← Accueil

Accord de traitement des données (DPA)

Conforme à la Loi 25 (Québec, RLRQ c. P-39.1) et au RGPD pour les traitements transfrontaliers.

1. Parties et qualifications

  • Le Professionnel agit comme responsable du traitement des renseignements de santé qu'il collecte dans le cadre de la prestation.
  • Soigna agit comme sous-traitant pour l'hébergement, la planification, le paiement et la visioconférence.

2. Objet et durée

Le présent accord régit le traitement des renseignements personnels effectué par Soigna pour le compte du Professionnel pendant toute la durée de la relation contractuelle, et 6 mois après pour les obligations de conservation.

3. Catégories de données et de personnes concernées

  • Personnes : Clients particuliers et leurs proches.
  • Données d'identification : nom, courriel, téléphone, adresse.
  • Données de santé : motif de consultation, notes cliniques (uniquement saisies par le Professionnel).
  • Données techniques : journaux de connexion, adresses IP, identifiants de session.
  • Données financières : tokens de paiement (jamais de numéro de carte en clair).

4. Finalités

  • Mise en relation Client ↔ Professionnel.
  • Gestion des rendez-vous, notifications, visioconférence.
  • Encaissement et reversement des paiements.
  • Sécurité, prévention de la fraude, conformité légale.

5. Obligations de Soigna (sous-traitant)

  • Traiter les données uniquement sur instructions documentées du Professionnel et dans le cadre des finalités ci-dessus.
  • Garantir la confidentialité du personnel autorisé (engagement de confidentialité signé).
  • Mettre en œuvre des mesures techniques et organisationnelles adéquates : chiffrement TLS 1.3 en transit, AES-256 au repos, contrôle d'accès basé sur rôles, journaux d'audit, sauvegardes chiffrées, tests d'intrusion annuels.
  • Assister le Professionnel pour répondre aux demandes des personnes concernées (accès, rectification, suppression, portabilité).
  • Notifier toute violation de données dans les 72 heures de sa découverte, avec description, impact estimé et mesures correctives.
  • Supprimer ou restituer les données à la fin de la relation, sauf obligation légale de conservation.

6. Sous-traitants ultérieurs autorisés

  • Supabase (hébergement, base de données) — région : Canada / Montréal.
  • Stripe (paiements) — certifié PCI-DSS Niveau 1.
  • Resend (courriels transactionnels).
  • Twilio (SMS de rappel, le cas échéant).
  • Jitsi Meet (visioconférence pair-à-pair, sans enregistrement).

Toute modification de cette liste fait l'objet d'une notification 30 jours avant entrée en vigueur, avec droit d'opposition motivé.

7. Transferts hors Québec / Canada

Les données de santé sont hébergées exclusivement au Canada. Tout transfert hors juridiction est encadré par une évaluation des facteurs relatifs à la vie privée (EFVP) conformément à l'article 17 de la Loi 25, et conditionné à des garanties contractuelles équivalentes.

8. Audit

Le Professionnel peut, sur préavis raisonnable et au maximum une fois par an, auditer le respect du présent accord, directement ou via un tiers indépendant tenu à la confidentialité.

9. Responsable de la protection des renseignements personnels

Soigna désigne un responsable de la protection des renseignements personnels joignable à vie-privee@soigna.ca.

10. Droit applicable

Le présent accord est régi par les lois du Québec. En cas de conflit avec un contrat principal, les dispositions les plus protectrices pour les personnes concernées prévalent.

Voir aussi : Politique de confidentialité · Contrat Pro