nous recueillons aussi des renseignements sur les services fournis et facturés, ainsi que les taux applicables.

Données personnelles relatives à l’utilisation

Exemples: logs journaliers, informations sur l’utilisation des services professionnels par l’utilisation, bogues et erreurs techniques associés avec le compte, heures de connexion, pages visitées, contenu des demandes de soutien technique.

Notre plateforme recueille automatiquement des données personnelles relatives à votre utilisation. Ces renseignements sont utilisés uniquement selon les instructions de nos clients, ce qui peut inclure l’agrégation des données personnelles ou leur anonymisation pour permettre à ceux-ci d’avoir une vision d’ensemble sur leurs activités, ou tel que nécessaire pour sécuriser nos services professionnels, répondre à vos demandes de soutien technique et gérer la performance de nos services professionnels.

Données personnelles relatives aux patients et à leur santé  

Exemples: renseignements relatifs aux rendez-vous médicaux (médecin traitant, date, heure, raisons et clinique ou établissement avec qui le rendez-vous est pris), toutes les données ou les documents fournis par les professionnels de la santé sur un individu dans le cadre des services professionnels, renseignements d’identification des patients, numéro d’assurance maladie, symptômes, statuts quant à la vaccination.

Dans le cadre de nos services de prise de rendez-vous, les patients sont invités à fournir les renseignements que nos clients requièrent, lesquels peuvent varier d’une situation à une autre. Nous traitons les renseignements que les patients fournissent dans le cadre de leur utilisation de ces plateformes de prise de rendez-vous numériques.

Nous traitons également certaines données personnelles des patients afin de procéder à la facturation médicale dans le cadre des services professionnels fournis par le biais de Xacte.

Nous utilisons ces données personnelles selon nos contrats avec nos clients, et afin de fournir les services procurés par nos clients, tels que la gestion de la demande et des listes d’attente, la prestation de soins virtuels et la gestion de programmes de vaccination. Vos données personnelles ne sont pas utilisées à d’autres fins que la livraison des services professionnels.

Données relatives au paiement et aux abonnements

Exemples: numéros de carte de crédit, adresse de facturation, date de paiement, code CVV, type d’abonnements.

Nous traitons vos renseignements financiers afin de vous donner accès aux services, selon le contrat de services en place avec vous, ou votre institution. Vous avez la possibilité de sélectionner si vous désirez des paiements récurrents, ou si vous ne désirez pas l’automatisation des paiements.

Si vous payez en ligne, vous payez par le biais d’un portail numérique sécurisé directement dans l’environnement de Stripe, et nous n’avons pas accès à l’entièreté de vos numéros de carte de crédit. Par contre, nous avons accès à l’historique des paiements effectués.

4. À qui communiquons-nous vos données personnelles?

Nous communiquons vos renseignements personnels à des tiers afin de fournir nos services professionnels, notamment avec nos sous-traitants, des entités gouvernementales ou avec des partenaires d’intégration suivant les instructions de nos clients. Nos sous-traitants peuvent aussi partager certains de vos renseignements personnels avec leurs propres sous-traitants. Nous avons des contrats avec nos sous-traitants afin de protéger vos données personnelles.

Nos clients peuvent également communiquer vos données personnelles selon leurs politiques, notamment pour la fourniture de services de santé et selon les lois applicables.

Nous communiquons également vos données personnelles dans les situations suivantes :

- Si la loi, une citation à comparaitre ou une demande des autorités à laquelle nous croyons devoir répondre le requièrent, ou encore si la communication est nécessaire pour une situation médicale urgente et justifiée.
- Avec nos filiales et sociétés sœurs, lorsque cela est nécessaire aux fins de la fourniture des services professionnels, ou pour des fins de développement d’affaires.
- Dans le cadre d’une fusion, d’une acquisition ou de la vente d’une partie ou de tous nos actifs.

Filiales

Dans le cadre de la livraison de nos services professionnels, il est possible que certaines données personnelles transigent entre nos filiales. Par exemple, si notre client est situé dans l’Union européenne, les données personnelles pourraient être accédées par notre filiale canadienne dans le cadre de la réponse aux demandes de soutien technique. Nous partageons vos renseignements personnels tel que requis pour la livraison et la gestion des services professionnels.

Autorités gouvernementales

Selon les lois en vigueur, il se peut que nous devions partager vos renseignements personnels auprès d’autorités gouvernementales, notamment pour le compte des professionnels de la santé qui utilisent nos services professionnels. Par exemple, suivant les exigences de la Régie de l’assurance maladie du Québec, certaines statistiques agrégées sur la facturation des professionnels de santé doivent être communiquées. Ces communications sont dans le cadre des lois applicables, et varient d’une région à une autre.

Également, nos clients peuvent partager vos données personnelles avec des autorités gouvernementales par eux-mêmes. Veuillez consulter leurs politiques de confidentialité.

Fournisseurs technologiques

Nous avons recours aux services de fournisseurs tels que des centres d’hébergement de données afin de vous offrir des services professionnels en ligne. Ces fournisseurs incluent également des fournisseurs de services de sécurité. Nous divulguons que les données personnelles nécessaires à la performance de leurs services, et nous avons des contrats qui préviennent une utilisation secondaire.

Fournisseur de paiements numériques sécurisés

Nous utilisons des tierces parties de confiance pour le traitement de vos paiements par cartes de crédit. Notre fournisseur pour le traitement des paiements est Stripe, laquelle est certifiée PCI DSS niveau 1. Stripe peut partager vos renseignements de paiement tel que nécessaire pour compléter vos paiements, notamment à des institutions bancaires ou des compagnies de cartes de crédit. 

Fournisseurs de fonctionnalités

Nous travaillons avec des sous-traitants pour certaines de fonctionnalités de nos services. Par exemple :

- Nous utilisons des sous-traitants pour les fonctionnalités de communication, notamment Twilio pour les rappels par messages texte. Vous pouvez consulter leur politique de confidentialité en cliquant ici (en anglais).
- Nous utilisons Intercom afin de fournir une aide contextuelle aux utilisateurs et un service de dialogue avec l’équipe de soutien de Xacte. Vous pouvez consulter leur politique de confidentialité en cliquant ici (en anglais).
- Nous utilisons Zendesk dans le cade de nos services de soutien.

5. Où conservons-nous vos données personnelles?

Nous sommes localisés au Canada, ainsi que dans l’Union européenne. Toutefois, certains de nos sous-traitants sont localisés hors de ces régions. Par exemple, nous utilisons Chargebee pour la gestion des souscriptions à nos abonnements. Cette entité utilise des sous-traitants localisés aux États-Unis. Vous pouvez consulter la liste de ces sous-traitants et leurs localisations en cliquant ici.

Lorsque nous transférons vos données personnelles hors de votre pays de résidence, nous nous assurons que des mesures de protection appropriées soient en place pour que vos données personnelles bénéficient d’une protection similaire à celle prévalant dans votre pays de résidence. Par exemple, dans l’Union européenne, nous pouvons utiliser les clauses modèles standards, disponibles ici.

6. Combien de temps conservons-nous vos données personnelles?

Nous conservons vos données personnelles aussi longtemps que nécessaire pour les fins de la cueillette ou pour plus longtemps, si la loi applicable le requiert. Nos clients peuvent maintenir des copies de vos données personnelles plus longtemps, selon leurs politiques de confidentialité.

Si vous êtes un utilisateur de la plateforme, vous pouvez supprimer votre compte en tout temps, sous réserve des exigences de votre employeur, en adressant un courriel au privacy@petalmd.com. Le cas échéant, les données personnelles vous concernant seront également supprimées par la suite.

7. Comment assurons-nous la sécurité de vos données personnelles?

La sécurité de vos données nous importe, mais n’oubliez pas qu’aucune méthode de transmission sur le Web ou de stockage électronique n’est sécuritaire à 100 %. Si nous nous efforçons de déployer des moyens commercialement acceptables pour protéger vos données personnelles, nous ne pouvons pas garantir leur sécurité absolue. Par exemple, certains de nos sous-traitants, comme Stripe, se conforment à la norme PCI DSS, la norme mondiale en matière de traitement des renseignements financiers.

Cela dit, Petal a mis en place des mesures administratives, technologiques et physiques et a adopté des pratiques afin de protéger vos données personnelles. Par exemple, nous limitons l’accès aux données personnelles vous concernant aux personnes qui ont besoin d’y accéder dans l’exercice de leurs fonctions. Nous formons notre personnel en matière de protection des données personnelles et signons des ententes de confidentialité avec nos tierces parties.

8. Quels sont vos droits concernant vos données personnelles?

Vous bénéficiez de certains droits sur vos données personnelles. Vos droits varient en fonction des lois qui s’appliquent à vous et des circonstances spécifiques à votre demande.

Il est préférable de vous adresser directement à l’organisme qui vous a donné accès aux services professionnels pour exercer vos droits, tel qu’un établissement de santé, ou un palier gouvernemental. Nous avons des contrats avec nos clients qui contiennent des obligations de collaboration avec ceux-ci dans la réponse à vos requêtes. Ainsi, si vous déposez une requête avec nous, il se peut que nous devions partager votre requête avec l’institution qui vous a donné accès à nos services professionnels.

Les droits dont vous bénéficiez peuvent inclure, notamment, le droit d’accéder vos données personnelles, de les modifier ou même d’en obtenir copie dans certains cas. Pour des raisons de sécurité et pour éviter toute demande frauduleuse, nous pourrions vous demander de fournir une preuve d’identité avec votre demande. Une fois la demande traitée, nous supprimerons ces données personnelles en toute sécurité.

Pour exercer vos droits ou si vous avez des questions sur la façon dont nous traitons vos données personnelles, vous pouvez communiquer avec nous:

Déléguée à la protection des données personnelles /
Responsable de la protection des renseignements personnels
privacy@petalmd.com
350, boul. Charest Est, bureau 300
Québec (Québec)  G1K 3H5

Nous vous aiderons sans frais supplémentaires. Toutefois, si vous demandez une transcription, une reproduction ou une transmission des données personnelles vous concernant, nous pourrions vous facturer des frais raisonnables pour traiter votre demande, sous réserve des lois applicables. Dans ce cas, nous vous contacterons au sujet de ces frais avant de traiter votre demande.

Si votre demande est rejetée, nous vous en aviserons par écrit, en fournissant des motifs détaillés et des informations sur la manière de contester notre décision. Nous conserverons les données personnelles pertinentes jusqu’à ce que vous ayez épuisé vos recours.

Si vous avez des commentaires sur la façon dont nous avons répondu à votre demande, veuillez nous en faire part en nous écrivant à privacy@petalmd.com. Nous ferons de notre mieux pour améliorer nos processus afin que cela ne se reproduise plus. Nous vous fournirons également des informations supplémentaires sur nos pratiques si vous le souhaitez. Si vous n’êtes pas satisfait de la façon dont nous traitons votre demande, vous pouvez déposer une plainte officielle auprès du Commissariat à la protection de la vie privée du Canada en remplissant ce formulaire, ou encore auprès des autorités locales dans votre pays de résidence.

9. Pouvons-nous mettre à jour cette politique de confidentialité?

Nous pouvons mettre à jour la présente Politique de confidentialité selon nos besoins et pour refléter nos obligations en matière de protection des données personnelles. La dernière date de mise à jour apparait au début de la Politique. Sur demande écrite, nous vous ferons parvenir une copie des versions précédentes.