POLITIQUE DE CONFIDENTIALITÉ

1. Objet, portée et nature juridique

La présente politique de confidentialité (la « Politique ») régit la collecte, l'utilisation, le traitement, la conservation, la communication et la protection des renseignements personnels et des renseignements personnels de santé par Milya Inc. (« Milya », « nous », « notre » ou « nos») dans le cadre de ses produits et services.(collectivement, les « Services »).

La présente Politique s'applique :

  • aux professionnels et organisations du secteur de la santé utilisant les Services
  • aux personnes dont les renseignements sont traités
  • aux utilisateurs interagissant avec les plateformes numériques de Milya

La présente Politique fait partie intégrante du cadre contractuel de Milya et doit être lue conjointement avec les conditions d'utilisation, les ententes de traitement des données (« DPA ») et, le cas échéant, les ententes de type « Business Associate Agreement » (« BAA »).

En cas d'incohérence, les ententes contractuelles prévaudront dans la mesure permise par la loi.

2. Cadre réglementaire et norme de conformité

Milya opère dans un environnement juridique multi-juridictionnel et structure ses pratiques conformément :

  • à la Loi 25 du Québec
  • à la Loi 5 relative aux renseignements de santé et de services sociaux
  • à la LPRPS (PHIPA – Ontario)
  • à la LPRPDE (PIPEDA – Canada)
  • à la HIPAA (États-Unis), lorsque applicable

Lorsque plusieurs régimes s'appliquent, Milya adopte une approche fondée sur le risque et sur le standard de conformité le plus élevé, sauf obligation légale spécifique contraire.

3. Définitions et interprétation

Aux fins de la présente Politique :

« Renseignement personnel » : toute information concernant une personne identifiable

« Renseignement personnel de santé (RPS) » : toute information relative à la santé protégée par un régime juridique renforcé

« Responsable du traitement / gardien » : entité déterminant les finalités et les moyens du traitement

« Sous-traitant / fournisseur de services » : entité traitant les données pour le compte d'un responsable

L'interprétation de la présente Politique doit être conforme aux lois applicables.

4. Répartition des rôles et responsabilités

4.1 Rôle de Milya

Milya fournit une infrastructure technologique et des capacités de traitement assistées par intelligence artificielle et agit principalement à titre :

  • de sous-traitant / fournisseur de services
  • de fournisseur de systèmes sécurisés supportant les flux de travail cliniques

Milya traite les renseignements personnels :

  • conformément aux instructions documentées des établissements de santé
  • ou lorsque nécessaire pour assurer le fonctionnement, la sécurité et la conformité des Services

4.2 Responsabilité des professionnels de la santé

Les professionnels et établissements de santé :

  • agissent à titre de responsables du traitement / gardiens
  • déterminent les finalités et les bases légales du traitement

Ils sont responsables notamment :

  • d'obtenir le consentement des patients
  • d'assurer la conformité réglementaire
  • de valider le contenu clinique généré

4.3 Absence de responsabilité clinique

Milya :

  • ne fournit aucun avis médical ou diagnostic
  • ne remplace pas le jugement professionnel
  • ne garantit pas l'exactitude clinique des contenus

5. Catégories de renseignements traités

Milya applique le principe de minimisation des données.

5.1 Données cliniques

  • Enregistrements audio (avec consentement)
  • Transcriptions générées par intelligence artificielle
  • Notes cliniques structurées
  • Métadonnées nécessaires à la traçabilité

5.2 Données utilisateurs et organisationnelles

  • Informations d'identification et de contact
  • Affiliations professionnelles
  • Données d'accès et rôles

5.3 Données techniques et de sécurité

  • Adresses IP et identifiants d'appareil
  • Journaux système
  • Données d'utilisation et de performance

6. Base légale du traitement

Les activités de traitement reposent sur :

  • le consentement obtenu par le professionnel de la santé
  • la nécessité contractuelle
  • les obligations légales et réglementaires

Milya ne détermine pas de manière indépendante la base légale du traitement des données cliniques.

Milya traite les renseignements uniquement dans le cadre des instructions des établissements et ne détermine pas les finalités ni les moyens essentiels du traitement.

7. Limitation des finalités et des usages

Les renseignements personnels sont utilisés uniquement pour :

  • la documentation clinique
  • le fonctionnement et la sécurité du système
  • la traçabilité et l'auditabilité
  • l'amélioration contrôlée des services
  • la conformité légale

Milya interdit expressément :

  • toute exploitation commerciale des renseignements de santé
  • toute utilisation de données identifiables à des fins non liées

8. Gouvernance des données (alignée avec la Loi 5)

Milya met en place une structure de gouvernance comprenant :

  • journaux d'audit immuables
  • contrôle d'accès basé sur les rôles (RBAC)
  • séparation des données
  • gestion du cycle de vie des données
  • évaluations des facteurs relatifs à la vie privée (EFVP / PIA)
  • surveillance continue

Milya agit comme gardien technique, sans assumer la responsabilité légale des données.

Ces mesures s'inscrivent dans un cadre de gouvernance continue aligné avec l'évolution du cadre québécois.

9. Localisation des données et souveraineté

Tous les renseignements personnels et les renseignements de santé sont hébergés et stockés au sein de la province de Québec, Canada.

L'architecture de Milya est conçue de manière à assurer :

  • une résidence des données au Québec ;
  • une gouvernance assujettie aux lois du Québec ;
  • une réduction de l'exposition aux risques liés aux transferts transfrontaliers.

Cette approche reflète un engagement fort envers la souveraineté des données et le respect des cadres réglementaires applicables.

Aucun stockage persistant de renseignements de santé n'est effectué à l'extérieur de la province de Québec. Tout traitement transitoire ou technique pouvant survenir à l'extérieur du Québec, le cas échéant, est strictement limité, non persistant, et encadré par des mesures de sécurité appropriées conformes aux exigences légales applicables.

10. Mesures de sécurité

Milya met en œuvre des mesures de sécurité raisonnables sur le plan commercial, incluant notamment :

  • le chiffrement des données (en transit et au repos) ;
  • des mécanismes d'authentification et de contrôle d'accès ;
  • des systèmes de surveillance et de détection des menaces ;
  • des pratiques d'infrastructure sécurisée conformes aux standards de l'industrie.

Nonobstant ces mesures, aucun système ne peut garantir une sécurité absolue. Milya applique des mesures de protection conformes aux standards de l'industrie ; toutefois, des risques résiduels inhérents aux systèmes numériques subsistent et sont réputés acceptés dans le cadre de l'utilisation des Services.

11. Fournisseurs tiers

Milya fait appel à des fournisseurs tiers dans le respect de conditions strictes :

  • des obligations contractuelles contraignantes ;
  • des exigences en matière de sécurité et de confidentialité ;
  • une limitation stricte de l'utilisation des données.

Milya ne peut être tenue responsable des actes ou omissions de tiers échappant à son contrôle raisonnable.

Les fournisseurs tiers agissent en qualité de prestataires indépendants et demeurent responsables de leur propre conformité aux lois applicables.

12. Traitement transfrontalier

La position par défaut de Milya est l'absence de tout transfert de renseignements de santé personnels à l'extérieur du Québec.

Lorsque des interactions transfrontalières limitées sont nécessaires :

  • le traitement des données est strictement minimisé ;
  • une évaluation des facteurs relatifs à la vie privée (EFVP) est réalisée ;
  • des mesures de protection appropriées sont mises en place.

Ces traitements ne doivent en aucun cas entraîner un transfert matériel de la garde ou du contrôle des renseignements de santé personnels à l'extérieur du Québec.

Milya ne transfère ni n'expose des renseignements de santé personnels identifiables à l'extérieur de la province de Québec.

Dans les rares cas où un traitement technique limité pourrait survenir à l'extérieur du Québec, celui-ci est strictement restreint à des données non identifiables, dépersonnalisées ou transitoires, ne permettant pas raisonnablement d'identifier une personne.

En aucun cas, dans le cadre normal de l'exploitation des Services, un tel traitement ne donne lieu à la communication de renseignements de santé personnels identifiables à des systèmes ou juridictions externes.

13. Conservation et destruction

Les renseignements personnels sont conservés uniquement pour la durée nécessaire aux fins pour lesquelles ils ont été collectés.

Suppression :

  • s'effectue conformément à des calendriers de conservation établis ;
  • peut être assujettie à des contraintes liées aux obligations légales, réglementaires ou aux sauvegardes techniques.

Les durées de conservation sont déterminées en fonction des exigences légales, réglementaires et opérationnelles applicables, notamment dans le contexte des prestataires de soins de santé.

14. Droits des personnes

Les personnes concernées peuvent :

  • accéder à leurs renseignements personnels ;
  • demander la rectification de leurs renseignements ;
  • demander la suppression, dans la mesure permise par la loi ;
  • retirer leur consentement à l'utilisation de leurs renseignements.

Les demandes impliquant des données cliniques sont traitées en coordination avec les professionnels ou établissements de santé concernés.

Ces demandes peuvent être assujetties à une vérification d'identité ainsi qu'aux limitations prévues par les lois applicables.

15. Conformité HIPAA

Lorsque applicable, Milya s'aligne sur les exigences de la HIPAA :

  • conclusion d'ententes de type « Business Associate Agreement » (BAA) ;
  • mise en œuvre de mesures de sécurité conformes aux standards HIPAA ;
  • utilisation et communication des renseignements de santé protégés (PHI) strictement limitées.

16. Limitation de responsabilité

Dans toute la mesure permise par la loi applicable :

Milya fournit les Services selon une obligation de moyens raisonnables sur le plan commercial ;

Milya ne donne aucune garantie, expresse ou implicite, notamment quant à :

  • l'exactitude des résultats générés ;
  • la disponibilité continue des Services ;
  • l'adéquation des Services à un usage particulier.

Milya ne saurait être tenue responsable :

  • des décisions cliniques ou de leurs conséquences ;
  • de toute utilisation des résultats sans validation préalable par l'utilisateur ;
  • du défaut d'obtention des consentements requis ;
  • de tout manquement aux obligations réglementaires par les utilisateurs.

En tout état de cause, la responsabilité de Milya est limitée conformément aux dispositions prévues dans les ententes contractuelles applicables.

Dans la mesure permise par la loi, Milya ne pourra être tenue responsable des dommages indirects, accessoires, consécutifs ou punitifs, incluant notamment toute perte de données, de revenus ou d'opportunités d'affaires.

17. Modifications

Milya se réserve le droit de modifier la présente Politique à tout moment. L'utilisation continue des Services constitue une acceptation de ces modifications.

18. Limitation des recours

Dans la mesure permise par la loi, toute réclamation découlant de l'utilisation des Services est limitée aux dommages directs et est assujettie aux limitations de responsabilité prévues dans les ententes contractuelles conclues entre les parties.

Toute réclamation doit être intentée dans les délais prescrits par la loi applicable, sous réserve de toute période de limitation contractuelle convenue entre les parties.

19. Conformité et coopération

Milya met en œuvre des politiques, procédures et mesures de sécurité techniques visant à assurer le respect des lois applicables en matière de protection des renseignements personnels et de gouvernance des données de santé, notamment la Loi 25 et la Loi 5 du Québec.

Les obligations de Milya sont limitées à celles expressément prévues par les lois applicables et les ententes contractuelles en vigueur.

Dans le cadre de toute demande, enquête ou intervention d'une autorité compétente, incluant la Commission d'accès à l'information, Milya se réserve le droit de :

  • coopérer dans la mesure requise par la loi ;
  • divulguer les renseignements pertinents lorsqu'elle y est légalement tenue ;
  • prendre toute mesure nécessaire afin d'assurer sa conformité.

Aucune disposition de la présente Politique ne doit être interprétée comme limitant les droits, moyens de défense ou obligations légales de Milya en vertu des lois applicables.

20. Absence de garantie réglementaire

Bien que Milya met en œuvre des mesures de sécurité raisonnables sur le plan commercial et conformes aux standards de l'industrie, aucune déclaration ni garantie n'est faite quant au fait que les Services assureront la conformité des utilisateurs à l'ensemble des lois et exigences réglementaires applicables.

La conformité aux obligations professionnelles, légales et réglementaires demeure de la responsabilité des utilisateurs.

21. Responsabilité des utilisateurs

Les utilisateurs des Services s'engagent à :

  • utiliser les Services conformément aux lois applicables et à leurs obligations professionnelles ;
  • s'assurer que tous les consentements requis sont obtenus ;
  • réviser et valider tout contenu généré avant toute utilisation clinique.

Dans la mesure permise par la loi, les utilisateurs sont responsables de toute utilisation abusive des Services ou de tout manquement aux exigences légales applicables.

Les utilisateurs reconnaissent que Milya fournit des outils d'assistance aux processus et ne remplace en aucun cas les obligations légales, cliniques ou réglementaires qui leur incombent.

22. Politique de confidentialité de la messagerie SMS et protection des données

22.1 Collecte de renseignements et données de consentement (opt-in)

Milya Inc. collecte les numéros de téléphone mobile uniquement lorsqu'un patient demande volontairement et consent à recevoir une confirmation de rendez-vous, une mise à jour d'horaire, un rappel ou un lien sécurisé vers un formulaire d'admission de patient par SMS. Le consentement peut être obtenu verbalement lors d'un appel téléphonique entrant avec Milya Receptionist ou par tout autre mécanisme de consentement légalement permis autorisé par la clinique dentaire participante.

Les renseignements collectés sont utilisés uniquement aux fins de transmettre les communications transactionnelles liées aux soins de santé demandées et de fournir les Services.

22.2 Interdiction stricte de la vente ou de l'utilisation marketing des données SMS

Milya Inc. applique une politique stricte interdisant la vente, la location, la cession, le transfert ou la divulgation des numéros de téléphone mobile des consommateurs, des renseignements de consentement (opt-in) SMS, des registres de consentement ou de l'historique de messagerie à des tiers, des affiliés ou des organisations externes pour leurs propres fins de marketing, de publicité, de sollicitation ou de promotion.

Milya n'utilise pas les renseignements de consentement (opt-in) SMS pour créer des profils marketing ou mener de la publicité ciblée.

22.3 Divulgations autorisées limitées

Les données de consentement (opt-in) de l'expéditeur de messagerie texte et les registres de consentement ne seront pas partagés avec des tiers à des fins marketing ou promotionnelles.

Milya peut divulguer ces renseignements uniquement à des fournisseurs de services autorisés, sous-traitants, fournisseurs de télécommunications ou fournisseurs d'infrastructure agissant pour le compte de Milya et uniquement dans la mesure nécessaire pour :

  • Transmettre des communications SMS;
  • Exploiter et maintenir les Services;
  • Protéger la sécurité et l'intégrité du système;
  • Se conformer aux lois, réglementations, obligations légales ou ordonnances judiciaires applicables; ou
  • Enquêter sur la fraude, les abus ou les incidents de sécurité.

Ces fournisseurs sont contractuellement tenus de maintenir des protections appropriées en matière de confidentialité et de sécurité.

22.4 Sécurité et protection des données

Milya met en œuvre des mesures de protection administratives, techniques et physiques conçues pour protéger les numéros de téléphone mobile, les registres de consentement et les renseignements connexes contre l'accès, la divulgation, la modification ou la destruction non autorisés.

Ces mesures de protection sont conçues pour s'aligner sur les exigences applicables en matière de confidentialité et de sécurité, notamment la Loi 25 du Québec, la LPRPDE (PIPEDA), la HIPAA (lorsque applicable) et les pratiques exemplaires de l'industrie.

Milya privilégie l'hébergement et le stockage au sein de la province de Québec lorsque cela est possible. Toutefois, certains fournisseurs de services ou fournisseurs de télécommunications peuvent traiter des renseignements limités dans d'autres juridictions, sous réserve de garanties contractuelles, de protections en matière de confidentialité et d'exigences légales applicables.

22.5 Conservation des registres de consentement

Milya conserve les registres de consentement (opt-in) SMS, l'activité de livraison des messages, les demandes de désabonnement et les registres de conformité connexes pendant la période requise par les lois applicables, les obligations contractuelles, les exigences réglementaires et les finalités commerciales légitimes.

Ces registres sont conservés uniquement aux fins de conformité, de vérification, de sécurité, de règlement des différends et de finalités juridiques.

22.6 Rôle de Milya

Milya agit à titre de fournisseur de services technologiques et de sous-traitant de données pour le compte des cliniques dentaires participantes.

La clinique dentaire participante demeure responsable de s'assurer que tout consentement des patients requis est dûment obtenu et que les coordonnées des patients fournies à Milya sont exactes et licites.

23. Responsable de la protection des renseignements

Milya a désigné une personne responsable de la protection des renseignements personnels, conformément aux lois applicables.

Responsable de la protection des renseignements personnels

Milya Inc.

Courriel : privacy@milya.ca