Documents liés :
1. Objet
1.1 Finalité du document
1.1.1 La présente politique (la « POLITIQUE PRODUIT ») précise les engagements de RxWeb (« RXWEB », « NOUS ») en matière de protection des RENSEIGNEMENTS PERSONNELS traités dans le cadre de la fourniture de ses PRODUITS aux CLIENTS.
1.1.2 Elle complète les Conditions générales d'utilisation et, le cas échéant, le contrat principal conclu entre RXWEB et le CLIENT, ainsi que toute documentation spécifique à un PRODUIT donné.
1.1.3 Elle a été élaborée conformément à la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1), telle que modifiée par la Loi 25, à la Loi sur la protection des renseignements personnels et les documents électroniques (L.C. 2000, ch. 5) lorsqu'applicable, ainsi qu'aux autres LOIS APPLICABLES.
1.2 Répartition des rôles
1.2.1 Le CLIENT est la personne ou l'organisation responsable des RENSEIGNEMENTS PERSONNELS collectés auprès des PERSONNES CONCERNÉES (notamment les PATIENTS, usagers ou bénéficiaires des services du CLIENT) et de son personnel, au sens de la LOI APPLICABLE.
1.2.2 RXWEB agit à titre de prestataire de services (sous-traitant) du CLIENT : NOUS traitons les RENSEIGNEMENTS PERSONNELS pour le compte et selon les instructions du CLIENT, dans le cadre strict de la fourniture du PRODUIT.
1.2.3 RXWEB agit à titre de responsable uniquement à l'égard des RENSEIGNEMENTS PERSONNELS qu'elle collecte directement pour ses propres finalités (administration du compte CLIENT, facturation, communications contractuelles, soutien technique, statistiques agrégées sur l'utilisation des PRODUITS).
1.3 Obligation du CLIENT de désigner son propre responsable PRP
1.3.1 Conformément à l'article 3.1 de la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP), le CLIENT doit désigner, en son sein, une personne responsable de la protection des renseignements personnels (ci-après le « responsable PRP du CLIENT »).
1.3.2 Cette personne, habituellement un membre de la direction du CLIENT ou une personne qu'il désigne par écrit, est l'interlocuteur de premier rang :
- des PERSONNES CONCERNÉES, pour l'exercice de leurs droits à l'égard de leurs RENSEIGNEMENTS PERSONNELS ;
- des UTILISATEURS du CLIENT, pour le signalement de tout INCIDENT DE CONFIDENTIALITÉ interne ;
- de la COMMISSION, pour toute notification ou enquête relative à un incident affectant le CLIENT.
1.3.3 Le CLIENT s'assure que les coordonnées de son responsable PRP sont connues de tous ses UTILISATEURS et publiées, le cas échéant, à l'intention des PERSONNES CONCERNÉES conformément à l'article 8.3 de la LPRPSP.
1.3.4 Le RPRP de RXWEB, désigné conformément à l'article 13, est distinct du responsable PRP du CLIENT. Il exerce ses fonctions à l'égard des traitements opérés par RXWEB en tant que sous-traitant et à l'égard des RENSEIGNEMENTS PERSONNELS que RXWEB collecte directement (article 1.2.3).
2. Définitions
Aux fins de la présente POLITIQUE PRODUIT, les termes en majuscules ont le sens suivant (en complément des définitions figurant aux CGU) :
- AGENT : employé, stagiaire, contractuel ou mandataire de RXWEB ayant accès, dans l'exercice de ses fonctions, à un PRODUIT ou aux RENSEIGNEMENTS PERSONNELS.
- COMMISSION : la Commission d'accès à l'information du Québec.
- EFVP : évaluation des facteurs relatifs à la vie privée, au sens des articles 3.3 et 17 de la Loi sur la protection des renseignements personnels dans le secteur privé.
- ÉTAT : tout État, province ou juridiction autre que le Québec.
- INCIDENT DE CONFIDENTIALITÉ : (i) l'accès non autorisé à un RENSEIGNEMENT PERSONNEL ; (ii) l'utilisation non autorisée d'un RENSEIGNEMENT PERSONNEL ; (iii) la communication non autorisée d'un RENSEIGNEMENT PERSONNEL ; (iv) la perte d'un RENSEIGNEMENT PERSONNEL ou toute autre atteinte à sa protection.
- JOURNAUX : les journaux d'accès, d'activité, de sécurité et d'audit produits par un PRODUIT.
- PATIENT / PERSONNE CONCERNÉE : la personne physique à laquelle se rapportent des RENSEIGNEMENTS PERSONNELS traités par le CLIENT au moyen d'un PRODUIT.
- PRODUIT : tout logiciel, service ou actif informationnel fourni par RXWEB à un CLIENT dans le cadre d'un contrat de licence, d'abonnement ou de services.
- RPRP : le Responsable de la protection des renseignements personnels désigné par RXWEB, dont les coordonnées figurent à l'article 13.
- TRANSACTION COMMERCIALE : l'aliénation ou la location de tout ou partie d'une entreprise ou de ses actifs, la modification de sa structure juridique par fusion ou autrement, l'obtention d'un prêt ou de toute autre forme de financement par celle-ci ou la prise d'une sûreté pour garantir une de ses obligations, au sens de l'article 18.4 de la Loi sur la protection des renseignements personnels dans le secteur privé.
3. Portée
3.1 Application
3.1.1 La présente POLITIQUE PRODUIT s'applique à tous les RENSEIGNEMENTS PERSONNELS traités par RXWEB dans le cadre de l'hébergement, de l'exploitation et du soutien de ses PRODUITS, peu importe leur support (numérique, papier, verbal) et leur localisation.
3.1.2 Elle s'applique à l'ensemble du personnel de RXWEB et de ses sous-traitants.
3.1.3 Chaque PRODUIT peut faire l'objet d'une documentation complémentaire (guide d'utilisation, politique de sécurité, documentation de composantes spécifiques) qui précise ou détaille les modalités prévues à la présente POLITIQUE PRODUIT sans s'y substituer.
3.2 Exclusions
3.2.1 Elle ne régit pas les traitements effectués :
- Par le CLIENT au moyen du PRODUIT, qui relèvent de la politique de confidentialité propre au CLIENT ;
- Dans le cadre de visites du site web public de RXWEB, qui relèvent de la Politique de confidentialité du site web.
4. Collecte des RENSEIGNEMENTS PERSONNELS
4.1 Collecte par le CLIENT au moyen du PRODUIT
4.1.1 Le CLIENT collecte et saisit, au moyen du PRODUIT, les RENSEIGNEMENTS PERSONNELS nécessaires à la prestation de ses services aux PERSONNES CONCERNÉES. Selon la nature du PRODUIT et du contexte d'usage, ces renseignements peuvent inclure notamment :
- Renseignements d'identification de la PERSONNE CONCERNÉE : nom, prénom, date de naissance, sexe, coordonnées, identifiants administratifs ;
- RENSEIGNEMENTS DE SANTÉ pertinents aux services offerts : allergies, antécédents médicaux, traitements, observations cliniques ;
- Renseignements administratifs relatifs à la prestation des services : couverture d'assurance, facturation ;
- Renseignements sur le personnel du CLIENT utilisant le PRODUIT : identifiants, privilèges, journaux d'activité.
La liste précise des RENSEIGNEMENTS PERSONNELS collectés par un PRODUIT donné est documentée dans la documentation spécifique à ce PRODUIT.
4.1.2 Le CLIENT est responsable :
- De la légalité de la collecte et des finalités annoncées à la PERSONNE CONCERNÉE ;
- De l'obtention du consentement de la PERSONNE CONCERNÉE lorsque requis par la LOI APPLICABLE ;
- De la qualité (exactitude, mise à jour) des RENSEIGNEMENTS PERSONNELS saisis.
4.2 Collecte directe par RXWEB
4.2.1 RXWEB collecte directement, pour ses propres finalités :
- Les coordonnées des UTILISATEURS désignés par le CLIENT (nom, fonction, courriel, téléphone professionnel) ;
- Les JOURNAUX générés par les PRODUITS (adresse IP, horodatage, actions effectuées, messages d'erreur) ;
- Les données de soutien technique (tickets, échanges avec le service de soutien) ;
- Les données de facturation du CLIENT.
4.3 Moyens de collecte
4.3.1 Les RENSEIGNEMENTS PERSONNELS sont collectés par les moyens suivants : formulaires électroniques des PRODUITS, API, échanges avec le soutien technique, cookies techniques essentiels et, le cas échéant, interfaces avec des systèmes tiers autorisés dans le cadre d'intégrations encadrées contractuellement.
4.4 Collecte relative aux mineurs de moins de quatorze (14) ans
4.4.1 Lorsqu'une PERSONNE CONCERNÉE est âgée de moins de quatorze (14) ans, le PRODUIT exige la collecte du consentement du titulaire de l'autorité parentale, en sus du consentement de la PERSONNE CONCERNÉE lorsque requis, conformément à l'article 14 du Code civil du Québec.
4.4.2 À la création du dossier d'une PERSONNE CONCERNÉE mineure, le PRODUIT consigne les éléments suivants relatifs au consentement parental :
- l'identité du titulaire de l'autorité parentale ;
- le lien de parenté avec la PERSONNE CONCERNÉE ;
- le mode d'obtention du consentement (verbal, écrit ou électronique).
4.4.3 Le consentement parental est enregistré distinctement dans le registre des consentements sous un type de consentement dédié, de manière à être traçable, auditable et révocable indépendamment des autres consentements applicables au dossier.
5. Communication des RENSEIGNEMENTS PERSONNELS à RXWEB
5.1 Principe
5.1.1 Les RENSEIGNEMENTS PERSONNELS traités au moyen d'un PRODUIT ne sont accessibles à RXWEB que dans la mesure strictement nécessaire à la prestation du PRODUIT, à son soutien technique, à sa maintenance et à sa sécurité.
5.2 Accès restreints
5.2.1 L'accès aux RENSEIGNEMENTS PERSONNELS au sein de RXWEB est limité aux AGENTS qui en ont besoin dans l'exercice de leurs fonctions (principe du besoin de savoir), et ce, selon un système de privilèges documenté.
5.2.2 Tout accès aux RENSEIGNEMENTS PERSONNELS est journalisé et susceptible d'audit.
6. Communication subséquente à des tiers
6.1 Principe général
6.1.1 RXWEB ne vend, ne loue, ni n'échange les RENSEIGNEMENTS PERSONNELS. La communication à un tiers n'est effectuée qu'aux fins et selon les modalités prévues à la présente POLITIQUE PRODUIT ou avec le consentement requis par la LOI APPLICABLE.
6.2 Sous-traitants de RXWEB
6.2.1 RXWEB peut confier certaines opérations à des sous-traitants. À la date de mise à jour de la présente POLITIQUE PRODUIT, le principal sous-traitant est :
- OVH Canada (hébergement infonuagique de type Hosted Private Cloud, datacenter situé au Québec).
Toute adjonction future d'un sous-traitant fera l'objet d'une mise à jour du registre mentionné à l'article 6.2.3.
6.2.2 Chaque sous-traitant est lié par un contrat écrit imposant des obligations de confidentialité, de sécurité et de respect de la LOI APPLICABLE au moins équivalentes à celles qui incombent à RXWEB.
6.2.3 RXWEB tient à jour un registre de ses sous-traitants, lequel est mis à la disposition du CLIENT sur demande raisonnable.
6.3 TRANSACTION COMMERCIALE
6.3.1 Dans le cadre d'une TRANSACTION COMMERCIALE, RXWEB peut communiquer des RENSEIGNEMENTS PERSONNELS à l'autre partie à la transaction, sans consentement, conformément aux articles 18.4 et suivants de la Loi sur la protection des renseignements personnels dans le secteur privé.
6.3.2 La communication est alors encadrée par un accord écrit prévoyant :
- L'usage limité à la seule conclusion de la transaction ;
- La protection par des mesures de sécurité équivalentes ;
- La destruction ou la remise des RENSEIGNEMENTS PERSONNELS en cas d'échec de la transaction ;
- L'absence de communication à un tiers sans le consentement des personnes concernées, sauf autorisation légale.
6.4 Autorités et obligations légales
6.4.1 RXWEB peut communiquer des RENSEIGNEMENTS PERSONNELS aux autorités compétentes (policières, judiciaires, fiscales, administratives, ordres professionnels) lorsque la LOI APPLICABLE l'exige ou l'autorise.
6.4.2 La COMMISSION peut obtenir communication de RENSEIGNEMENTS PERSONNELS dans l'exercice de ses pouvoirs d'enquête.
6.5 Conseillers professionnels
6.5.1 RXWEB peut communiquer des RENSEIGNEMENTS PERSONNELS à ses avocats, comptables, auditeurs ou autres conseillers professionnels dans la mesure strictement nécessaire à l'exercice de leurs mandats, ceux-ci étant tenus au secret professionnel.
6.6 Transferts hors Québec
6.6.1 À la date de mise à jour de la présente POLITIQUE PRODUIT, aucun RENSEIGNEMENT PERSONNEL n'est transféré à l'extérieur du Québec. L'ensemble de l'infrastructure d'hébergement — serveurs applicatifs, bases de données, composantes redondantes et sauvegardes — est situé au Québec, sur une infrastructure Hosted Private Cloud certifiée ISO 27001, SOC 2 Type II et HDS.
6.6.2 Avant tout transfert futur hors Québec, RXWEB procédera, conformément à l'article 17 de la Loi sur la protection des renseignements personnels dans le secteur privé, à une EFVP tenant compte notamment :
- De la sensibilité des RENSEIGNEMENTS PERSONNELS ;
- De la finalité du traitement ;
- Des mesures de protection, incluant celles contractuelles ;
- Du régime juridique de l'ÉTAT destinataire.
6.6.3 Le transfert ne sera effectué que si l'EFVP conclut que la protection est équivalente à celle offerte au Québec, et sera encadré par un contrat écrit.
6.7 Communication à la suite d'un décès
6.7.1 Lorsqu'une PERSONNE CONCERNÉE est identifiée comme décédée dans un PRODUIT, les RENSEIGNEMENTS PERSONNELS la concernant peuvent être communiqués à un proche, à un conjoint survivant, à un ascendant ou descendant direct, à un ayant droit ou à toute autre personne démontrant un lien d'intérêt particulier, conformément à l'article 40.1 de la Loi sur la protection des renseignements personnels dans le secteur privé et aux autres dispositions applicables, afin de faciliter le processus de deuil ou de régler la succession.
6.7.2 La communication visée à l'article 6.7.1 est subordonnée aux conditions suivantes :
- Vérification de l'identité du demandeur et du lien qu'il entretient avec la personne décédée ;
- Limitation des renseignements communiqués à ceux strictement nécessaires à la finalité invoquée ;
- Approbation du RPRP préalablement à toute communication ;
- Journalisation complète de la communication dans le journal d'audit du PRODUIT, incluant l'identité du demandeur, le fondement juridique invoqué et la nature des renseignements communiqués.
6.7.3 Toute demande déraisonnable ou non justifiée par un lien suffisant avec la personne décédée est refusée par écrit, avec motifs et mention des recours possibles auprès de la COMMISSION.
7. Utilisation des RENSEIGNEMENTS PERSONNELS
7.1 Finalités autorisées
7.1.1 RXWEB utilise les RENSEIGNEMENTS PERSONNELS uniquement aux fins suivantes :
- Fournir, maintenir et améliorer ses PRODUITS ;
- Offrir le soutien technique et répondre aux demandes des UTILISATEURS ;
- Assurer la sécurité, la détection et la prévention des fraudes et des INCIDENTS DE CONFIDENTIALITÉ ;
- Facturer le CLIENT et percevoir les redevances ;
- Se conformer à la LOI APPLICABLE ;
- Produire des statistiques et analyses anonymisées ou agrégées ne permettant pas l'identification, aux fins d'amélioration des PRODUITS.
7.1.2 Les RENSEIGNEMENTS PERSONNELS ne sont pas utilisés pour entraîner, ajuster ou évaluer des modèles d'intelligence artificielle, sauf instruction écrite expresse et documentée du CLIENT, et sous réserve du consentement requis des personnes concernées.
7.2 Principes internes
7.2.1 RXWEB applique notamment les principes suivants :
- Minimisation : ne collecter et ne traiter que ce qui est nécessaire ;
- Finalité : n'utiliser qu'aux fins déclarées ;
- Exactitude : assurer la qualité des RENSEIGNEMENTS PERSONNELS ;
- Confidentialité par défaut : appliquer les paramètres les plus protecteurs ;
- Sécurité proportionnée à la sensibilité.
7.2.2 Ces principes opérationnalisent, dans le contexte particulier des actifs informationnels de RXWEB, l'approche de protection de la vie privée dès la conception (Privacy by Design) reconnue internationalement. Chaque fonctionnalité d'un PRODUIT est conçue en intégrant ces principes dès les phases initiales du cycle de développement, plutôt que d'y être conformée après coup. Les choix d'architecture (chiffrement au repos des identifiants sensibles, journalisation immuable, contrôle d'accès basé sur les rôles, dé-identification préalable des données transmises aux composantes d'intelligence artificielle) reflètent cette intégration dès la conception.
7.3 Formation et obligations du personnel
7.3.1 Tout AGENT de RXWEB ayant accès à des RENSEIGNEMENTS PERSONNELS :
- Est lié par une obligation contractuelle de confidentialité ;
- Reçoit, dès son entrée en fonction et périodiquement par la suite, une formation sur la protection des RENSEIGNEMENTS PERSONNELS, la LOI APPLICABLE et les procédures internes ;
- Doit signaler sans délai au RPRP tout INCIDENT DE CONFIDENTIALITÉ réel ou soupçonné.
7.4 Sanctions disciplinaires
7.4.1 Tout manquement par un AGENT à ses obligations en matière de protection des RENSEIGNEMENTS PERSONNELS peut entraîner des mesures disciplinaires pouvant aller jusqu'au congédiement ou à la résiliation du contrat, en plus d'éventuelles poursuites civiles ou criminelles.
7.5 Utilisation d'intelligence artificielle (IA)
7.5.1 Cadre général
7.5.1.1 Certains PRODUITS de RXWEB peuvent intégrer des composantes d'intelligence artificielle (ci-après « composantes IA »), typiquement sous forme d'assistants conversationnels ou de modèles prédictifs destinés à soutenir le travail des UTILISATEURS professionnels.
7.5.1.2 Toute composante IA déployée dans un PRODUIT fait l'objet d'une documentation spécifique (par exemple : architecture, modèle utilisé, données transmises, gouvernance, mesures de protection, limites) publiée ou rendue disponible au CLIENT et aux PERSONNES CONCERNÉES qui en font la demande.
7.5.2 Engagements généraux de RXWEB
7.5.2.1 Pour toute composante IA intégrée dans un PRODUIT, RXWEB s'engage à :
- Ne prendre aucune décision automatisée au sens de la Loi 25 susceptible d'avoir un effet juridique ou significatif sur une PERSONNE CONCERNÉE, à moins qu'un processus dédié ne soit mis en place, documenté et encadré par les droits prévus à l'article 9 ;
- Ne pas utiliser les composantes IA pour la publicité, le profilage commercial ou la segmentation des PERSONNES CONCERNÉES ;
- Réserver l'usage des composantes IA aux UTILISATEURS professionnels habilités ;
- Maintenir un humain responsable de toute action clinique ou administrative — la composante IA joue un rôle d'aide à la décision, jamais de décision finale.
7.5.3 Protection des données transmises aux composantes IA
7.5.3.1 Avant toute transmission à une composante IA, RXWEB applique les mesures suivantes :
- Dépersonnalisation des RENSEIGNEMENTS PERSONNELS qui permettraient d'identifier directement une PERSONNE CONCERNÉE (nom, prénom, identifiants administratifs, coordonnées, date de naissance complète) ;
- Minimisation : seules les données strictement utiles au traitement sont transmises ;
- Hébergement québécois des modèles lorsque RXWEB les exécute elle-même, sans transfert hors du Québec ;
- Chiffrement en transit des communications avec le service d'inférence.
7.5.4 Aucun apprentissage à partir des données du CLIENT
7.5.4.1 RXWEB s'engage formellement à ne pas utiliser les interactions avec les composantes IA de ses PRODUITS, ni aucune donnée qui en découle, pour entraîner, ajuster, affiner ou personnaliser un modèle d'IA, quel qu'il soit, sauf autorisation explicite de l'acquéreur.
7.5.4.2 Aucune donnée d'un PRODUIT n'est vendue, louée, échangée ou communiquée à un tiers à des fins d'entraînement d'IA.
7.5.5 Droits de la personne concernée à l'égard des composantes IA
7.5.5.1 La PERSONNE CONCERNÉE dispose notamment des droits suivants :
- Savoir si une composante IA a été utilisée à son sujet et obtenir la liste des RENSEIGNEMENTS PERSONNELS qui ont été transmis, ainsi que les finalités et les principes qui ont guidé la génération d'une réponse ;
- S'opposer à l'utilisation d'une composante IA pour son dossier ;
- Faire réviser toute démarche clinique ou administrative par un humain ;
- Porter plainte auprès du CLIENT, du RPRP de RXWEB ou de la COMMISSION.
7.5.5.2 Ces droits s'exercent conformément à l'article 9.
7.5.6 Mesures de protection transversales
7.5.6.1 Les mesures de protection applicables à toute composante IA d'un PRODUIT de RXWEB incluent notamment :
- Contrôle d'accès aux composantes IA aligné sur le profil fonctionnel de l'UTILISATEUR ;
- Limite d'usage (quota par utilisateur et par période) pour prévenir l'abus ;
- Mécanisme de signalement permettant à chaque UTILISATEUR de signaler un résultat erroné, inapproprié ou présentant un risque de réidentification ;
- Journalisation immuable de chaque interaction avec une composante IA ;
- Avis de transparence affiché à chaque activation d'une composante IA ;
- Possibilité d'inhibition : le CLIENT peut désactiver une composante IA pour une PERSONNE CONCERNÉE, un UTILISATEUR ou l'ensemble de son organisation à tout moment.
8. Conservation et suppression
8.1 Principes de conservation
8.1.1 Les RENSEIGNEMENTS PERSONNELS sont conservés uniquement pendant la durée nécessaire à la réalisation des finalités pour lesquelles ils ont été collectés, en tenant compte des obligations légales et professionnelles applicables.
8.1.2 Les RENSEIGNEMENTS DE SANTÉ traités au moyen d'un PRODUIT sont conservés conformément aux exigences légales minimales applicables aux dossiers des PERSONNES CONCERNÉES dans le domaine concerné, incluant les règles de tenue des dossiers propres à chaque profession ou secteur.
8.2 Durées indicatives
| Catégorie | Durée de conservation |
|---|---|
| Dossier de la PERSONNE CONCERNÉE dans le PRODUIT | Durée imposée par la législation sectorielle et la réglementation professionnelle applicable, puis conservation selon les instructions écrites du CLIENT |
| Données de facturation du CLIENT | Sept (7) ans après la fin de la relation contractuelle, conformément aux obligations fiscales et comptables |
| JOURNAUX et sauvegardes de sécurité | Trois (3) ans, sauf obligation légale plus longue |
| Données de soutien technique (tickets) | Trois (3) ans à compter de la clôture du ticket |
| Demandes d'exercice de droits (article 9) | Trois (3) ans à compter du traitement de la demande |
| Coordonnées des UTILISATEURS désactivés | Trente-six (36) mois après la désactivation |
8.3 Suppression ou anonymisation
8.3.1 Une fois la finalité accomplie et les délais écoulés, les RENSEIGNEMENTS PERSONNELS sont détruits de façon sécuritaire ou anonymisés selon des normes généralement reconnues.
8.3.2 L'anonymisation est réalisée de manière à ce que la réidentification devienne raisonnablement impossible, conformément à l'article 23 de la Loi sur la protection des renseignements personnels dans le secteur privé.
8.4 Délai de traitement des demandes
8.4.1 Les demandes d'exercice de droits sont traitées dans un délai maximal de trente (30) jours à compter de leur réception, conformément à la LOI APPLICABLE.
9. Demandes d'exercice de droits
9.1 Droits applicables
9.1.1 La personne concernée peut exercer les droits suivants, dans la mesure où ils s'appliquent à son égard en vertu de la LOI APPLICABLE :
- Accès aux RENSEIGNEMENTS PERSONNELS qui la concernent ;
- Rectification des renseignements inexacts, incomplets ou équivoques ;
- Retrait du consentement lorsque le traitement repose sur celui-ci ;
- Cessation de diffusion, désindexation ou réindexation ;
- Portabilité sous forme technologique structurée et couramment utilisée, à compter de l'entrée en vigueur de cette disposition ;
- Information sur le traitement automatisé et, le cas échéant, sur les facteurs et paramètres en jeu.
9.2 Destinataire prioritaire de la demande — PERSONNE CONCERNÉE
9.2.1 Lorsque la demande concerne un dossier d'une PERSONNE CONCERNÉE tenu par le CLIENT, elle doit être adressée directement au CLIENT, qui est le responsable au sens de la LOI APPLICABLE.
9.2.2 Si la demande est néanmoins reçue par RXWEB, NOUS la transmettons au CLIENT dans les meilleurs délais et en informons la personne concernée.
9.3 Demande adressée à RXWEB pour ses propres traitements
9.3.1 La personne concernée peut adresser une demande au RPRP, par écrit, en indiquant :
- Son nom, ses coordonnées ;
- La nature précise de sa demande ;
- Une preuve d'identité suffisante.
9.3.2 RXWEB répond par écrit dans un délai de trente (30) jours.
9.4 Refus et recours
9.4.1 Tout refus est motivé par écrit et mentionne les recours possibles devant la COMMISSION.
10. Mesures de sécurité
10.1 Cadre général
10.1.1 RXWEB met en œuvre des mesures raisonnables de sécurité physiques, administratives et technologiques pour protéger les RENSEIGNEMENTS PERSONNELS contre la perte, le vol, l'accès non autorisé, la communication, la modification ou la destruction.
10.2 Mesures technologiques
10.2.1 Les mesures technologiques incluent notamment :
- Chiffrement des communications (TLS) et des données au repos selon des standards reconnus ;
- Authentification des UTILISATEURS par identifiant, mot de passe et authentification multifactorielle activée par défaut dans les PRODUITS ;
- Contrôles d'accès basés sur les rôles et le besoin de savoir ;
- Pare-feu, systèmes de détection d'intrusion et supervision ;
- Copies de sauvegarde chiffrées et testées ;
- Gestion des correctifs et des vulnérabilités ;
- Cloisonnement des environnements (développement, préproduction, production).
10.3 Mesures administratives
10.3.1 Les mesures administratives incluent notamment :
- Une politique de sécurité de l'information approuvée par la direction ;
- Un plan d'intervention en cas d'INCIDENT DE CONFIDENTIALITÉ ;
- Des procédures documentées d'octroi, de révision et de révocation des accès ;
- Des engagements de confidentialité signés par les AGENTS et sous-traitants ;
- La formation régulière du personnel ;
- Des audits internes et, le cas échéant, externes.
10.4 Mesures physiques
10.4.1 Les mesures physiques incluent notamment :
- L'accès restreint aux locaux de RXWEB par contrôle d'entrée ;
- La sécurisation des postes de travail (verrouillage automatique, chiffrement des disques) ;
- La destruction sécuritaire des supports en fin de vie.
10.5 Tests et revue périodique
10.5.1 Les mesures de sécurité font l'objet de tests et de revues périodiques, incluant notamment :
- des tests d'intrusion (pentests) effectués au moins annuellement par un tiers qualifié ;
- des revues de privilèges d'accès ;
- des exercices de simulation d'INCIDENTS DE CONFIDENTIALITÉ ;
- des revues de code et des tests de vulnérabilité en continu.
10.6 EFVP pour les projets à risque
10.6.1 Tout projet d'acquisition, de développement ou de refonte d'un système d'information impliquant des RENSEIGNEMENTS PERSONNELS fait l'objet d'une EFVP, conformément à l'article 3.3 de la Loi sur la protection des renseignements personnels dans le secteur privé.
11. Signalement des INCIDENTS DE CONFIDENTIALITÉ
11.1 Détection et escalade
11.1.1 Tout INCIDENT DE CONFIDENTIALITÉ soupçonné doit être signalé sans délai. Le canal de signalement varie selon le périmètre de l'incident :
- Incident dans le périmètre du CLIENT — par exemple accès non autorisé par un UTILISATEUR, perte ou vol d'un appareil, partage d'identifiants, divulgation accidentelle par un employé : signalement au responsable PRP du CLIENT (article 1.3), qui est le responsable du traitement et l'interlocuteur de la COMMISSION.
- Incident dans le périmètre de RXWEB (infrastructure, logiciel, composantes auto-hébergées) : signalement au RPRP de RXWEB à l'adresse support@rxweb.ca.
- Incident dont le périmètre est indéterminé ou mixte : signalement en parallèle aux deux responsables PRP ; ils se concertent pour qualifier l'incident.
11.1.2 Les AGENTS de RXWEB signalent tout INCIDENT DE CONFIDENTIALITÉ soupçonné, sans délai et sans tentative de correction autonome, au RPRP de RXWEB selon la procédure interne.
11.1.3 RXWEB, lorsqu'elle détecte un INCIDENT DE CONFIDENTIALITÉ affectant un CLIENT, notifie ce dernier sans délai pour lui permettre de satisfaire à ses obligations légales, et lui transmet toute information technique nécessaire.
11.2 Évaluation du risque
11.2.1 RXWEB évalue le risque qu'un préjudice sérieux soit causé, en tenant compte notamment :
- De la sensibilité des RENSEIGNEMENTS PERSONNELS concernés ;
- Des conséquences appréhendées ;
- De la probabilité d'utilisation à des fins préjudiciables.
11.3 Mesures de mitigation
11.3.1 RXWEB prend sans délai les mesures raisonnables pour diminuer le risque qu'un préjudice soit causé et pour éviter la répétition d'incidents de même nature.
11.4 Avis à la COMMISSION et aux personnes concernées
11.4.1 Lorsque l'incident présente un risque qu'un préjudice sérieux soit causé, RXWEB, en étroite collaboration avec le CLIENT responsable, avise :
- La COMMISSION ;
- Les personnes concernées ;
- Tout autre organisme ou personne susceptible de diminuer le risque, lorsque cela est nécessaire.
11.5 Contenu de l'avis
11.5.1 L'avis contient au minimum :
- Une description des RENSEIGNEMENTS PERSONNELS concernés ;
- Les circonstances de l'incident et le moment où il est survenu (ou estimé) ;
- Les mesures prises ou envisagées par RXWEB et, le cas échéant, par le CLIENT ;
- Les mesures recommandées aux personnes concernées pour diminuer le risque ;
- Les coordonnées auxquelles obtenir plus d'information.
11.6 Registre des INCIDENTS DE CONFIDENTIALITÉ
11.6.1 RXWEB tient un registre des INCIDENTS DE CONFIDENTIALITÉ, conservé au moins cinq (5) ans à compter de la connaissance de l'incident, contenant les informations prescrites par règlement.
11.6.2 Ce registre est mis à la disposition de la COMMISSION sur demande.
11.7 Coopération avec le CLIENT
11.7.1 RXWEB coopère pleinement avec le CLIENT pour permettre à celui-ci de satisfaire à ses propres obligations de notification, et lui fournit toute information nécessaire dans les meilleurs délais.
12. Fin du contrat
12.1 Restitution ou destruction
12.1.1 Au terme de la relation contractuelle entre RXWEB et le CLIENT, et selon les instructions écrites du CLIENT, RXWEB procède :
- Soit à la restitution des RENSEIGNEMENTS PERSONNELS dans un format technologique structuré et couramment utilisé ;
- Soit à leur destruction sécuritaire.
12.2 Délais
12.2.1 L'opération est réalisée dans un délai raisonnable, en principe trente (30) jours suivant la date effective de fin de contrat, sous réserve des délais techniques liés aux copies de sauvegarde, lesquelles sont purgées selon leur cycle de rétention maximal (jusqu'à trois (3) ans).
12.3 Certificat
12.3.1 Sur demande, RXWEB fournit au CLIENT un certificat de destruction ou de restitution attestant l'exécution des opérations.
12.4 Obligations résiduelles
12.4.1 Certaines informations peuvent être conservées au-delà de la fin du contrat aux seules fins de respect d'une obligation légale (ex. facturation, litige en cours, obligation de conservation sectorielle), et ce, selon les durées prévues à l'article 8.2.
13. Coordonnées du RPRP
Toute question, plainte ou demande relative à la présente POLITIQUE PRODUIT peut être adressée au :
Responsable de la protection des renseignements personnels (RPRP) RxWeb 1575, croissant du Moulin Laval (Québec) H7E 3K7 Canada Courriel : support@rxweb.ca
En cas d'insatisfaction à l'égard du traitement de la demande, la personne concernée peut également s'adresser à la Commission d'accès à l'information du Québec : cai.gouv.qc.ca.
14. Révision de la politique
14.1 Fréquence et déclencheurs
14.1.1 La présente POLITIQUE PRODUIT fait l'objet d'une révision :
- annuellement, à la date anniversaire de sa dernière mise à jour ;
- lors de tout changement législatif ou réglementaire affectant la protection des renseignements personnels au Québec ou au Canada ;
- à la suite de tout incident de confidentialité majeur ;
- lors de toute modification substantielle d'un PRODUIT susceptible d'affecter la collecte, l'utilisation, la conservation ou la communication des RENSEIGNEMENTS PERSONNELS ;
- lors de l'ajout d'un nouveau sous-traitant ou d'un nouveau partenaire ayant accès aux RENSEIGNEMENTS PERSONNELS ;
- lors de l'ajout d'un nouveau PRODUIT au catalogue de RxWeb ;
- lors de la publication d'orientations nouvelles par la COMMISSION.
14.2 Portée de la révision
14.2.1 Chaque révision tient compte :
- des évolutions législatives (Loi 25, LPRPSP, LPRPDE) et des décisions pertinentes de la COMMISSION et du CPVP ;
- des meilleures pratiques reconnues en matière de protection des renseignements personnels ;
- des résultats des audits internes et externes (incluant les tests d'intrusion annuels) ;
- des incidents survenus depuis la dernière révision et des leçons qui en ont été tirées ;
- de l'évolution des PRODUITS, de leur architecture et de l'écosystème de fournisseurs.
14.3 Approbation et publication
14.3.1 Chaque révision est documentée, approuvée par le RPRP et archivée avec l'historique des versions antérieures.
14.3.2 La version en vigueur est publiée en tout temps sur le portail de RxWeb et accessible aux UTILISATEURS authentifiés dans chaque PRODUIT. En cas de modification substantielle, le CLIENT en est informé par un moyen direct et les UTILISATEURS se voient présenter la nouvelle version lors de leur prochaine connexion, avec consignation de la prise de connaissance conformément aux Conditions générales d'utilisation.