FR

PRIVACY POLICY

Dernière mise à jour : Novembre 2025

Petal Solutions Inc., Petal Medical Billing Inc. (doing business as Xacte (Zone3W inc.), StatGo Corp., Dobsi Medical, or Medi-Com Consulting), Medcom Billing Systems, Petal Health and Petal Solutions Europe B.V. and its Affiliates (“Petal” or “we”) are committed to protecting the privacy of personal data and personal information, including health information where applicable, as these terms are defined below and in applicable laws (“Personal Information or PI”).

In order to bring the privacy practices regarding the Services to the attention of users (“you”, “your” or “yours”), Petal has developed this privacy policy (the “Policy”), which summarizes in particular: (i) the types of Personal Information collected and the situations in which it may be collected; (ii) the ways in which this information is used and protected; (iii) the situations in which it may be shared; (iv) how it is stored and destroyed; (v) the rights that may be exercised by the data subjects with respect to this information; and (vi) the security measures put in place and the procedure applicable in the event of a privacy incident.  

Pour l’application de la présente Politique, on entend par « Renseignements personnels » toute information qui concerne une personne physique et qui permet de l’identifier directement (p. ex. nom, prénom, adresse courriel, adresse postale) ou indirectement (p. ex. un renseignement qui, combiné avec d’autres renseignements, permet d’identifier la personne).

This Privacy Policy is provided for information and transparency purposes, and for no other purpose. It applies solely to the handling of Personal Information. Some of the data referred to in this Policy may not be Personal Information, and therefore may not be protected under the laws that apply to you.

1.When does this Policy apply?

This Policy applies to our professional services and products, including medical billing services (i.e. medical billing management and optimization, automated data entry and document filing/management), workforce and schedule management services, appointment management services, security and compliance services, Web applications and platforms, hosting and technical support services, and training and support services (collectively, our “Services”).

Nous fournissons nos Services à des professionnels de la santé, des institutions publiques et privées et des organismes publics et gouvernementaux (nos «Clients»)

Les Renseignements personnels recueillis ou fournis en lien avec nos Services numériques sont obtenus, utilisés, communiqués, conservés, détruits et autrement traités comme prévu à cette Politique.


Cette Politique ne s’applique pas :

  • To activities, products or services that are not part of the Services, including (i) our marketing activities; (ii) when you interact with us outside of our Services; (iii) when you sign up for our newsletter; (iv) when you browse our websites other than for the Services; and (v) when you apply for a job with us.

For these activities, see the applicable policy available ici.

  • When you use third-party sites, including social networks and services referenced through our Services. This Policy does not apply to the handling of your PI by such third parties. Petal is not the owner of these sites, is not responsible for them and has no control over their content or features. Please read the privacy policies of these third parties to learn how they handle your PI before using their sites.
  • Aux activités de nos Clients, ces activités pouvant mener à la collecte, l’utilisation, la conservation et le traitement de vos RP sont sujettes à leurs propres politiques de confidentialité.

2. Types de Renseignements personnels traités dans le cadre de services

PI

Rôle

Justifications

RP de patients

La collecte des RP de patients est réalisée par les Clients dans le cadre de leurs activités d’affaires

Petal peut traiter des RP de patients à titre de « fournisseur de services » (ou « sous-traitant » en Europe/UK) dans le cadre des Services offerts à nos Clients, mais ces derniers demeurent les « responsables du traitement » (ou ont la « détention juridique ») des RP   

Les Clients ont la responsabilité d’établir la finalité qu’ils désirent accomplir par la collecte des RP des patients et ainsi ils sont responsables des activités de traitement nécessaires et veillent aux demandes des personnes concernées (patients).

Patients should consult the Customer’s privacy policy to understand how their PI is handled.

Customers are responsible for establishing safeguards to protect patients’ PI, responding to individuals’ requests to exercise their rights, and implementing legal requirements throughout the information life cycle (collection, use, storage, retention, transfer and destruction).

RP des employés des Client

La collecte des RP d’employés des Clients est réalisée par les Clients dans le cadre de leurs activités d’affaires.

Petal may handle Customer employees’ PI as a “service provider” (or “subcontractor” in Europe/UK) in connection with the Services offered, but our Customers remain the “data controllers” (or have “legal possession”) of the PI.   

Les Clients ont la responsabilité d’établir la finalité qu’ils désirent accomplir par la collecte des RP des employés et ainsi ils sont responsables des activités de traitement nécessaires et veillent aux demandes des personnes concernées (employés).

Les employés doivent consulter la politique de confidentialité du Client afin de comprendre les activités de traitement de leurs RP.

Customers are responsible for establishing safeguards to protect employees’ PI, responding to individuals’ requests to exercise their rights, and implementing legal requirements throughout the information life cycle (collection, use, storage, retention, transfer and destruction).

RP des utilisateurs des Service 

Petal collecte et traite les Renseignements personnels des utilisateurs à titre de « responsable du traitement » ou comme ayant la « détention juridique » de ces RP pour leur rendre les Services.

(Plusieurs renseignements, dont les coordonnées professionnelles ou d’affaires, pourraient ne pas constituer des Renseignements personnels)

Les utilisateurs des Services transmettent leurs renseignements afin de se voir octroyer l’accès aux plateformes, systèmes qui composent les Services.

Par la transmission de vos RP à Petal, vous consentez à la collecte et aux traitements de vos RP selon cette Politique. Votre consentement peut être retiré en nous contactant; toutefois, certains Services pourraient ne plus être disponibles. you consent to its collection and processing in accordance with this Policy. You can withdraw your consent by contacting us; however, some Services may then become unavailable.

Témoins

Raison

Essentiels

Enable use of the Services by ensuring they function properly, including navigation from one page to another, maintaining integrity, and interacting with features. 

These cookies are always active and cannot be turned off. They record your actions on Service platforms (login, language preferences, navigation, automated forms). 

Fonctionnels

Permettent d’utiliser certaines fonctionnalités (ex. : la mémorisation de vos choix, préférences et configurations, afin d’améliorer et de personnaliser votre expérience). Ces témoins sont désactivés par défaut et seront installés sur la base de votre consentement exprès. Vous pouvez retirer votre consentement à tout moment selon les précisions fournies ci-dessous.

Analytiques

Permettent de voir comment vous utilisez et interagissez avec les Services (ex. : Google Analytics pour des statistiques de performance) sur une base non identifiable (ex. : en colligeant des journaux techniques, adresses IP, ID de dispositif, types et configurations de navigateurs, d’appareils et de systèmes d’exploitation, données sur le nombre de visiteurs/pages consultées/durée des visites/heures de pointe/taux de conversion, fréquence d’utilisation, etc. Ces témoins sont désactivés par défaut et seront installés sur la base de votre consentement exprès. Vous pouvez retirer votre consentement à tout moment selon les précisions fournies ci-dessous.

3.What Personal Information do we collect and for what purposes?

If you choose to use our Services, we will need certain Personal Information as described below, unless otherwise required by law. Petal considers that if you provide us with information, including Personal Information, then you have consented to our collecting/processing it for the purposes for which it was provided (or as otherwise required or allowed by law). Personal Information may also be collected and used as described below.

  • Account information. To open or renew an account, you must provide certain information depending on the nature of the account and its intended use (e.g. email address, password, preferences, settings, date of account opening). If you like, you can also add a photograph visible to other users. We use this information to create your account, update it as needed, allow you to interact with other users, link you to your organization and enable you to use the features of our Services.
  • Information on healthcare professionals. We collect information, including Personal Information, as applicable, to enable healthcare professionals’ members to use our Services. This includes telephone numbers, medical specialty, licensure number and issuing authority, organization, professional contact information, schedules, absences, events, information sent by secure message through the Services, documents, billing information, distribution lists, and data on professional activities. The information required varies according to the Service provided; for example, schedule management requires the processing of employment-related information, and our medical billing services require information on services provided and to be billed, as well as applicable rates. To pay for our Services, you have the option to select a one-time payment from your bank account or recurring automated payments.  If you pay online, you pay through a Stripe secure digital portal; Petal only has access to your payment history. 
  • Employee information. We collect data, including Personal Information, about your employees when needed to provide the Services (e.g. employee scheduling). This includes name, business contact information, job/employee category and other required information where applicable (e.g. licensure number). The information required varies according to the Service provided.
  • Patient information. Through our Services, healthcare professionals may handle Personal Information about their patients, mainly for billing or appointment management purposes. This Information is not accessible to Petal unless we have to process it in order to deliver the Services (e.g. retranscription/downloading of billing information on behalf of professionals). In that case, processing will be automated if possible. We do not use this Personal Information for marketing or resale purposes.
  • Use of the Services. We collect Personal Information from users about their use of the Services as instructed by our Customers (e.g. aggregating data to provide an overview of activities, for security purposes or to respond to requests for technical support and manage Service performance). The data processed includes daily logs, information on the user’s use of the Services, bugs and technical errors associated with the account, connection durations, pages visited and content of technical support requests.
  • Comments, questions and requests. If you contact Petal, you may decide to provide certain information, including Personal Information (e.g. your name and email address) along with your opinions/comments. We’ll use them to follow up on your message.

 

4.What do we mean by consent to the collection and use of your PI?

Avant de collecter, utiliser et divulguer vos Renseignements personnels, Petal s’assure d’obtenir votre consentement conformément aux exigences applicables, à moins d’une exception prévue dans la loi.

Petal fait preuve de transparence et s’assure de vous informer clairement au moment de la collecte des utilisations qui seront faites de vos Renseignements personnels, des moyens par lesquels ils sont obtenus s’ils ne sont pas recueillis directement auprès de vous, de vos droits ainsi que des catégories de tiers à qui ils sont susceptibles d’être communiqués et de la possibilité qu’ils soient communiqués à l’extérieur du Québec, le cas échéant, afin que votre consentement soit manifeste, libre et éclairé.

You may withdraw your consent to Petal’s use of your PI for purposes that are not essential to the Services provided by Petal, for example to send you promotional material, invite you to events, generate statistics or analyze your information. At your request, Petal will stop using it for those purposes. You may withdraw your consent by contacting the Privacy Officer at the address given in section 10.4 of this Policy.

However, for uses deemed essential to the management and administration of some of our Services, you cannot withdraw your consent without terminating your business relationship with Petal. The consequences can be explained to you at the appropriate time to help you make an informed choice. 

Par ailleurs, il est possible que d’autres utilisations que celles initialement prévues au moment de la collecte des Renseignements personnels soient mises en œuvre pour offrir aux Clients les Services convenus.

Ainsi, pour les RP sous le contrôle juridique :

  • of Petal, it may be used for other purposes as allowed or required by law, especially if compatible with the purposes for which it was originally collected. Compatible purposes include the development of our Services and their algorithms. In that case, PI is used on a non-identifiable basis wherever possible.
  • of a Customer, it is not used by Petal for other purposes, except in the case of (i) the point above; and (ii) automated processing by the Services (machine learning without keeping a copy and in a non-identifiable way).

 

5.How is Personal Information collected?

Petal recueille les Renseignements personnels auprès des utilisateurs de plusieurs façons, sous formes verbale, écrite ou électronique, via ses plateformes de Services, ses applications mobiles le cas échéant, par téléphone, par la poste, par courriel, par clavardage, via ses partenaires autorisés ou autrement, y compris, mais sans s’y limiter lorsqu’ils :

  • Effectuent une demande de soumission, un abonnement, une demande d’information, un paiement;
  • Deviennent Clients ou renouvellent leur abonnement;
  • Lorsqu’ils participent à nos programmes, nos événements, nos activités marketing
  • S’inscrivent ou acceptent de recevoir nos infolettres, nos communications promotionnelles, nos communications concernant nos produits et Services;
  • Contactent ou communiquent avec nos représentants pour formuler une demande de service. À cet égard, comme certains de nos Services sont offerts par téléphone, les appels peuvent être enregistrés pour assurer la qualité de nos Services et pour protéger les deux parties en cas de désaccord;

Lorsque vous accédez ou utilisez nos Services, nous recueillons automatiquement des informations relatives à l’utilisation et la connexion technique par des témoins et autres technologies (ex. : des pixels et balises Web) (collectivement, les «Témoins») :

Les renseignements sont enregistrés par les Témoins sous forme d’un petit fichier texte dans votre navigateur. Les témoins de session sont supprimés dès que vous quittez votre navigateur, tandis que les témoins persistants restent actifs sur votre appareil pendant un certain temps. Par exemple, les témoins de Google Analytics restent installés sur votre appareil pendant deux ans. Ces témoins peuvent toutefois être bloqués ou supprimés.

Vous avez à tout moment la possibilité de désactiver complètement certains ou tous les témoins de connexion dans les paramètres avancés de votre navigateur.

Les RP sont enregistrées par les Témoins sous forme d’un petit fichier texte dans votre navigateur. Si vous rencontrez des problèmes, vous pouvez nous contacter.

6.To whom do we disclose Personal Information?

Subject to legal requirements, Petal does not share or disclose PI or use it for purposes other than those identified in this Policy or allowed or required by law. Any use of PI for purposes not set out in this Policy will take into account whether the PI is sensitive and how it will be used.

Les Renseignements personnels recueillis par Petal ne sont accessibles qu’aux membres du personnel qui doivent y avoir accès dans le cadre de leurs fonctions.

Il est possible que nous devions partager vos RP à des tiers, y compris des fournisseurs de services, qui peuvent nous assister avec dans le cadre de nos Services énoncés ci-haut.

Cela peut inclure :

  • any entity of the Petal or its subsidiaries;
  • des partenaires nous assistent avec les Services ou le développement de nos activités;
  • des fournisseurs de services technologiques;
  • des fournisseurs d’hébergement de données, de serveurs et de systèmes;
  • aux autorités et organismes gouvernementaux (ex. : la Régie de l’assurance maladie du Québec) comme requis aux termes des lois applicables;
  • des autorités gouvernementales, fiscales et de contrôle (Commission d’accès à l’information, les organismes réglementaires, les organismes publics chargés d’appliquer la loi) et de toutes autres personnes autorisées à les obtenir selon la loi.

 

Le cas échéant :

  • Les personnes ayant accès à vos RP connaissent l’importance d’en assurer leur confidentialité et s’engagent à les utiliser uniquement aux fins mentionnées dans l’entente conclue avec Petal et à leur accorder le niveau de protection convenu, conformément à la loi.
  • Nous limitons toute communication à ce qui est strictement nécessaire et respectons les modalités relatives au consentement obtenu, sous réserve des fins autorisées ou requises par la loi.
  • En aucun cas, Petal ne vend, n’échange ou ne commercialise les RP recueillis.
  • Petal s’engage à déployer l’ensemble des mesures de protection raisonnables et nécessaires, pour protéger vos RP, préserver leur intégrité, disponibilité et confidentialité.

Nos partenaires peuvent aussi partager certains RP avec leurs propres partenaires à moins de dispositions à l’effet contraire dans les contrats conclus avec nos clients. 

Dans l’éventualité où une transaction d’affaires est conclue, les cessionnaires ou les successeurs de l’organisation ou de ses actifs peuvent utiliser et divulguer vos Renseignements personnels tels qu’ils ont été obtenus par Petal uniquement pour les fins énoncées dans la présente Politique, sous réserve d’obtenir votre consentement pour d’autres fins.

Petal se réserve le droit de rapporter des activités frauduleuses par des Clients ou utilisateurs des Services. Ceci peut nécessiter la communication de RP relatifs à la personne concernée aux autorités responsables.

7.Where do we store Personal Information?

Petal utilise des systèmes et des fournisseurs de services en technologie qui permettent d’assurer la conservation sécuritaire de vos RP de façon à maintenir leur confidentialité.

Vos Renseignements personnels sont généralement conservés dans la juridiction où ils ont été recueillis. Toutefois, il est possible que certains RP soient hébergés ou traités hors de la région dans laquelle vous êtes localisé (p. ex. : au Canada, en Europe ou aux États-Unis, selon le cas). Lorsque nous transférons des RP dans une autre juridiction, nous nous assurons que cela ait lieu conformément aux lois applicables, et notamment que des mesures de protection appropriées soient en place pour que les RP bénéficient d’une protection similaire ou adéquate, selon le cas, à celle prévalant dans votre pays de résidence.

8.How long do we keep Personal Information?

Sous réserve des lois applicables, Petal conservera les Renseignements personnels aussi longtemps que nécessaires pour fournir les Services ou autrement pour réaliser les fins décrites à la Politique. Sujet aux contrats en place avec ses Clients, Petal pourra conserver des RP après que les fins spécifiques pour lesquelles ceux-ci ont été collectés aient été complétés, si cela est raisonnablement nécessaire, pour : (i) se conformer aux lois applicables ou prévenir toute infraction; (ii) résoudre tout différend; et (iii) assurer la mise en œuvre de cette Politique. Lorsque ces Renseignements personnels ne seront plus requis, nous mettrons en œuvre des mesures raisonnables pour les détruire de manière sécurisée, sous réserve des exceptions prévues par la loi.

An anonymized copy may be created from PI collected for serious and legitimate purposes and may be used by Petal to develop products, Services and related algorithms.  

Un protocole d’anonymisation irréversible et ne permettant plus d’identifier directement ou indirectement une personne est mis en œuvre selon les meilleures pratiques généralement reconnues et selon les critères et modalités déterminés par règlement. Lorsqu’anonymisés, ils ne constituent plus des Renseignements personnels et donc ne sont plus sujets aux lois en matière de vie privée. 

Sous réserve des exigences de chaque organisation et des lois applicables, un Client peut demander la suppression de son compte en tout temps, en communiquant par courriel ([email protected]) au Responsable de la protection des renseignements personnels. Afin de rencontrer ses obligations, Petal s’assurera que les RP attribuables au compte supprimé seront également détruits.[email protected]). To meet its obligations, Petal will ensure that the PI linked to the deleted account will also be destroyed.

Les Renseignements supprimés (à la demande d’un utilisateur, à la fermeture d’un compte ou autrement après leur période de conservation) le sont selon un « processus de suppression progressive » (« soft deletion process »). Ils passent à un état récupérable pendant une courte période de temps au lieu d’être définitivement effacés pour permettre leur récupération en cas d’erreur de suppression. Un nombre limité d’employés de Petal peut avoir accès à ces renseignements suivant une demande expresse de l’utilisateur autorisé.

9.How do we ensure the security of Personal Information?

We have reasonable security measures that take into account the PI’s sensitivity, purpose of use, quantity and distribution, as well as the medium used to process it. These measures include:

  • Limited processing: Except as provided by law, Petal limits the collection and processing of PI to the purposes stated in this Policy.
  • Limited access: Subject to applicable laws, access to any Personal Information is granted to Petal employees, representatives and partners on a strict “need to know” basis, with the appropriate measures in place and according to applicable laws.
  • Authorized partners: Authorized partners are bound by contracts that stipulate the PI protection measures required, and therefore have an obligation of protection and legal compliance.
  • Privacy Impact Assessment (“PIA”): We conduct PIAs (or notify our Customers that they must conduct PIAs) as needed and as required by law.
  • Security during transit: When we send Personal Information, we use the HTTPS transfer protocol, which encrypts the data and keeps it confidential and integral.
  • Secure data centres: The Services are hosted on secure private platforms.
  • Privacy incident: If Petal has reason to believe that a privacy incident involving Personal Information has occurred, it will take reasonable steps to reduce the risk of serious harm, prevent further incidents and comply with applicable laws.
  • Training and awareness: Petal provides training to its employees to make sure they handle PI properly and apply security measures on an ongoing basis in the course of their duties.

Malgré cela, et même si la sécurité des Renseignements personnels nous importe, n’oubliez pas qu’aucun Service, dont toute méthode de transmission ou de stockage électronique, n’est sécuritaire à 100 %.

It is each individual’s responsibility to take reasonable steps to protect his or her Personal Information. If you have reason to believe your PI has been compromised, please contact the Privacy Officer at the address given in section 10.4.

10.What are your rights regarding the processing of your Personal Information?

10.1 Pour les Renseignements Personnels au Sujet de Patients

The rights outlined in 10.3 do not apply to patients’ records or other Personal Information, since Petal will not collect this PI unless required by law. Patients who wish to access their own PI must request it from their healthcare professional or clinic. A patient who contacts Petal will be redirected to the appropriate entity according to the type of request.

10.2 Pour les Renseignements Personnels des Employés (Clients) ou des Utilisateurs des Services

The rights outlined in section 10.3 do not apply to the records or other Personal Information of Customer employees or Service users, since Petal will not collect this PI unless required by law. Employees or users who wish to access their own PI must request it from their healthcare professional or clinic. An employee or user who contacts Petal will be redirected to the appropriate entity according to the type of request.

10.3 pour les Renseignements Personnels au Sujet de Clients de Petal

Vous bénéficiez de certains droits à l’égard de vos Renseignements personnels, lesquels varient en fonction des lois qui s’appliquent à vous et des circonstances spécifiques à votre demande. Vous pouvez exercer vos droits de la manière prévue par la loi (sujet aux limitations et conditions imposées par celles-ci), et nous allons y donner suite selon les délais légaux :

Right of access and rectification: You may review the PI Petal has collected about you, check its accuracy and make any necessary changes, subject to exceptions provided by law. Such requests will be processed free of charge, but reasonable fees may be charged for reproduction requests.  

Right to withdraw consent: See section 4 above. 

Decision based on automated processing:  If Petal implements decision-making based exclusively on PI processing that is automated (without human involvement), relies solely on an algorithm, and has a specific effect on you, such as contract cancellation, you will be informed of this, of the decision made and of your right to submit observations on that decision.  

Right to portability: When we have collected Personal Information from you and hold it in a digital format, you may request that it be transferred to a third party in that same format.  

Autres demandes des personnes concernées en provenance de l’Europe/UK   

Right to information: You may ask how your PI is processed and any related questions. 

Right to object to PI processing: You may request that we stop processing your PI, including for profiling purposes, and object at any time to receiving marketing communications from Petal. 

Right to erasure / Right to be forgotten: You may request deletion of your PI at any time.  

Post-mortem digital rights: You can either give instructions for processing your PI when you die, including a request for deletion, or designate someone to do so.  

Vous pouvez exercer vos droits de la manière prévue par la loi (sujet aux limitations et conditions imposées par celles-ci), et nous allons y donner suite selon les délais légaux (au plus tard dans les trente (30) jours suivant la date de réception de votre demande). Pour des raisons de sécurité, nous pourrions vous demander de fournir une preuve d’identité avec votre demande. Si votre demande est rejetée, nous vous en aviserons par écrit, en fournissant des motifs détaillés. Nous conserverons les Renseignements personnels pertinents jusqu’à ce que vous ayez épuisé vos recours.  

Si vous n’êtes pas satisfait de la façon dont nous traitons votre demande, vous pouvez : 

  • Porter plainte à notre Responsable de la protection des renseignements personnels en indiquant votre nom, le type de plainte et tout détail jugé pertinent en lien avec la plainte. Le Responsable procédera ensuite à l’examen de la plainte. Au besoin, le responsable communiquera avec vous pour obtenir tout autre renseignement requis, si applicable. Suivant l’enquête, une communication vous sera faite pour vous faire part du résultat de l’enquête.   
  • Déposer une plainte officielle auprès des autorités applicables (ex : en Europe, voir ici, au Canada voir ici; in Canada, ici). 

10.4 Questions et Commentaires

Pour exercer vos droits ou si vous avez des questions sur la façon dont nous traitons des Renseignements personnels, vous pouvez communiquer avec notre:

Privacy Officer or Delegate

mailto: [email protected]

350, boul. Charest Est, bureau 300
Quebec City, Quebec  G1K 3H5

11.Will this privacy policy be updated?

Cette Politique peut être mise à jour de temps à autre. La dernière date de mise à jour apparaît au début de la Politique.

 

12.What laws govern this Policy and the Services?

This Policy and the Services are governed by and subject to the laws in force in the Province of Quebec, apart from any principles or rules that may require the application of foreign laws. Any dispute that cannot be resolved through direct negotiations in good faith will be submitted to the courts of the Province of Quebec, which shall have exclusive jurisdiction to settle such dispute; however, it is understood that the foregoing does not limit or prevent Petal from bringing a proceeding before any other court/arbitrator(s) having jurisdiction to grant an injunction or other interim relief, or from filing a counterclaim or defence.

Petal cannot be held liable for any (i) defect or damage caused by force majeure; or (ii) direct or indirect damages, including any special, incidental or consequential damages. Some jurisdictions do not allow liability to be excluded or limited for certain types of damages; in such jurisdictions, our liability will be limited to the lowest amount permitted by law.