Politique de confidentialité

En vigueur le 29 mai 2026

1. Introduction

Wheva Inc. (« Société », « nous » ou « notre ») s’engage à protéger votre vie privée et celle des personnes dont les informations sont traitées via notre plateforme. La présente Politique de confidentialité décrit comment nous collectons, utilisons, divulguons, conservons et protégeons les renseignements personnels lorsque vous utilisez la plateforme Wheva, y compris toute application, tout site Web et tout service associé (collectivement, le « Service »).

La présente Politique de confidentialité est conçue pour se conformer à la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »), à la législation provinciale applicable en matière de protection de la vie privée et des renseignements sur la santé au Canada (y compris la Personal Information Protection Act de la Colombie-Britannique, la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (« Loi 25 »), la Loi sur la protection des renseignements personnels sur la santé de l’Ontario et la Health Information Act de l’Alberta, le cas échéant), ainsi qu’aux autres lois applicables en matière de protection de la vie privée selon la localisation de nos Utilisateurs ou de leurs patients.

En créant un compte, vous consentez à la collecte, à l’utilisation et à la divulgation de vos informations tel que décrit dans la présente Politique de confidentialité. Si vous n’êtes pas d’accord avec nos pratiques, veuillez ne pas utiliser le Service.

2. Définitions

  • « Renseignements personnels » désigne les informations concernant une personne identifiable, telles que définies par la LPRPDE, y compris, sans s’y limiter, le nom, l’adresse courriel, les qualifications professionnelles et les données d’utilisation.
  • « Données des patients » désigne toute information relative à une personne identifiée ou identifiable recevant des soins, saisie dans le Service par les Utilisateurs professionnels. Les Données des patients peuvent inclure des informations de santé, des notes de séance, des plans de traitement, des mesures de progrès et des observations comportementales.
  • « Utilisateur professionnel » désigne un professionnel agréé ou qualifié qui utilise le Service pour fournir, gérer ou coordonner des soins aux personnes neurodivergentes.
  • « Responsable du traitement » désigne l’entité qui détermine les finalités et les moyens du traitement des renseignements personnels.
  • « Sous-traitant » désigne l’entité qui traite les renseignements personnels pour le compte du Responsable du traitement.

3. Informations que nous collectons

3.1 Informations que vous fournissez

Informations de compte : Lors de votre inscription au Service, nous collectons :

  • Nom complet
  • Adresse courriel
  • Qualifications et titres professionnels
  • Nom et détails de l’organisation
  • Rôle et titre du poste
  • Mot de passe (stocké sous forme de hachage salé, jamais en clair)

Informations de paiement : Si vous souscrivez à un plan payant, notre processeur de paiement tiers collecte vos détails de paiement (numéro de carte de crédit, adresse de facturation). Nous ne stockons pas les informations de votre carte de paiement sur nos serveurs. Le traitement des paiements est entièrement géré par notre processeur de paiement tiers. Nous pouvons conserver un jeton de paiement et les quatre derniers chiffres de votre numéro de carte à des fins d’affichage et de référence de transaction uniquement.

Données des patients : Les Utilisateurs professionnels peuvent saisir des Données des patients dans le Service, y compris :

  • Noms et identifiants des patients
  • Notes de séance et observations cliniques
  • Plans de traitement et objectifs
  • Mesures de progrès et données comportementales
  • Aides visuelles et histoires sociales créées pour les patients

Communications : Lorsque vous nous contactez (par courriel, demandes de support ou commentaires), nous collectons le contenu de ces communications.

3.2 Informations collectées automatiquement

Données d’utilisation : Nous collectons automatiquement des informations sur votre interaction avec le Service, y compris :

  • Pages et fonctionnalités consultées
  • Actions effectuées dans le Service
  • Date et heure d’accès
  • Durée de la session

Informations sur l’appareil et informations techniques : Nous collectons :

  • Adresse IP
  • Type et version du navigateur
  • Système d’exploitation
  • Type d’appareil (ordinateur de bureau, tablette, mobile)
  • URL de référence

Témoins (cookies) et technologies similaires : Nous et nos fournisseurs de services utilisons des témoins et des technologies similaires sur notre site Web. Consultez notre politique de témoins pour plus de détails sur les témoins que nous utilisons, leur finalité, leur durée de conservation et la façon de gérer vos préférences.

3.3 Informations provenant de tiers

Nous pouvons recevoir des informations limitées de fournisseurs d’authentification tiers si vous choisissez de vous connecter à l’aide d’un service tiers (comme Google ou Microsoft). Cela se limite à votre nom et à votre adresse courriel, tels qu’autorisés par vous lors du processus de connexion.

4. Comment nous utilisons vos informations

Nous utilisons vos informations aux fins suivantes :

4.1 Fourniture du Service

  • Fournir, maintenir et exploiter le Service
  • Créer et gérer votre compte
  • Traiter les transactions et gérer les abonnements
  • Activer les fonctionnalités de collaboration entre les membres de l’équipe

4.2 Communication

  • Envoi de courriels transactionnels (vérification de compte, réinitialisation de mot de passe, reçus de facturation)
  • Envoi de notifications importantes du Service (alertes de sécurité, mises à jour des Conditions, maintenance programmée)
  • Répondre à vos demandes et demandes de support

4.3 Amélioration du Service

  • Analyser les habitudes d’utilisation pour améliorer les fonctionnalités et l’expérience utilisateur
  • Identifier et corriger les problèmes techniques
  • Développer de nouvelles fonctionnalités

4.4 Sécurité et prévention de la fraude

  • Détecter, prévenir et répondre aux incidents de sécurité
  • Surveiller les accès non autorisés ou les abus
  • Appliquer nos Conditions d’utilisation

4.5 Conformité juridique

  • Respecter les lois, réglementations et procédures juridiques applicables
  • Répondre aux demandes légitimes des autorités gouvernementales
  • Établir, exercer ou défendre des droits en justice

4.6 Comment nous n’utilisons pas vos informations

Nous ne faisons pas ce qui suit :

  • Vendre vos Renseignements personnels ou Données des patients à des tiers
  • Utiliser les Données des patients à des fins publicitaires ou marketing
  • Utiliser les Données des patients pour créer des profils à des fins non liées au Service
  • Utiliser les Données des patients pour entraîner des modèles d’IA à usage général

Lorsque vous utilisez des fonctionnalités alimentées par l’IA au sein du Service, les données pertinentes sont envoyées à des fournisseurs de modèles d’IA tiers (voir la Section 7.1) pour un traitement en temps réel. Conformément à nos engagements contractuels avec ces fournisseurs, vos entrées et sorties ne sont pas utilisées pour entraîner leurs modèles et ne sont conservées que dans la mesure strictement nécessaire à la fourniture du service, à la surveillance des abus ou au respect de la loi applicable, après quoi elles sont supprimées. Nous sélectionnons des fournisseurs d’IA qui offrent des engagements contractuels concernant le traitement et la conservation limitée des données.

5. Base juridique du traitement

En vertu de la LPRPDE et de la législation applicable en matière de protection de la vie privée, nous traitons vos Renseignements personnels sur les bases juridiques suivantes :

  • Consentement : Vous donnez votre consentement lorsque vous créez un compte et acceptez ces conditions. Vous pouvez retirer votre consentement à tout moment (voir la Section 8).
  • Nécessité contractuelle : Le traitement est nécessaire pour exécuter nos obligations contractuelles envers vous (fourniture du Service).
  • Intérêt légitime : Nous avons un intérêt légitime à maintenir la sécurité et l’intégrité du Service, à améliorer nos produits et à communiquer avec vous au sujet de votre compte.
  • Obligation légale : Nous pouvons traiter des informations pour nous conformer aux lois et réglementations applicables.

6. Rôles de Responsable du traitement et de Sous-traitant

6.1 Vos informations de compte

Wheva Inc. est le Responsable du traitement de vos informations de compte (nom, courriel, titres, données d’utilisation). Nous déterminons les finalités et les moyens du traitement de ces informations.

6.2 Données des patients

Pour les Données des patients saisies dans le Service :

  • Vous (ou votre Organisation) êtes le Responsable du traitement. Vous déterminez quelles Données des patients sont saisies, comment elles sont utilisées et qui y a accès au sein de la plateforme.
  • Wheva Inc. est le Sous-traitant. Nous traitons les Données des patients uniquement en votre nom et conformément à vos instructions, aux présentes Conditions et à la présente Politique de confidentialité.

En tant que Responsable du traitement des Données des patients, vous êtes responsable de :

  • Obtenir tout consentement requis des patients ou de leurs représentants légaux
  • Respecter la législation applicable en matière de protection de la vie privée et des renseignements sur la santé
  • Vous assurer que les Données des patients saisies dans le Service sont exactes et nécessaires
  • Gérer les autorisations d’accès pour les membres de l’équipe au sein de votre Organisation

7. Partage et divulgation des données

Nous ne vendons pas vos Renseignements personnels. Nous pouvons partager des informations uniquement dans les circonstances suivantes :

7.1 Fournisseurs de services (Sous-traitants ultérieurs)

Nous faisons appel à des fournisseurs de services tiers de confiance (sous-traitants ultérieurs) pour exploiter le Service. Ces fournisseurs prennent en charge des fonctions telles que l’infrastructure infonuagique, l’authentification, l’envoi de courriels transactionnels, le traitement des paiements et la génération de contenu assistée par l’IA. Certains de ces fournisseurs sont situés aux États-Unis, ce qui signifie que vos données sont transférées et traitées aux États-Unis (voir la Section 13 pour plus de détails sur les transferts transfrontaliers).

Tous les fournisseurs de services sont liés par des obligations contractuelles de protéger vos données et de ne les utiliser qu’aux fins pour lesquelles elles sont divulguées.

Une liste à jour de nos sous-traitants ultérieurs est disponible sur demande en contactant privacy@wheva.com.

7.2 Au sein de votre Organisation

Si vous appartenez à une Organisation sur la plateforme, vos informations de compte (nom, rôle, qualifications professionnelles) et votre activité au sein des dossiers de patients partagés peuvent être visibles par d’autres membres autorisés de votre Organisation, tel que déterminé par l’administrateur de l’Organisation.

7.3 Exigences légales

Nous pouvons divulguer vos informations si la loi l’exige, ou si nous croyons de bonne foi que la divulgation est nécessaire pour :

  • Respecter une obligation légale, une ordonnance du tribunal ou une procédure judiciaire
  • Protéger et défendre les droits ou la propriété de Wheva Inc.
  • Prévenir ou enquêter sur d’éventuels actes répréhensibles en lien avec le Service
  • Protéger la sécurité personnelle des Utilisateurs ou du public
  • Se protéger contre la responsabilité juridique

7.4 Transferts d’entreprise

En cas de fusion, d’acquisition, de réorganisation, de faillite ou de vente de tout ou partie de nos actifs, vos informations peuvent être transférées dans le cadre de cette transaction. Nous vous en informerons par courriel ou par un avis bien visible dans le Service avant que vos informations ne soient transférées et ne soient soumises à une politique de confidentialité différente.

8. Vos droits en matière de vie privée

En vertu de la LPRPDE et de la législation provinciale applicable, vous disposez des droits suivants :

8.1 Droit d’accès

Vous avez le droit de demander l’accès aux Renseignements personnels que nous détenons à votre sujet. Nous répondrons à votre demande dans un délai de 30 jours, sous réserve de toute prolongation permise par la LPRPDE (par exemple, lorsqu’un délai supplémentaire est nécessaire pour traiter un volume important d’informations ou pour consulter des tiers). Lorsqu’une prolongation s’applique, nous vous en informerons dans le délai initial de 30 jours.

8.2 Droit de rectification

Vous avez le droit de demander la rectification de Renseignements personnels inexacts ou incomplets. Vous pouvez mettre à jour la plupart des informations de votre compte directement via le Service.

8.3 Droit de suppression

Vous avez le droit de demander la suppression de vos Renseignements personnels. Dès réception d’une demande de suppression valide :

  • Nous supprimerons votre compte et les Renseignements personnels associés dans un délai de 30 jours
  • Les Données des patients pour lesquelles votre Organisation est le Responsable du traitement demeurent sous le contrôle de l’Organisation ; si un autre utilisateur autorisé au sein de votre Organisation conserve l’accès à ces données, elles ne seront pas supprimées dans le cadre de votre demande de suppression individuelle. Pour supprimer des Données des patients détenues par l’Organisation, la demande doit provenir de l’administrateur de l’Organisation (voir la Section 9.2 pour ce qui se produit lors de la résiliation complète du compte ou de l’Organisation)
  • Certaines informations peuvent être conservées lorsque la loi l’exige ou pour des raisons commerciales légitimes (comme les dossiers de facturation)

8.4 Droit à la portabilité des données

Vous avez le droit de demander une copie de vos données dans un format couramment utilisé, structuré et lisible par machine. Vous pouvez déclencher une exportation en libre-service depuis Paramètres › Confidentialité et données dans la console web; nous vous enverrons par courriel un lien de téléchargement à durée limitée vers un fichier JSON contenant les informations de votre compte, vos appartenances aux organisations et les dossiers de patients dont vous êtes l’unique contrôleur. Vous pouvez également contacter support@wheva.com si vous préférez un traitement manuel.

8.5 Droit de retrait du consentement

Vous pouvez retirer votre consentement au traitement de vos Renseignements personnels à tout moment en :

  • Ajustant les paramètres de votre compte
  • Nous contactant à privacy@wheva.com
  • Supprimant votre compte

Le retrait du consentement peut affecter votre capacité à utiliser certaines fonctionnalités du Service. Le retrait n’affecte pas la légalité du traitement effectué avant le retrait.

8.6 Droit de déposer une plainte

Si vous croyez que vos droits en matière de vie privée ont été violés, vous avez le droit de déposer une plainte auprès du Commissariat à la protection de la vie privée du Canada (www.priv.gc.ca) ou du commissaire provincial à la protection de la vie privée compétent.

9. Conservation des données

9.1 Comptes actifs

Nous conservons vos Renseignements personnels et Données des patients aussi longtemps que votre compte est actif et que cela est nécessaire pour fournir le Service.

9.2 Suppression de compte

Lors de la suppression du compte :

  • Votre accès est révoqué immédiatement sur réception de la demande, et vos Renseignements personnels et Données des patients sont supprimés de nos systèmes actifs dans les 24 heures suivant votre confirmation.
  • Les sauvegardes continues (instantanés de récupération à un instant donné) peuvent conserver des copies pendant un maximum de 35 jours, après quoi elles sont automatiquement purgées.
  • Un enregistrement d’audit minimal (identifiant haché, horodatages de suppression, base juridique) est conservé pendant 7 ans afin de satisfaire aux obligations de conservation des dossiers et de répondre aux demandes des personnes concernées.

9.3 Conservation légale

Nous pouvons conserver certaines informations au-delà des périodes décrites ci-dessus lorsque la loi applicable l’exige, y compris :

  • Les dossiers de facturation et de transactions (tel qu’exigé par les réglementations fiscales et financières)
  • Les dossiers nécessaires pour résoudre des litiges ou faire appliquer des accords
  • Les informations requises par une obligation de conservation juridique ou une ordonnance de préservation

9.4 Données anonymisées et agrégées

Nous pouvons traiter les Renseignements personnels pour créer des données anonymisées et agrégées qui ne peuvent pas être utilisées pour identifier une personne. L’anonymisation consiste à supprimer ou modifier de manière permanente les détails d’identification afin que les données ne puissent plus être reliées à vous. Nous utilisons ces données anonymisées à des fins d’analyse et d’amélioration du Service, notamment pour comprendre les tendances générales d’utilisation et améliorer les fonctionnalités de la plateforme. Une fois les données véritablement anonymisées, elles ne sont plus considérées comme des Renseignements personnels et ne sont pas soumises aux droits décrits à la Section 8.

10. Témoins (cookies) et technologies de suivi

Nous et nos fournisseurs de services utilisons des témoins, des pixels, des balises, le stockage local et des technologies similaires sur notre site Web. Pour plus de détails sur les témoins que nous utilisons, leur finalité, leur durée de conservation et la façon de gérer vos préférences, veuillez consulter notre politique de témoins.

11. Sécurité des données

11.1 Mesures techniques

Nous mettons en œuvre des mesures techniques conformes aux normes de l’industrie pour protéger vos données, y compris :

  • Chiffrement en transit : Toutes les données transmises entre votre appareil et nos serveurs sont chiffrées à l’aide de TLS 1.2 ou supérieur
  • Chiffrement au repos : Toutes les données stockées sont chiffrées à l’aide du chiffrement AES-256
  • Contrôles d’accès : Des contrôles d’accès basés sur les rôles garantissent que seul le personnel autorisé peut accéder aux données
  • Sécurité de l’infrastructure : Nous hébergeons nos services sur une infrastructure infonuagique située aux États-Unis. Notre fournisseur d’infrastructure maintient des certifications SOC 2, ISO 27001 et d’autres certifications de sécurité. Wheva elle-même n’est pas actuellement certifiée de manière indépendante selon ces cadres

11.2 Mesures organisationnelles

  • Évaluations de sécurité régulières et tests de vulnérabilité
  • Accès des employés limité à ce qui est nécessaire pour leur rôle
  • Formation de sensibilisation à la sécurité pour tout le personnel
  • Pistes d’audit pour les accès aux données et les modifications
  • Procédures de réponse aux incidents

11.3 Limitations

Bien que nous mettions en œuvre des mesures de sécurité robustes, aucune méthode de transmission sur Internet ou de stockage électronique n’est sécurisée à 100 %. Nous ne pouvons garantir une sécurité absolue, mais nous nous engageons à traiter rapidement toute vulnérabilité de sécurité.

12. Notification des atteintes à la protection des données

En cas d’atteinte à la protection des données impliquant vos Renseignements personnels qui crée un risque réel de préjudice grave :

  • Nous informerons les personnes touchées dès que possible après la détermination de l’atteinte
  • Nous signalerons l’atteinte au Commissariat à la protection de la vie privée du Canada, conformément à la LPRPDE
  • Nous informerons toute autre organisation ou institution gouvernementale qui, selon nous, peut réduire le risque de préjudice
  • Notre notification comprendra une description de l’atteinte, les types d’informations concernés, les mesures que nous prenons pour remédier à l’atteinte et les mesures que vous pouvez prendre pour vous protéger

13. Transferts internationaux de données

13.1 Emplacement des données

Vos données sont principalement stockées et traitées sur une infrastructure infonuagique située aux États-Unis.

13.2 Transferts transfrontaliers

Étant donné que notre infrastructure est hébergée aux États-Unis, vos données sont transférées et stockées aux États-Unis. Les États-Unis ont des lois sur la protection de la vie privée différentes de celles du Canada, et vos données peuvent être soumises à l’accès par les autorités gouvernementales américaines en vertu des lois américaines applicables (telles que le USA PATRIOT Act ou le CLOUD Act).

En créant un compte et en utilisant le Service, vous reconnaissez que vos données seront transférées et stockées aux États-Unis à des fins de stockage et de traitement. Vous pouvez retirer cette reconnaissance à tout moment en supprimant votre compte, ce qui entraînera la résiliation du Service.

Pour protéger vos données dans le cadre des transferts transfrontaliers :

  • Nous veillons à ce que des mesures de protection appropriées soient en place, y compris des obligations contractuelles offrant un niveau de protection substantiellement similaire à la LPRPDE
  • Nous effectuons des évaluations pour évaluer les implications en matière de vie privée de la juridiction d’hébergement
  • Nous limitons les données transférées et stockées au strict nécessaire pour la fourniture du Service
  • Nous appliquons les mêmes mesures de sécurité techniques et organisationnelles (chiffrement, contrôles d’accès, pistes d’audit) quel que soit l’emplacement des données

13.3 Utilisateurs internationaux

Le Service est exploité depuis le Canada et est principalement régi par le droit canadien en matière de protection de la vie privée. Si vous êtes situé en dehors du Canada, veuillez prendre note de ce qui suit :

Utilisateurs aux États-Unis : Le Service n’est pas actuellement certifié conforme à la Health Insurance Portability and Accountability Act (HIPAA). Si vous êtes un prestataire de soins de santé ou une autre entité couverte par la HIPAA, vous êtes responsable d’évaluer si votre utilisation du Service est conforme à vos obligations réglementaires avant de saisir des Données de patients. Certaines lois d’État américaines (telles que le My Health My Data Act de l’État de Washington et des lois similaires sur les données de santé des consommateurs) peuvent s’appliquer au traitement des données liées à la santé. Nous vous encourageons à examiner vos obligations en vertu des lois fédérales et étatiques applicables.

Utilisateurs dans d’autres juridictions : Si vous accédez au Service depuis un pays autre que le Canada et les États-Unis, vous êtes responsable de vous assurer que votre utilisation du Service est conforme aux lois de votre juridiction, y compris les exigences relatives au transfert transfrontalier de renseignements personnels ou de santé.

Nous ne déclarons pas que le Service est approprié ou disponible dans tous les pays. Les personnes qui accèdent au Service depuis d’autres juridictions le font de leur propre initiative et sont responsables du respect des lois locales.

14. Vie privée des enfants

Le Service est conçu pour être utilisé par des Utilisateurs professionnels : des adultes qualifiés qui fournissent des soins aux personnes neurodivergentes, y compris les enfants. Nous ne collectons pas sciemment de Renseignements personnels directement auprès d’enfants.

Les Données des patients relatives aux mineurs sont saisies dans le Service par des Utilisateurs professionnels autorisés agissant dans leur capacité professionnelle. Ces professionnels sont responsables d’obtenir tout consentement nécessaire et de se conformer aux lois applicables concernant la collecte et l’utilisation d’informations sur les mineurs.

Si nous apprenons que nous avons recueilli par inadvertance des Renseignements personnels auprès d’un enfant sans autorisation appropriée, nous prendrons des mesures immédiates pour supprimer ces informations.

15. Prise de décision automatisée

Le Service peut utiliser un traitement automatisé, y compris des fonctionnalités alimentées par l’IA, pour générer du contenu tel que des aides visuelles et des histoires sociales. Ces fonctionnalités :

  • Sont conçues pour aider les Utilisateurs professionnels, et non pour prendre des décisions cliniques autonomes
  • Nécessitent une révision et une approbation professionnelle avant toute utilisation avec les patients
  • Ne produisent pas de décisions ayant des effets juridiques ou similairement significatifs sur les individus
  • Peuvent être remplacées ou modifiées à tout moment par l’Utilisateur professionnel

16. Modifications de la présente Politique de confidentialité

Nous pouvons mettre à jour la présente Politique de confidentialité de temps à autre pour refléter des changements dans nos pratiques, notre technologie, les exigences légales ou d’autres facteurs.

  • Modifications importantes : Nous vous informerons par courriel à l’adresse associée à votre compte et/ou par un avis bien visible dans le Service au moins 30 jours avant l’entrée en vigueur des modifications.
  • Modifications mineures : Nous mettrons à jour la date « Dernière mise à jour » en haut de la présente politique.

Votre utilisation continue du Service après la date d’entrée en vigueur de toute modification constitue votre acceptation de la Politique de confidentialité mise à jour. Si vous n’êtes pas d’accord avec les modifications, vous devez cesser d’utiliser le Service et supprimer votre compte.

17. Coordonnées

Si vous avez des questions, des préoccupations ou des demandes concernant la présente Politique de confidentialité ou nos pratiques en matière de données, veuillez nous contacter :

Wheva Inc. Colombie-Britannique, Canada

Vous pouvez également contacter le Commissariat à la protection de la vie privée du Canada :