Politique de confidentialité
Dernière mise à jour · juin 2026
Préambule
La protection des renseignements personnels des utilisateurs de Psy-Eval (psy-eval.com) est une priorité. La présente politique détaille les traitements mis en œuvre par l'éditeur en conformité avec :
- la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1), telle que modernisée par la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, L.Q. 2021, c. 25) ;
- la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE / PIPEDA, L.C. 2000, ch. 5).
1. Identité de la personne qui exploite l'entreprise
1.1 Renseignements de compte (comptes praticiens et patients)
Personne qui exploite l'entreprise (équivalent du « responsable du traitement ») : Guillaume Clain, exploitant de Psy-Eval. Voir les coordonnées complètes dans les Mentions légales.
Guillaume Clain agit à ce titre pour :
- la création et la gestion des comptes praticiens (inscription, authentification, facturation) ;
- la gestion des journaux techniques de la plateforme ;
- la relation commerciale avec les praticiens abonnés.
1.2 Renseignements cliniques (réponses aux questionnaires, assignations, scores)
Pour ces renseignements, chaque praticien est la personne qui exploite l'entreprise (responsable) à l'égard de ses propres patients. Psy-Eval agit en qualité de prestataire de services / sous-traitant au sens de l'article 18.3 de la Loi 25 et du principe 4.1.3 de la LPRPDE, suivant les termes de l'Entente de communication / sous-traitance (DPA).
Le praticien est notamment responsable :
- de l'information de ses patients sur le traitement ;
- de la collecte du consentement du patient (Loi 25 art. 12, 14) ;
- de la finalité clinique des questionnaires assignés ;
- de la durée de conservation conforme à ses obligations déontologiques (Code de déontologie OPQ, art. 60.4 du Code des professions).
1.3 Personne responsable de la protection des renseignements personnels
Conformément à l'article 3.1 de la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ c. P-39.1, telle que modifiée par la Loi 25), la personne qui exploite une entreprise au Québec doit désigner une personne responsable de la protection des renseignements personnels et publier ses coordonnées. Guillaume Clain assume directement cette fonction (entreprise individuelle de petite taille, pas de salariés).
Contact PRRP / exercice des droits Loi 25 : privacy@psy-eval.com
Convention des adresses courriel utilisées dans le présent document et dans l'ensemble du corpus légal de Psy-Eval :
privacy@psy-eval.com— Personne responsable de la protection des renseignements personnels (PRRP). À utiliser pour toute demande d'exercice des droits prévus aux articles 27, 28, 28.1 et 32 de la Loi 25 (accès, rectification, retrait, portabilité), ainsi que pour les signalements d'incident de confidentialité et les questions relatives aux transferts internationaux (art. 17).legal@psy-eval.com— Réclamations de droits d'auteur (régime avis et avis, articles 41.25 à 41.27 de la Loi sur le droit d'auteur) et signalements juridiques.contact@psy-eval.com— Toutes les autres communications (questions techniques, support, demandes commerciales, communications opérationnelles).
2. Renseignements collectés et traités
2.1 Comptes Praticiens
| Donnée | Source | Finalité | Fondement |
|---|---|---|---|
| Identifiant de connexion | Utilisateur | Authentification | Exécution du contrat |
| Mot de passe (stocké hashé bcrypt) | Utilisateur | Authentification | Exécution du contrat |
| Adresse courriel | Utilisateur | Notifications opérationnelles, communication commerciale | Exécution du contrat / intérêt sérieux et légitime |
| Rôle (admin / superadmin) | Interne | Contrôle d'accès | Exécution du contrat |
| Secret TOTP chiffré au repos (2FA optionnelle) + codes de récupération hachés | Utilisateur (enrôlement) | Authentification à deux facteurs | Sécurité (Loi 25 art. 10) |
| Journal des connexions | Automatique | Sécurité et gestion de session | Intérêt sérieux et légitime |
| Compteurs de sécurité (tentatives échouées, lockout) | Automatique | Protection contre l'accès illicite | Intérêt sérieux et légitime |
| Renseignements de facturation (identifiant client Stripe, identifiant d'abonnement) | Stripe (webhook) | Synchronisation des tiers tarifaires (Découverte / Recherche / Praticien) | Exécution du contrat + obligation légale |
2.2 Comptes Patients
| Donnée | Source | Finalité | Fondement |
|---|---|---|---|
Code patient anonyme (PAT-XXXXXX) | Généré automatiquement | Identification dépersonnalisée | Exécution du contrat (Praticien ↔ Psy-Eval) |
| Mot de passe (stocké hashé bcrypt) | Utilisateur | Authentification | Exécution du contrat |
| Praticien référent | Interne | Rattachement multi-locataire | Exécution du contrat |
| Journal des connexions | Automatique | Sécurité de session | Intérêt sérieux et légitime |
Aucun renseignement nominatif directement identifiant (nom, prénom, adresse, date de naissance complète, courriel personnel, téléphone) n'est demandé ou stocké côté patient. L'identification nominative reste du ressort exclusif du praticien, dans son propre dossier clinique externe.
2.3 Réponses aux questionnaires
| Donnée | Source | Finalité | Fondement |
|---|---|---|---|
Réponses brutes (answers_json) — chiffrées au repos (AES-256-GCM) | Patient | Calcul du score | Contrat Praticien (responsable) ↔ Psy-Eval (prestataire) |
Scores calculés (scores_json) — chiffrés au repos | Automatique | Suivi clinique | Idem |
| Score total + niveau (libellé « Niveau (barème) », issu des seuils publiés de l'instrument ; affiché uniquement dans l'interface du Praticien, jamais visible côté Patient) | Automatique | Filtrage / tri dans l'interface du Praticien | Idem |
| Brouillons d'autosauvegarde — chiffrés au repos | Patient | Reprise d'un questionnaire interrompu | Idem |
| Date de soumission | Automatique | Suivi longitudinal | Idem |
Étiquette de temps de mesure (time_point, ex. T0, J7, M3) — libellé libre, optionnel, déclaratif | Praticien (à l'assignation) | Permettre la jointure longitudinale dans les exports recherche | Exécution du contrat / intérêt sérieux et légitime |
Mode de saisie (response_mode : auto-rapporté ou hétéro-évalué) + identifiant de l'évaluateur si applicable | Automatique | Traçabilité de la provenance (auto-rapport vs cotation par le clinicien) | Idem |
Note sur les conditions d'affichage : certains questionnaires comportent des items conditionnels (« branching » / showIf) qui ne s'affichent qu'en fonction des réponses précédentes. Cette logique réside dans la configuration du questionnaire (items_json), elle ne génère aucun stockage supplémentaire de renseignements personnels.
2.4 Questionnaires importés par les praticiens
| Donnée | Source | Finalité | Fondement |
|---|---|---|---|
| Contenu du document source — chiffré au repos pendant la session d'import puis purgé automatiquement à la finalisation | Praticien (téléversement) | Extraction structurée par l'IA, le temps de la session d'import | Contrat + déclaration de licence du praticien |
| Empreinte SHA-256 du document | Automatique | Piste d'audit d'intégrité | Intérêt sérieux et légitime |
JSON structuré (items, scoring, conditions d'affichage showIf éventuelles) | IA (Claude) + validation praticien | Déploiement du test dans le catalogue du praticien | Contrat |
| Déclaration de licence horodatée | Praticien | Preuve de la déclaration de droits | Exécution du contrat |
| Audit PII (items identifiants détectés, justification éventuelle) | Automatique + praticien | Dépersonnalisation, trace juridique | Obligation de sécurité (Loi 25 art. 10) |
Crédit déclaratif de passations licenciées (license_passations_total, license_passations_used) — optionnel, NULL si illimité | Praticien (à l'import + recharges ultérieures, tracées dans le journal d'audit) | Aide-mémoire pour le praticien sur sa consommation de licences achetées chez l'éditeur (Pearson, Hogrefe, MAPI…) — Psy-Eval ne vérifie pas auprès de l'éditeur, le praticien reste responsable de son contrat | Intérêt sérieux et légitime |
Note sur le document source : pendant la session d'import IA (typiquement quelques minutes), le texte extrait du document est conservé chiffré (AES-256-GCM) pour permettre la conversation avec l'IA. Dès que le praticien finalise l'import (test ajouté au catalogue), ce texte source est automatiquement effacé de la base de données. Seuls le JSON structuré, l'empreinte SHA-256 et les métadonnées d'audit subsistent. Cette posture est délibérée et alignée avec les standards de la recherche clinique : Psy-Eval n'a pas vocation à être un dépôt de contenus tiers protégés par le droit d'auteur.
2.5 Renseignements techniques / de navigation
- Journaux serveur (adresse IP, horodatage, ressource demandée) : conservés 12 mois maximum, finalité sécurité.
- Témoins : un unique témoin de session (
connect.sid), httpOnly, Secure, SameSite=Strict, durée 24h. Aucun témoin tiers, aucun traceur publicitaire.
3. Destinataires des renseignements
3.1 Destinataires internes
Seul Guillaume Clain (exploitant) a accès à la base de production à des fins de maintenance. Cet accès est journalisé. Aucun salarié ni sous-traitant humain.
3.2 Prestataires de services
| Prestataire | Rôle | Localisation | Garanties |
|---|---|---|---|
| DigitalOcean, LLC | Hébergement serveur + base de données | Toronto (Ontario, Canada) — région tor1 | DPA DigitalOcean, certifications SOC 2 Type II et ISO 27001, hébergement et stockage des renseignements exclusivement sur le sol canadien |
| Anthropic PBC | API IA (Claude) pour l'extraction de questionnaires | États-Unis | Conditions commerciales standard Anthropic (rétention opérationnelle des entrées/sorties limitée à 30 jours, aucune utilisation pour l'entraînement, certification SOC 2 Type II, chiffrement en transit et au repos) + évaluation de transfert (Loi 25 art. 17) annexée. Le programme Zero Data Retention d'Anthropic est réservé aux organisations et a été refusé à un exploitant individuel ; la position repose donc sur la non-transmission de RP de patients + les conditions standard. |
| Brevo (Sendinblue SAS) | Envoi de courriels transactionnels (notifications, accès, réinitialisation, digest opt-in) | Union européenne (France) | DPA Brevo, RGPD. Aucun renseignement de santé ni code patient ne transite : les courriels sont des avis génériques. Seule l'adresse courriel du praticien est traitée. Domaine authentifié (DKIM/SPF). |
| Stripe, Inc. | Paiement des abonnements | Canada / États-Unis | PCI-DSS niveau 1 ; aucune donnée de carte stockée par l'éditeur (seuls les identifiants de référence Stripe) ; aucun renseignement de santé transmis. |
Cas particulier de l'API Anthropic : lorsqu'un praticien utilise la fonction d'import IA, le texte extrait du document téléversé est transmis aux serveurs Anthropic aux États-Unis pour traitement. Aucun renseignement patient n'est jamais transmis (l'import concerne exclusivement les questionnaires non-cliniques). Le praticien est informé de cette transmission par les CGU et déclare, à chaque import, posséder les droits du document transmis.
3.3 Autres destinataires
En dehors des prestataires listés, aucun renseignement n'est communiqué à un tiers, sauf obligation légale (mandat judiciaire, demande administrative formelle conforme au Code de procédure civile du Québec). Dans ce cas, Psy-Eval s'engage à en informer l'utilisateur concerné sauf si la loi l'interdit.
4. Communication de renseignements à l'extérieur du Québec
L'article 17 de la Loi 25 impose à la personne qui exploite une entreprise au Québec, avant de communiquer un renseignement personnel hors Québec, de procéder à une évaluation des facteurs relatifs à la vie privée (EFVP) et de s'assurer que le renseignement bénéficiera d'une protection équivalente.
Quatre prestataires sont concernés. Deux le sont de façon substantielle (hébergement au Canada, API IA aux États-Unis) et sont détaillés ci-dessous (4.1 et 4.2). Deux autres ne reçoivent aucun renseignement de santé et sont décrits au point 4.3 : Brevo (envoi de courriels) est établi dans l'Union européenne — territoire reconnu comme offrant une protection adéquate — et Stripe (paiement) aux États-Unis / Canada.
4.1 Hébergement — DigitalOcean (Ontario)
L'hébergement du serveur applicatif et de la base de données est assuré par DigitalOcean, LLC, dans son centre de données de Toronto (Ontario, Canada), région tor1. Bien que l'Ontario soit hors Québec, les renseignements demeurent sur le sol canadien et sous l'empire des lois fédérales canadiennes (LPRPDE) et du droit ontarien.
Le transfert est encadré par :
- la résidence canadienne des données (aucune sortie du sol canadien pour l'hébergement) ;
- l'évaluation des facteurs relatifs à la vie privée documentée et conservée par l'éditeur, qui retient l'équivalence de protection entre la Loi 25 et la combinaison LPRPDE + droit ontarien ;
- les clauses du DPA DigitalOcean : sous-traitement encadré, certifications SOC 2 Type II et ISO 27001, chiffrement en transit (TLS) et au repos ;
- le chiffrement applicatif au repos des champs sensibles (réponses, identifiants patients) ajouté par l'éditeur en plus du chiffrement DigitalOcean.
4.2 API IA — Anthropic (États-Unis)
L'API IA d'extraction de questionnaires est fournie par Anthropic PBC (États-Unis). Ce transfert présente un caractère plus sensible et est encadré par :
- une évaluation de transfert documentée et conservée par l'éditeur, tenant compte de l'absence de loi générale fédérale américaine équivalente, du CLOUD Act et de la section 702 du FISA ;
- les clauses contractuelles d'Anthropic intégrant des garanties sur la sécurité, la non-rétention et la non-utilisation pour entraînement ;
- les conditions commerciales standard d'Anthropic : rétention opérationnelle des entrées/sorties limitée à 30 jours puis suppression, aucune utilisation pour l'entraînement des modèles, certification SOC 2 Type II, chiffrement en transit (TLS) et au repos. Le programme Zero Data Retention (ZDR), qui aurait porté la rétention à zéro, est réservé par Anthropic aux comptes organisationnels et n'est pas accessible à un exploitant exerçant à son nom propre ;
- la non-transmission de renseignements de patients : seul le contenu textuel des questionnaires (instruments cliniques structurels) est transmis, sous la responsabilité du praticien qui en déclare les droits.
L'évaluation de transfert est mise à disposition du praticien sur demande à privacy@psy-eval.com.
4.3 Courriel et paiement — transferts sans renseignement de santé
Deux prestataires interviennent pour des fonctions opérationnelles, sans recevoir aucun renseignement de santé :
- Brevo (Sendinblue SAS) — envoi des courriels transactionnels et du digest opt-in. Établi dans l'Union européenne (France), territoire reconnu comme offrant une protection adéquate. Les courriels adressés au praticien sont volontairement génériques : ils ne contiennent ni code patient, ni nom de questionnaire, ni score, ni niveau (barème). Seule l'adresse courriel du praticien (un renseignement du praticien lui-même, et non du patient) est traitée. Domaine authentifié (DKIM/SPF).
- Stripe, Inc. — traitement des paiements d'abonnement (États-Unis / Canada). L'éditeur ne stocke aucune donnée de carte (seuls des identifiants de référence Stripe). Aucun renseignement de patient n'est transmis.
Ces transferts portant uniquement sur des renseignements opérationnels (et non de santé), leur risque résiduel est faible — d'autant que le courriel transite désormais par un prestataire établi dans l'UE.
5. Durée de conservation
Psy-Eval est un outil de passation, pas un entrepôt de données de recherche durable. Les données saisies sont destinées à être exportées par le praticien vers ses propres systèmes (base de données du laboratoire, logiciel clinique) ; Psy-Eval n'a pas vocation à constituer la base de données de référence d'une étude. Le praticien dispose d'une fonction de purge (retrait de consentement, nettoyage post-export). Le consentement de recherche relève de l'équipe de recherche et de son comité d'éthique (CÉR/IRB), en dehors de Psy-Eval.
| Catégorie | Durée | Justification |
|---|---|---|
| Compte praticien actif | Durée de l'abonnement + 3 ans | Période de prescription civile (Code civil du Québec art. 2925) |
| Compte praticien résilié | 30 jours puis effacement, sauf opposition | Permettre une restauration en cas de résiliation accidentelle |
| Compte patient | Durée de l'abonnement du praticien référent | Rattaché au praticien |
| Réponses aux questionnaires | À définir par le praticien (responsable), par défaut : durée de vie du compte praticien | Décision clinique du praticien, conformément au Code de déontologie OPQ (5 ans après dernier service) |
| Brouillons non soumis | 90 jours après dernière modification | Intérêt sérieux et légitime |
| Questionnaires importés | Durée de l'abonnement | Exécution du contrat |
Document source d'un import IA (source_text, contenu du PDF/Excel/Word téléversé) | Le temps de la session d'import uniquement, puis purge automatique à la finalisation | Minimisation et protection du droit d'auteur tiers |
| Journaux serveur | 12 mois maximum | Sécurité |
| Journal d'audit (consentements / déclarations de licence / réclamations copyright) | 5 ans après extinction du compte | Preuves en cas de litige |
| Renseignements de facturation | 6 ans | Obligation fiscale (Loi sur les impôts du Québec, Loi de l'impôt sur le revenu) |
6. Droits des personnes concernées
Conformément à la Loi 25 et à la LPRPDE, chaque utilisateur dispose des droits suivants :
- Droit d'accès (Loi 25 art. 27) — obtenir confirmation que des renseignements sont traités et en recevoir copie.
- Droit de rectification (Loi 25 art. 28) — faire corriger des renseignements inexacts ou incomplets.
- Droit au retrait du consentement (Loi 25 art. 14).
- Droit à la cessation de la diffusion / désindexation (Loi 25 art. 28.1) — faire cesser la diffusion d'un renseignement personnel ou désindexer.
- Droit à la portabilité (Loi 25 art. 27 al. 3, en vigueur depuis sept. 2024) — recevoir ses renseignements dans un format technologique structuré et couramment utilisé.
- Droit à l'information sur le traitement automatisé (Loi 25 art. 12.1) lorsqu'une décision est fondée exclusivement sur un traitement automatisé. Psy-Eval n'effectue aucune décision automatisée.
- Droit de plainte auprès de la CAI ou du CPVP.
Modalités d'exercice
Pour les praticiens : adresser la demande à privacy@psy-eval.com avec preuve d'identité si nécessaire. Réponse sous 30 jours (Loi 25 art. 32).
Pour les patients : la demande est à adresser en priorité au praticien référent (responsable des renseignements cliniques). Psy-Eval peut apporter son assistance technique (extraction, effacement) mais ne peut agir sans instruction du praticien, sauf cas exceptionnel d'opposition légitime.
7. Sécurité
Les mesures techniques et organisationnelles suivantes sont mises en œuvre, conformément à l'article 10 de la Loi 25 et au principe 4.7 de la LPRPDE :
- Chiffrement en transit : HTTPS / TLS 1.2+ imposé, HSTS, certificat Let's Encrypt.
- Chiffrement au repos : AES-256-GCM appliqué aux champs sensibles (réponses patient, scores détaillés, documents sources d'import temporaires, brouillons, secret TOTP des comptes praticiens).
- Mots de passe : hashés avec bcrypt (coût 12), jamais stockés en clair.
- Authentification à deux facteurs (2FA TOTP) optionnelle sur les comptes praticiens : application standard (Google Authenticator, Aegis, Authy…) + codes de récupération à usage unique hachés SHA-256. Procédure de récupération en cas de perte simultanée du second facteur (téléphone) et de tous les codes de récupération : le Praticien contacte le superadmin (Guillaume Clain) par courriel à
privacy@psy-eval.com; après vérification d'identité (recoupement avec les informations du compte), le superadmin désactive la 2FA, ce qui est tracé dans le journal d'audit (totp.disabled_by_superadmin). Le Praticien doit réactiver la 2FA dès sa prochaine connexion s'il souhaite continuer à bénéficier de cette protection. - Cloisonnement multi-locataire strict : chaque praticien n'accède qu'à ses propres patients et imports.
- Protection contre l'accès illicite : limitation par IP (5 tentatives / 5 min) + verrouillage par compte (5 échecs → 15 min de verrouillage).
- Journal d'audit étendu : connexions (réussies et échouées), consultations détaillées (ouverture d'une fiche patient ou d'un résultat précis), exports (Excel, CSV, codebook, SPSS, Stata), déclarations de licence horodatées, opérations sur les crédits de passations (définition, recharge, mise à illimité), purges de patients, réclamations copyright, révisions PII. Le journal est consultable par le praticien pour ses propres événements et par le superadmin pour l'ensemble.
- Sauvegardes : quotidiennes, chiffrées AES-256-CBC, conservation 30 jours, somme de contrôle SHA-256.
- En-têtes de sécurité : HSTS, Content-Security-Policy, X-Frame-Options DENY, X-Content-Type-Options nosniff, Referrer-Policy strict-origin.
- Dépendances logicielles : revues régulièrement (npm audit).
- Isolation conteneurisée : Docker, image épinglée, exécution non-root.
- Notification de violation : en cas d'incident impliquant un risque de préjudice sérieux, l'éditeur notifie sans délai la CAI et la personne concernée conformément à l'article 3.5 de la Loi 25, et tient un registre des incidents (art. 3.8).
- Continuité d'activité : compte tenu de l'exploitation par une personne physique unique, une procédure de continuité documentée est en place. Une personne de confiance désignée (mandataire numérique) dispose d'un accès chiffré aux identifiants techniques critiques (serveur, clé maîtresse de chiffrement, panneau d'hébergeur, registrar du domaine) via un gestionnaire de mots de passe partagé. La procédure prévoit explicitement les actions à mener en cas d'incapacité prolongée de l'exploitant : notification des praticiens, maintien du service à l'identique pendant la période d'absence, et le cas échéant, transmission de l'exploitation ou fermeture progressive avec notification préalable de la CAI et des personnes concernées dans le respect des délais raisonnables. La procédure est révisée annuellement.
8. Témoins (cookies)
Psy-Eval utilise un seul témoin technique strictement nécessaire :
connect.sid: témoin de session d'authentification.- HttpOnly (inaccessible au JavaScript côté client)
- Secure (transmis uniquement en HTTPS)
- SameSite=Strict (non transmis lors de requêtes cross-origin)
- Durée : 24 heures
Aucun témoin tiers, aucun pixel, aucun traceur publicitaire, aucune solution d'analyse d'audience n'est utilisé.
Si cette politique évolue (ajout d'un outil d'analytics par exemple), une bannière de consentement conforme à l'article 8.1 de la Loi 25 sera mise en place en amont.
9. Modifications de la politique
Cette politique peut être modifiée pour refléter des évolutions législatives, techniques ou du service. Les modifications substantielles sont notifiées aux praticiens par courriel et affichées sur la plateforme 30 jours avant entrée en vigueur. Le praticien peut résilier son abonnement sans frais s'il refuse une modification.
La version applicable à un traitement donné est celle en vigueur au moment de la collecte, archivée dans les journaux.
10. Contact
- Email PRRP :
privacy@psy-eval.com - Adresse postale : voir Mentions légales
- Autorités de contrôle :
- Commission d'accès à l'information du Québec (CAI) — www.cai.gouv.qc.ca
- Commissariat à la protection de la vie privée du Canada (CPVP) — www.priv.gc.ca