Politique de confidentialité
Dernière mise à jour : 1er décembre 2025
Visée
VITR.AI développe des logiciels d’orientation, de visualisation de données et des interfaces de programmation d’application (API), tels que des outils d’orientation patient et de filtre de pertinence clinique.
En accédant à ses logiciels (notamment NAVIG), vous êtes lié par le contrat de licence d’utilisation que votre employeur a conclu auprès de VITR.AI ou par le contrat d’emploi auprès de VITR.AI, le cas échéant, et/ou par les conditions d’utilisation du site web et des logiciels de VITR.AI, ainsi que par la présente politique de confidentialité.
La présente politique de confidentialité a pour objectif d’informer les utilisateurs, les patients, les clients, les employés et les consultants de VITR.AI sur les pratiques mises en place par cette dernière pour protéger les renseignements personnels obtenus dans le cadre de la prestation de services, l’utilisation de ses sites web et logiciels, et de sa gestion d’entreprise.
Si vous ne consentez pas à la présente politique de confidentialité et à l’obtention par VITR.AI de vos renseignements personnels, veuillez ne pas nous communiquer vos renseignements personnels.
Application de la présente politique de confidentialité
La présente politique de confidentialité s’applique à trois situations :
L’utilisation de NAVIG, au cours de laquelle aucun renseignement personnel n’est collecté;
L’utilisation d’une API de VITR.AI, entraînant la collecte des renseignements personnels des patients et/ou des utilisateurs;
La collecte des renseignements personnels des employés et consultants;
Les sections suivantes détaillent nos pratiques de gestion des renseignements personnels pour chacune de ces situations.
Renseignements personnels recueillis
Un renseignement est dit personnel lorsqu’il permet d’identifier une personne physique. À noter que les coordonnées professionnelles d’une personne physique ne font pas partie des renseignements personnels.
1. NAVIG
Dans le cadre de l’utilisation de NAVIG, VITR.AI ne collecte aucun renseignement personnel de ses clients (cliniques médicales et centres d’appels), ni de leurs patients, employés ou utilisateurs, car aucun renseignement personnel n’est requis pour utiliser les logiciels d’orientation patient et de visualisation de données. En effet, conformément aux conditions d’utilisation et aux contrats de licence conclus avec les établissements, aucun renseignement personnel ne doit être saisi dans les logiciels d’orientation.
2. API
L’utilisation d’une API de VITR.AI, contrairement à NAVIG, implique la collecte des renseignements personnels strictement nécessaires au traitement d’une demande.
Ainsi, lors de l’utilisation d’une API de VITR.AI, celle-ci peut être amenée à recueillir les renseignements personnels suivants :
Code postal : pour identifier la région où vous vous trouvez ;
Numéro d’assurance maladie : pour vérifier si vous avez un médecin de famille ;
Réponses aux questions de santé : pour mieux comprendre les besoins du patient.
Ces données sont nécessaires pour permettre à VITR.AI d’offrir aux patients des services adaptés à leurs besoins, notamment pour la planification de rendez-vous et la gestion des soins via la plateforme.
L’utilisation d’une API de VITR.AI requiert votre consentement pour la collecte et le traitement des renseignements personnels nécessaires à son fonctionnement. Vous devez également donner votre consentement explicite pour que ces données, une fois anonymisées, puissent être utilisées dans l’entraînement et l’amélioration des modèles d’intelligence artificielle. Les renseignements personnels sont conservés pour une période limitée avant d’être anonymisés de manière irréversible, éliminant ainsi toute possibilité d’identification directe ou indirecte. Une description du processus d’anonymisation est présentée ci-dessous.
3. Employés et consultants
Au sein de VITR.AI, nous collectons les renseignements personnels suivants concernant nos employés et consultants :
Nom;
Coordonnées;
Numéro de téléphone;
Numéro d’assurance sociale (pour les employés seulement);
Spécimen chèque (informations bancaires);
Taux horaire/salaire;
Informations sur le rendement professionnel;
Contact en cas d’urgence;
Confidentialité des enfants
Au sein de VITR.AI, nous ne collectons ni ne sollicitons sciemment de renseignements personnels auprès de personnes de moins de 13 ans sans le consentement parental. Si vous êtes un parent ou un tuteur et que vous savez que votre enfant nous a fourni des renseignements personnels, veuillez communiquer avec notre responsable de la protection des renseignements personnels, dont les coordonnées se trouvent dans la section suivante de la présente politique.
Toute donnée collectée sans consentement parental vérifié sera immédiatement supprimée de nos serveurs.
Fins pour lesquelles les renseignements personnels sont recueillis
Les renseignements personnels de nos employés, ainsi que ceux des utilisateurs d’une API de VITR.AI, sont recueillis uniquement pour les objectifs suivants :
Exploitation de nos activités commerciales;
Saine gestion des ressources humaines;
Service de paie et de comptabilité;
Obligations légales;
Prestation de services aux patients via l’API de VITR.AI;
Consentement et base légale
Afin de limiter tout risque de préjudice causé par un incident de confidentialité, nous ne recueillons et ne conservons que les renseignements personnels qui sont nécessaires aux fins déterminées ci-haut.
Si vous nous transmettez des renseignements personnels concernant d’autres personnes, il vous revient de les avoir informées et d’avoir obtenu leur consentement avant de nous communiquer leurs renseignements personnels.
Si nous souhaitons utiliser vos renseignements personnels à d’autres fins, nous demanderons votre consentement au préalable, également, sauf dans les cas prévus par la loi ou si la nouvelle utilisation est compatible avec la raison initiale pour laquelle nous avons collecté vos renseignements personnels.
Communication de vos renseignements personnels
Seules les personnes suivantes peuvent recevoir des communications de notre personnel dans lesquelles peuvent se trouver vos renseignements personnels:
Vous;
Le personnel de VITR.AI en ayant besoin dans le cadre de leur emploi et ayant signé une entente de confidentialité en matière de renseignements personnels (par exemple en matière de gestion et comptabilité);
Un fournisseur de service de VITR.AI ayant besoin de vos renseignements personnels dans le cadre de la prestation de service et ayant signé une entente de confidentialité en matière de renseignements personnels ou ayant des obligations déontologiques équivalentes;
La police ou une autre autorité compétente, si la loi le requiert;
Non-divulgation à des tiers
VITR.AI ne loue, ne vend ni n’échange les renseignements personnels de ses employés, ou ceux des utilisateurs (tel que le nom, l’adresse, le numéro de téléphone ou l’adresse courriel) ni les informations financières (par exemple les taux horaires/salaire).
VITR.AI s’engage à ne pas divulguer les renseignements personnels, sauf si la loi l’exige, sur demande d’un tribunal, ou dans le cadre de l’exécution d’un contrat confié à un prestataire externe. Lorsque nous faisons appel à un fournisseur externe, nous prenons toutes les mesures nécessaires pour s'assurer que vos renseignements personnels soient protégés en vertu de la loi et soient collectés, utilisés, conservés et supprimés conformément à cette politique.
Hébergement des renseignements personnels
VITR.AI héberge vos renseignements personnels sur des serveurs situés au Québec.
Mesures de sécurité
Au sein de VITR.AI, nous appliquons des normes élevées et utilisons des systèmes de sécurité performants pour la conception, la mise en œuvre et le fonctionnement quotidien de nos plateformes (sites web et applications) ainsi que de nos serveurs et réseaux sous-jacents. Nous nous efforçons également de détecter et de bloquer toute intrusion sur nos plateformes.
Nous avons mis en place diverses mesures pour protéger vos renseignements personnels contre la perte, le vol, ainsi que contre tout accès, divulgation, reproduction, utilisation, modification ou destruction non autorisés. Ces mesures incluent des dispositifs de sécurité physiques, administratifs et technologiques, que nous jugeons appropriés en fonction de la sensibilité, de la quantité et du format des renseignements personnels collectés.
Pour compléter ces mesures de sécurité, nos employés, consultants et fournisseurs signent des accords de confidentialité assurant la protection de tous les renseignements personnels recueillis, ainsi que des informations commerciales de nos clients.
Contrôle d’accès à vos renseignements personnels
L’accès aux renseignements est restreint aux employés et consultants autorisés, dûment formés et liés par des obligations contractuelles de confidentialité. Tous les accès aux renseignements personnels sont journalisés afin d’assurer une traçabilité complète et de détecter toute tentative d’accès non autorisé. Les renseignements sont chiffrés en transit et au repos, et hébergés exclusivement sur des serveurs situés au Québec.
Droit à l’égard de vos renseignements personnels
La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (désignée ci-après par « Loi 25 ») et la Loi sur les renseignements de santé et de services sociaux (LRSSS) (désignée ci-après par « Loi 5 ») confèrent différents droits à l’égard de vos renseignements personnels. Vous disposez notamment des droits suivants :
Accès : le droit de demander si nous détenons des renseignements personnels sur vous et, le cas échéant, de demander d’avoir accès à ces renseignements personnels;
Rectification : le droit de demander de faire rectifier tout renseignement personnel incomplet ou inexact que nous détenons;
Retrait du consentement : le droit de retirer votre consentement à la communication ou à l’utilisation des renseignements personnels détenus;
Restriction ou refus d’accès : le droit de demander qu’un intervenant particulier ou qui appartient à une catégorie d’intervenants indiquée ne puisse avoir accès à un ou à plusieurs renseignements que vous aurez identifiés;
Portabilité : Vous avez le droit de demander que vos renseignements personnels vous soient communiqués ou qu’ils soient transférés à une autre organisation dans un format technologique structuré et couramment utilisé;
Plainte : vous pouvez adresser une plainte à notre responsable de la protection des renseignements personnels ou, si vous croyez à une infraction à la Loi sur la protection des renseignements personnels;
Pour exercer l’un ou l’autre de ces droits, veuillez communiquer avec notre responsable de la protection des renseignements personnels, dont les coordonnées se trouvent dans la section suivante de la présente politique.
Il est à noter que VITR.AI peut refuser toute demande de rectification, de portabilité ou de cessation du consentement si elle contrevient aux lois et règlements applicables en la matière, ou dans le cas de la portabilité, si elle entraîne des difficultés pratiques sérieuses. Nous vous fournirons alors le justificatif complet menant à ce refus.
Risques
Consciente de l’importance de protéger vos renseignements personnels, VITR.AI a mis en place les mesures requises afin de se conformer à la loi et aux obligations professionnelles et déontologiques applicables. Nous respectons ainsi les standards de sécurité propres à notre secteur d’activités afin d’assurer la protection des renseignements que nous recueillons et recevons.
Nonobstant ce qui précède, la gestion de la collecte, la conservation, la consultation et la communication des renseignements personnels via les technologies comporte un lot de risques qui ne peut être attribuable et imputable à VITR.AI. Si vous avez des raisons de croire que des renseignements personnels ont été compromis, veuillez communiquer avec notre responsable de la protection des renseignements personnels, dont les coordonnées se trouvent dans la section suivante de la présente politique.
Gestion des incidents liés à la confidentialité, à la cybersécurité et aux anomalies techniques
En cas d’accès accidentel à des renseignements personnels, qu’il s’agisse de ceux de patients provenant de nos clients (cliniques médicales et centres d’appels), d’employés ou tout autre utilisateur d’une API, nous procédons comme suit :
Le patient, l’employé, le client ou tout utilisateur concerné est immédiatement informé;
Les renseignements personnels obtenus par erreur sont détruits dans les meilleurs délais;
L’incident est documenté afin d’assurer la traçabilité et de prévenir toute récurrence;
En cas d’incidents de cybersécurité ou d’anomalies techniques pouvant compromettre les renseignements personnels, VITR.AI dispose d’un plan d’action qui sera mis en œuvre par notre responsable de la protection des renseignements personnels en cas d’incident de sécurité ou de confidentialité. Ce dernier inclut notamment:
La notification immédiate à toutes les parties concernées;
L’évaluation de la nature et de l’impact de l’incident;
Les mesures correctives pour limiter les conséquences;
La documentation complète de l’incident et des actions prises;
De ce fait, dès qu’un incident survient, vous devez aviser notre responsable de la protection des renseignements personnels dans les meilleurs délais via les coordonnées fournies au bas de la présente politique.
Anonymisation, durée de conservation et destruction
Tel que mentionné précédemment, avant d’utiliser une API de VITR.AI, vous serez invité à donner votre consentement explicite afin que vos renseignements personnels, une fois anonymisés, puissent être utilisés dans l’entraînement de notre intelligence artificielle.
L’anonymisation consiste à transformer de manière permanente les données afin qu’aucune personne ne puisse être identifiée, directement ou indirectement. Au sein de VITR.AI, ce processus suit une méthode rigoureuse conforme à la Loi sur les renseignements de santé et de services sociaux (LRSSS, dite « Loi 5 »), incluant notamment :
La suppression des identifiants directs (nom, numéro de téléphone, adresse, etc.);
La modification ou généralisation des informations indirectes permettant de retracer une identité (date de naissance, lieu, codes uniques, etc.);
Seules les données ainsi anonymisées sont utilisées pour entraîner les modèles d’intelligence artificielle, assurant alors la protection de la vie privée des utilisateurs tout en permettant l’amélioration continue de nos technologies.
Vous pouvez retirer votre consentement à tout moment. Dans ce cas, les renseignements personnels non anonymisés seront détruits dans un délai de 120 jours suivant la collecte.
Aucun renseignement personnel non requis ne doit être transmis de votre part à moins d’être nécessaire dans le cadre de la prestation de service ou d’emploi.
VITR.AI s’engage également à ce que les renseignements personnels des utilisateurs d’une API soient détruits après une période maximale de six (6) ans. Pour les employés et consultants, les données sont conservées six (6) ans après la fin de l’emploi ou de la prestation de service, conformément aux obligations légales de l’Agence du revenu du Canada.
Notre engagement à préserver votre confidentialité
Au sein de VITR.AI, la protection de vos renseignements personnels constitue une priorité. Nous veillons à ce que nos politiques et pratiques en matière de confidentialité et de sécurité soient clairement communiquées à l’ensemble de nos employés et consultants, et nous mettons en place des mesures rigoureuses pour assurer leur application. Nous nous engageons à maintenir des standards élevés de sécurité de l’information et à promouvoir une culture organisationnelle axée sur la protection des renseignements personnels.
Formation et sensibilisation
Au sein de VITR.AI, nous formons régulièrement nos employés et consultants pour qu’ils comprennent bien comment protéger les renseignements personnels et sécuriser nos systèmes. Cela leur permet de savoir quoi faire, de repérer les risques et de suivre nos règles de sécurité au quotidien. En agissant ainsi, nous faisons en sorte que vos renseignements personnels soient mieux protégés et que nos pratiques respectent les standards de sécurité de l’information.
Révision et mise à jour de la politique
Nous nous réservons le droit de réviser et de mettre à jour la présente politique de confidentialité en tout temps afin de l’adapter à l’évolution de nos pratiques, de nos activités ou des exigences légales et réglementaires applicables. Lorsqu’une mise à jour est effectuée, nous actualisons la date de la dernière modification au début de la présente politique et publions la version révisée sur notre site web ou sur toute autre plateforme pertinente. Si les changements sont importants, nous diffuserons un avis clair et visible afin de vous en informer adéquatement.
Nous vous encourageons à consulter régulièrement la présente politique afin de demeurer informés de la manière dont nous traitons vos renseignements personnels. En continuant d’utiliser notre site web, nos logiciels ou nos services après la publication d’une version révisée, vous êtes réputé accepter les modifications apportées. Si vous n'adhère pas aux conditions mises à jour, nous vous invitons à cesser l’utilisation de nos services.
Nomination du Responsable de la protection des renseignements personnels
VITR.AI a nommé Me Arianne Patenaude à titre de Responsable des renseignements personnels.
Coordonnées:
Me Arianne Patenaude, Conseillère juridique et conformité
VITR.AI 126, rue Principale (suite 100) Granby (Québec) J2G 2V2
[email protected]
N’hésitez pas à communiquer avec notre responsable pour toute question sur la présente politique de confidentialité.