Sous-traitance

Entente de communication / sous-traitance (DPA)

Dernière mise à jour · juin 2026

Préambule

La présente Entente (ci-après « DPA ») encadre la communication et le traitement de renseignements personnels effectués par Guillaume Clain, exploitant de Psy-Eval (ci-après le « Prestataire »), pour le compte de chaque Praticien inscrit sur la plateforme Psy-Eval (ci-après le « Responsable »).

Elle est conclue conformément à :

l'article 18.3 de la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1, telle que modernisée par la Loi 25), qui exige une entente écrite entre la personne qui exploite l'entreprise et son prestataire de services lorsqu'elle lui communique des renseignements personnels ;
le principe 4.1.3 de la LPRPDE (responsabilité — moyens contractuels assurant un niveau de protection comparable).

Le présent DPA est une annexe indissociable des Conditions Générales d'Utilisation Praticien. Son acceptation est concomitante à celle des CGU et vaut acceptation par moyen technologique au sens de la Loi concernant le cadre juridique des technologies de l'information (RLRQ, c. C-1.1) — un seul DPA gabarit s'applique à tous les Praticiens, non négociable individuellement.

Article 1 — Parties

Responsable

Chaque Praticien utilisant Psy-Eval pour assigner des questionnaires à ses patients, identifié par le compte qu'il a créé sur la plateforme. Les coordonnées de contact du Responsable sont celles qu'il déclare dans son profil utilisateur. Le Responsable est généralement membre de l'Ordre des psychologues du Québec (OPQ) ou d'un ordre professionnel canadien équivalent.

Prestataire

Psy-Eval, exploité par :

Guillaume Clain, personne physique exerçant à son nom propre au Québec
Coordonnées : voir Mentions légales
Personne responsable de la protection des renseignements personnels (PRRP) : Guillaume Clain — privacy@psy-eval.com

Article 2 — Objet du traitement

Le Prestataire s'engage à traiter les renseignements personnels pour le compte du Responsable uniquement dans le cadre de la fourniture des Services Psy-Eval, à savoir :

Hébergement des comptes patients dépersonnalisés ;
Enregistrement et restitution des réponses aux questionnaires ;
Calcul automatisé des scores ;
Sauvegarde automatique des brouillons ;
Hébergement des questionnaires importés par le Responsable ;
Notification du Responsable par courriel lorsqu'un patient complète un questionnaire.

Aucun traitement à d'autres fins (analyse, statistiques commerciales, entraînement d'intelligence artificielle, communication à un tiers) n'est effectué.

Article 3 — Durée

Le DPA prend effet à la date d'acceptation des CGU et reste en vigueur jusqu'à la résiliation du compte du Responsable.

À la résiliation, les obligations survivant au contrat (sécurité, restitution ou suppression des renseignements, coopération aux demandes d'exercice des droits, conservation des journaux d'audit) demeurent applicables pendant la période de conservation définie à l'article 10.

Article 4 — Nature et finalité du traitement

Traitement	Finalité	Fondement (relation Responsable / personne concernée)
Enregistrement des réponses au questionnaire	Suivi clinique	Consentement / contrat thérapeutique / intérêt sérieux et légitime selon le cas
Calcul de score	Suivi clinique, restitution au Praticien	Idem
Historique longitudinal	Comparaison évolutive	Idem
Sauvegarde automatique des brouillons	Continuité d'usage	Exécution technique
Affichage conditionnel d'items (`showIf` / branching)	Adaptation du questionnaire aux réponses précédentes — purement métier, aucun stockage supplémentaire	Exécution technique
Étiquetage temporel des assignations (`time_point` libre)	Permettre la jointure longitudinale dans les exports recherche	Exécution technique / intérêt sérieux et légitime
Suivi déclaratif du crédit de passations licenciées (compteur par questionnaire importé, décrémenté à chaque réponse)	Aide-mémoire au Praticien pour la conformité de son contrat de licence — non décisionnel, non bloquant	Exécution technique / intérêt sérieux et légitime
Journalisation des consultations détaillées (`patient.view`, `result.view`) et des exports	Traçabilité (qui a consulté ou exporté quoi, et quand)	Sécurité (Loi 25 art. 10)
Notification courriel au Praticien	Organisation du suivi	Intérêt sérieux et légitime

Le Prestataire n'effectue aucune décision automatisée au sens de l'article 12.1 de la Loi 25, aucun profilage, aucune interprétation clinique automatisée.

Article 5 — Catégories de renseignements traités

5.1 Comptes patients

Code dépersonnalisé (PAT-XXXXXX) ;
Mot de passe hashé (bcrypt, coût 12) ;
Identifiant du Praticien de rattachement ;
Horodatages de création et de dernière connexion.

5.2 Réponses aux questionnaires

Réponses brutes (numériques et, le cas échéant, texte libre) — chiffrées au repos (AES-256-GCM) ;
Scores calculés — chiffrés au repos ;
Score total et niveau (libellé « Niveau (barème) », issu des seuils publiés de l'instrument ; affiché uniquement dans l'interface du Praticien, jamais visible côté Patient) ;
Brouillons d'autosauvegarde — chiffrés au repos ;
Étiquette de temps de mesure (time_point) éventuellement associée à l'assignation et recopiée dans la réponse — libellé libre déclaratif (T0, J7, M3…), dépersonnalisé ;
Mode de saisie (response_mode) et identifiant de l'évaluateur si l'instrument a été coté par le Praticien (mode hétéro-évalué) — pour la traçabilité de provenance des données.

5.3 Renseignements techniques

Journaux d'accès serveur (IP, horodatage, URL), conservés 12 mois maximum.

5.4 Renseignements exclus

Aucun renseignement nominatif direct du patient n'est collecté ou stocké par le Prestataire. La liste exhaustive des champs identifiants exclus est définie au Catalogue système de la Plateforme et appliquée par le module d'audit PII automatique lors de chaque import par le Responsable. Cette liste inclut notamment : nom, prénom, nom de jeune fille, adresse postale, courriel personnel, téléphone, NAS, NIR, numéro d'assurance santé (RAMQ ou autre), numéro d'assurance privée, date de naissance complète, identifiant patient hospitalier ou de dossier médical, signature ou initiales identifiables.

Les questionnaires du Catalogue système (PHQ-9, GAD-7, MEAQ, etc.) sont vérifiés à leur intégration. L'audit PII automatique détecte et signale tout item identifiant dans les questionnaires importés par le Responsable, et impose une validation superadmin en cas de demande de conservation justifiée par le Praticien (voir CGU Praticien article 8.4).

Exceptions cliniques autorisées : âge en années, sexe/genre, profession, niveau d'études, statut matrimonial, nombre d'enfants, date de la passation. Ces items demeurent acceptables car ils relèvent de variables cliniques, non d'identifiants directs.

Article 6 — Catégories de personnes concernées

Les patients du Responsable, à qui ce dernier assigne des questionnaires via la Plateforme. Volume estimé : variable selon la pratique du Responsable, typiquement 10 à 150 patients actifs.

Article 7 — Obligations du Prestataire

Conformément à l'article 18.3 de la Loi 25 et au principe 4.1.3 de la LPRPDE, le Prestataire s'engage à :

7.1 Instructions documentées

Ne traiter les renseignements que sur instruction documentée du Responsable. Les instructions sont matérialisées par les présentes CGU et DPA, ainsi que par les actions du Responsable via l'interface utilisateur.

Si une instruction paraît contraire à la Loi 25, à la LPRPDE ou à toute autre loi applicable, le Prestataire en informe immédiatement le Responsable.

7.2 Confidentialité

Le Prestataire (Guillaume Clain personnellement, en l'absence de salariés ou collaborateurs humains) est tenu à une obligation stricte de confidentialité sur l'ensemble des renseignements traités, qui survit à la résiliation du contrat.

7.3 Sécurité

Mettre en œuvre les mesures de sécurité raisonnables requises par l'article 10 de la Loi 25 et par le principe 4.7 de la LPRPDE. Ces mesures sont détaillées en Annexe 1.

7.4 Sous-traitance ultérieure

Ne pas recourir à un autre prestataire de services sans autorisation préalable du Responsable. Les prestataires actuellement engagés sont listés en Annexe 2 et sont réputés autorisés par l'acceptation du présent DPA.

Toute nouvelle sous-traitance fera l'objet d'une notification avec un préavis de 30 jours par courriel, donnant au Responsable le droit de s'opposer et, le cas échéant, de résilier son abonnement sans frais.

7.5 Assistance au Responsable

Aider le Responsable à :

répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, retrait, portabilité, désindexation) ;
effectuer les évaluations des facteurs relatifs à la vie privée (EFVP) imposées par les articles 3.3 et 17 de la Loi 25 ;
notifier et documenter les incidents de confidentialité au sens de l'article 3.5 de la Loi 25 ;
coopérer avec la CAI ou le CPVP si saisis.

7.6 Restitution ou suppression

À la fin du contrat, selon le choix du Responsable :

Restituer les renseignements dans un format technologique structuré et couramment utilisé (export JSON intégral, y compris réponses, scores, audit) ;
OU supprimer les renseignements, en conservant uniquement ceux strictement nécessaires aux obligations légales du Prestataire (factures, journaux d'audit, registre des incidents).

7.7 Transparence et audit

Le Prestataire met à disposition du Responsable les informations nécessaires pour démontrer le respect de ses obligations. Étant une entreprise individuelle de petite taille sans certification ISO 27001, il propose en lieu et place :

une documentation technique publique (architecture, politique de chiffrement) sur demande ;
un rapport de sécurité annuel sur demande ;
un droit d'audit contractuel exercé sur préavis raisonnable de 30 jours, limité à un audit par an sauf incident de confidentialité avéré, aux frais du Responsable.

Article 8 — Obligations du Responsable

Le Responsable s'engage à :

Informer ses patients du traitement conformément aux articles 8 et 8.1 de la Loi 25 et au principe 4.8 de la LPRPDE ;
Recueillir le consentement lorsque la base légale retenue le requiert (Loi 25 art. 12, 14) ;
Documenter ses propres traitements et conserver sa propre EFVP si nécessaire (Loi 25 art. 3.3) ;
Ne communiquer les identifiants patient qu'à la personne concernée par un canal sécurisé ;
Respecter son code de déontologie professionnel (Code de déontologie OPQ ; secret professionnel art. 60.4 Code des professions) ;
Notifier au Prestataire toute demande d'exercice de droits reçue directement d'un patient ;
Ne pas utiliser la Plateforme pour des traitements manifestement incompatibles avec les finalités déclarées.

Article 9 — Notification d'incident de confidentialité

Conformément à l'article 3.5 de la Loi 25 :

Le Prestataire notifie sans délai au Responsable tout incident de confidentialité (atteinte à la confidentialité, à l'intégrité ou à la disponibilité de renseignements personnels) impliquant des renseignements de patients de ce Responsable.
La notification comprend : description de l'incident, catégories et nombre approximatif de personnes et renseignements concernés, conséquences probables, mesures prises ou proposées.
Le Prestataire documente chaque incident dans un registre des incidents conforme à l'article 3.8 de la Loi 25, accessible au Responsable sur demande.
Il appartient au Responsable, en sa qualité de responsable au sens de la Loi 25, de décider si l'incident doit faire l'objet d'une notification à la CAI et aux personnes concernées lorsqu'il présente un risque de préjudice sérieux, et de remplir cette obligation. Le Prestataire fournit l'assistance technique nécessaire à cette notification.

Article 10 — Communication à l'extérieur du Québec

Le Prestataire traite et stocke les renseignements exclusivement au Canada (serveurs DigitalOcean, centre de données de Toronto, Ontario, région tor1). Bien que l'Ontario soit hors Québec, les renseignements demeurent sur le sol canadien et sous l'empire des lois fédérales canadiennes (LPRPDE) et du droit ontarien.

Conformément à l'article 17 de la Loi 25, ce transfert intra-Canada fait l'objet d'une évaluation des facteurs relatifs à la vie privée documentée et conservée par le Prestataire, qui retient l'équivalence de protection entre la Loi 25 et la combinaison LPRPDE + droit ontarien. Le Prestataire applique en outre un chiffrement applicatif au repos (AES-256-GCM) sur les champs sensibles, en complément du chiffrement assuré par DigitalOcean.

Exception encadrée — Anthropic : lorsque le Responsable utilise la fonction d'import IA pour structurer un questionnaire qu'il a téléversé, le texte du document est transmis aux serveurs d'Anthropic PBC (États-Unis) pour traitement automatisé par le modèle Claude. Aucun renseignement de patient n'est transmis dans ce cadre — l'import concerne exclusivement les questionnaires.

Conformément à l'article 17 de la Loi 25, ce transfert fait l'objet d'une évaluation des facteurs relatifs à la vie privée documentée et conservée par le Prestataire, prenant notamment en compte :

l'absence de loi générale fédérale américaine équivalente à la Loi 25 ou à la LPRPDE ;
les régimes d'accès gouvernemental américains (CLOUD Act, FISA section 702) ;
les conditions commerciales standard d'Anthropic : rétention opérationnelle des entrées/sorties limitée à 30 jours puis suppression, engagement de non-utilisation pour l'entraînement des modèles, certification SOC 2 Type II, chiffrement en transit (TLS) et au repos. Le programme Zero Data Retention (ZDR), qui aurait ramené la rétention à zéro, a été refusé par Anthropic au motif que ce programme est réservé aux comptes organisationnels (l'exploitant exerce à son nom propre) ;
le caractère structurel et non-personnel des données transmises (instruments cliniques uniquement).

L'EFVP est mise à disposition du Responsable sur demande.

Article 11 — Responsabilité

Chaque partie est responsable des dommages résultant de manquements à ses obligations au titre du présent DPA et de la Loi 25 / LPRPDE.

La limitation de responsabilité prévue à l'article 12 des CGU Praticien (et en particulier le plafond conventionnel de l'art. 12.3) s'applique aux manquements relevant de la responsabilité contractuelle du Prestataire sous réserve des exclusions d'ordre public énumérées à l'article 12.4 des CGU Praticien, qui couvrent notamment :

la faute intentionnelle ou la faute lourde du Prestataire (Code civil du Québec art. 1474) ;
le préjudice corporel ou moral (art. 1474 al. 2 CCQ) ;
les sanctions administratives pécuniaires et amendes pénales prévues par la Loi 25 (notamment art. 90.1 à 92.1) et la LPRPDE ;
les dommages-intérêts dus à un patient sur le fondement de la responsabilité civile pour atteinte à la vie privée (Loi 25 art. 93.1 et suivants, Charte des droits et libertés de la personne art. 5 et 49).

Le Prestataire pourra souscrire une assurance responsabilité civile professionnelle (CGU Praticien art. 12.6) couvrant les risques liés au traitement de renseignements personnels au titre du présent DPA ; le cas échéant, une attestation est communiquée sur demande raisonnable.

Article 12 — Dispositions finales

12.1 Primauté

En cas de contradiction entre les présentes stipulations et les CGU Praticien sur un point relatif au traitement de renseignements personnels, le présent DPA prévaut.

12.2 Modifications

Toute modification du DPA suit le régime des modifications des CGU (article 3 des CGU Praticien) : notification 30 jours avant entrée en vigueur, droit de résiliation sans frais pour le Responsable.

12.3 Loi applicable et juridiction

Lois du Québec et lois fédérales du Canada applicables, tribunaux du district judiciaire de Montréal (voir CGU Praticien article 16).

Annexe 1 — Mesures techniques et organisationnelles de sécurité

Au titre de l'article 10 de la Loi 25 et du principe 4.7 de la LPRPDE, le Prestataire met en œuvre les mesures suivantes :

Confidentialité

Chiffrement des mots de passe avec bcrypt (coût 12).
Chiffrement des données cliniques au repos : AES-256-GCM (algorithme avec authentification intégrée) sur :
- responses.answers_json (réponses patient)
- responses.scores_json (scores détaillés)
- assignments.draft_answers_json (brouillons)
- import_sessions.source_text (documents importés — conservés uniquement le temps de la session, puis purgés automatiquement à la finalisation de l'import)
- admins.totp_secret (secret 2FA TOTP des comptes praticiens, lorsque la 2FA est activée)
Chiffrement des communications en HTTPS / TLS 1.2+ obligatoire, HSTS 1 an, certificat Let's Encrypt.
Cloisonnement multi-locataire strict au niveau applicatif.
Sessions sécurisées : témoin httpOnly, secure, sameSite=Strict, durée 24h.
Authentification à deux facteurs (2FA) TOTP optionnelle pour les comptes Praticiens (codes de récupération à usage unique hachés SHA-256).
Clé maîtresse de chiffrement (MASTER_ENCRYPTION_KEY) stockée hors-serveur, non journalisée.

Intégrité

Chiffrement authentifié (AEAD) : toute altération du ciphertext est détectée.
Journal d'audit étendu des actions sensibles : connexions (réussies/échouées), consultations détaillées (patient.view, result.view), exports (Excel, CSV, codebook, SPSS, Stata), opérations sur les crédits de passations licenciées (déclaration, recharge, mise à illimité), purges de patients, déclarations de licence, bypass PII, révisions superadmin, réclamations copyright, transmissions aux services d'IA. Le journal est consultable par le Praticien (pour ses propres événements) et par le superadmin (vue d'ensemble).

Disponibilité

Sauvegardes quotidiennes chiffrées (AES-256-CBC), conservation 30 jours, somme de contrôle SHA-256 pour intégrité.
Hébergement DigitalOcean Toronto (Ontario, certifié SOC 2 Type II et ISO 27001).

Résilience

Isolation conteneurisée (Docker), exécution en utilisateur non-root.
Dépendances épinglées (versions Node.js / PostgreSQL fixées).
Limitation de débit par IP + verrouillage par compte (5 échecs / 15 min) pour lutter contre le brute-force.
En-têtes de sécurité HTTP : HSTS, CSP, X-Frame-Options DENY, X-Content-Type-Options nosniff, Referrer-Policy strict-origin.

Procédures organisationnelles

Accès unique à la base de production : l'exploitant personnellement, journalisé.
Pas de poste de développement avec accès direct à la DB de production.
Déploiement reproductible via Docker Compose, source disponible pour audit technique sur demande.
Revue mensuelle des CVE sur les dépendances critiques.
Registre des incidents de confidentialité (Loi 25 art. 3.8) tenu et conservé 5 ans.

Annexe 2 — Prestataires de services autorisés

La liste ci-dessous énumère les prestataires actuellement engagés par Psy-Eval. Leur usage est réputé autorisé par le Responsable à l'acceptation du présent DPA.

Prestataire	Rôle	Localisation	Garantie de conformité
DigitalOcean, LLC	Hébergement serveur + base de données	Toronto (Ontario, Canada) — région `tor1`	DPA DigitalOcean, SOC 2 Type II + ISO 27001, hébergement canadien, chiffrement applicatif AES-256-GCM ajouté côté éditeur
Anthropic PBC	API IA pour l'extraction de questionnaires (sur usage explicite du Responsable)	États-Unis	Conditions commerciales standard Anthropic (rétention 30 j, pas d'entraînement, SOC 2 Type II, TLS + chiffrement au repos) + EFVP Loi 25 art. 17 (Annexe 3). ZDR refusé par Anthropic (réservé aux organisations).
Brevo (Sendinblue SAS)	Envoi de courriels transactionnels (notifications, accès, réinitialisation, digest opt-in)	Union européenne (France)	DPA Brevo, RGPD. Aucun renseignement de santé ni code patient ne transite par ce service : les courriels sont des avis génériques invitant le Praticien à se connecter. Seule l'adresse courriel du Praticien (RP du Praticien lui-même, et non du Patient) est traitée. Domaine authentifié (DKIM/SPF).
Stripe, Inc.	Traitement des paiements d'abonnement	Canada / États-Unis	PCI-DSS niveau 1. L'Éditeur ne stocke aucune donnée de carte (seuls les identifiants `stripe_customer_id` / `stripe_subscription_id`). Aucun renseignement de santé transmis.

Toute modification de cette liste (ajout, retrait, substitution) est notifiée au Responsable avec un préavis de 30 jours et ouvre un droit de résiliation sans frais s'il s'y oppose.

Annexe 3 — Évaluation des facteurs relatifs à la vie privée — Transfert vers Anthropic (référence)

L'EFVP détaillée est conservée par le Prestataire et accessible au Responsable sur demande. Elle couvre :

Description du transfert : envoi du texte d'un questionnaire (instrument clinique structurel) à l'API Claude pour extraction structurée.
Catégories de données transmises : aucun renseignement personnel de patient. Seul le contenu du questionnaire (items, échelles), sous responsabilité du Praticien qui en déclare les droits.
Lieu du traitement : États-Unis (Anthropic PBC).
Cadre légal du destinataire : absence de loi fédérale générale équivalente à la Loi 25 ; encadrement par le CCPA (Californie) et les Privacy Acts sectoriels ; risques CLOUD Act / FISA 702 documentés.
Garanties contractuelles : conditions commerciales standard d'Anthropic — rétention opérationnelle des entrées/sorties limitée à 30 jours puis suppression, engagement contractuel de non-utilisation des données pour l'entraînement des modèles, certification SOC 2 Type II, chiffrement TLS en transit et au repos. Le programme Zero Data Retention (ZDR) a été demandé puis refusé par Anthropic, étant réservé aux comptes organisationnels — l'exploitation à nom propre n'y est pas admissible.
Mesures de mitigation côté Psy-Eval : non-transmission de RP de patients (architecture : l'import IA ne traite que des questionnaires, jamais des réponses), audit PII serveur sur les questionnaires importés, journal d'audit des transmissions vers Anthropic, information explicite du Praticien à chaque usage de la fonction d'import.
Conclusion : en l'absence de ZDR, le transfert est jugé conforme à l'art. 17 de la Loi 25 sur la base combinée de (a) la non-transmission de RP de patients, (b) les conditions commerciales d'Anthropic (rétention 30 j, pas d'entraînement, SOC 2 Type II), et (c) l'audit PII des contenus importés. À réévaluer annuellement, ou à toute modification des conditions Anthropic, ou si l'exploitation passe en personnalité morale (auquel cas le ZDR redeviendrait accessible).

Acceptation

Le présent DPA est réputé accepté conjointement avec les CGU Praticien lors de la création du compte, par case à cocher explicite ayant valeur juridique au sens de la Loi concernant le cadre juridique des technologies de l'information (RLRQ, c. C-1.1).