Legal

Privacy Policy (Services)

 Last updated: February 1, 2022

Thanks for visiting https://www.stenoa.com/ (our “Website”). We are Stenoa Inc. (“Stenoa,” “we,” “our,” or “us”).

This Privacy Policy (this “Policy”) describes how we collect, use, and disclose personal data (“Personal Data”) in providing our Services (as defined below). This Policy also contains information about your rights regarding your Personal Data. Our mission is to improve health by building intelligent and intuitive cardiovascular care software. At Stenoa, we value your privacy. To read the privacy policy applicable to our online services, please click here.

If you have any questions regarding this Policy, please contact us by email at privacy@stenoa.com.

We organized this Policy based on the following questions. You can use these links to jump to a specific section.

1. When does this Policy apply?
2. When does this Policy not apply?
3. What is Personal Data?
4. What Personal Data do we collect and for what purposes?
5. How can you unsubscribe from our communications?
6. Do we share Personal Data with third parties?
7. How do we protect Personal Data?
8. Where do we store Personal Data?
9. How long do we keep Personal Data?
10. What are your rights with respect to Personal Data?
11. Will we update this Policy?

1. When does this Policy apply?

This Policy applies to the use of our web and mobile applications along with any related services such as technical support (collectively, our “Services”), which we make available to entities who have subscribed to our Services through a free trial or a paid subscription (“Health Institutions”), and their authorized users (including hub and spoke employees, agents and other health professionals, or care providers (collectively, “End Users”)). This Policy governs our treatment of End Users’ Personal Data as well as patient protected health information (“PHI”) collected by End Users.

2. When does this Policy not apply?

Our Services may contain links towards external services which are not part of the Services, such as links to online websites which provide you with more explanations on certain health conditions. These external services are not covered by this Policy. This means that your use of these external services is subject to their respective privacy policies.

When we deliver our Services to Health Institutions, we process Personal Data on their behalf. This Policy does not apply when you use third-party websites, applications, or services. For example, if you click on a link to other websites from our Services, then these websites are subject to their own privacy practices, and not this Policy. Health Institutions also have their own policies or transparency notices describing how they collect, use, and disclose your Personal Data.

If you require information about how a Health Institution collects or processes Personal Data, we recommend that you consult their respective transparency notice.

3. What is Personal Data?

In this Policy, when we use the term “Personal Data,” we mean any information that relates to an identified or identifiable natural person. This includes a name, home address, email address, phone number, birth date, professional license number, and PHI. It also includes any data which is not personal on its own, but which becomes personal when associated with other data that allows us to identify you indirectly.

This Policy is for transparency purposes. You should note that some of the data we identify as Personal Data may not be protected as such under applicable privacy laws. Therefore, you may not have the same rights regarding this personal data.

4. What Personal Data do we collect and for what purposes?

We process various types of Personal Data from End Users and their patients for the purposes of delivering our Services. End Users use Personal Data to evaluate, plan, and optimize the treatment of patients presenting with acute coronary syndromes.

You will find below the categories of Personal Data we collect along with a description as to why that Personal Data is collected, and how we use it.

Personal Data we collect about End Users

• Account registration data
  Examples: First name, last name, email address, mobile phone number, professional title, license number, name of Health Institution, login information, and password.
  
  When you sign up for an account through a Health Institution, you will need to provide your contact information and professional title, and create an account password.
  
  We collect the information you share with us to create your account or to register you. We use this information to administer your account and to give you access to our Services, including secure notification and messaging functionalities. We may send you emails concerning your account, upgrades, or changes related to our Services or policies. These communications may be provided to you directly or through your Health Institution, to inform you of important information relating to our Services as well as when they are necessary to maintain a safe environment.
  ‍
• Electronic and usage data
  Examples: Browser use and version, city, country code, region, and time zone, iOS version, Android OS version, device model, and screen dimensions.
  
  This information is collected automatically by our Services to function effectively, to fix bugs, or to improve the security of our Services. We also use electronic and usage data to improve our services and standards of care. We may collect this information through analytical cookies, by way of example. Optionally, we collect pager numbers and preferred language to improve End Users’ experience with our Services.
  
  ‍
• Bugs and error data
  Examples: Support tickets by email, features visited by the health professional, and browser configurations.
  
  We process this information to respond and address technical support requests which are submitted by End Users. At present, we use emails as a means of responding to such requests.
  
  ‍
• Purchase data
  Examples: Account transactions, employee ID, account balance information, employee badges and discounts, transaction history, and invoicing details.
  
  We collect the Health Institution’s purchase data when you subscribe to our Services via our website. To complete the Health Institution’s online purchase, we use a third-party payment provider to process payment information and thus, do not collect your credit, debit or other banking information.

Personal Data we collect about patients

• PHI
  Examples: First name, last name, date of birth, medical reference number, health insurance number, scheduling information, clinical information, diagnostic imaging, and treatment information.
  
  The main reason for which PHI is collected by End Users are the provision of healthcare, quality assurance, risk management activities, data analysis, and to meet legal and regulatory requirements. We process PHI according to the Health Institution’s instructions to deliver our Services. Health Institutions and End Users are responsible for ensuring that patients consent to the use of our Services or that the disclosure of PHI is authorized in accordance with applicable laws. For instance, consent is generally not required in situations of life-threatening emergencies. In accordance with the HIPAA Privacy Rule, we will use the Safe Harbor method of de-identification, where and when appropriate.
  ‍
• Communication data
  Examples: Content of messages and headers, pictures which are exchanged by End Users.
  
  Our Services offer a closed-loop messaging functionality that allows End Users to communicate with real-time retroaction.
  
  We process the content of messages exchanged through our Services’ communication channels to provide the Services and to optimize the treatment and follow-up of patients throughout their trajectory in the Health Institution, from their first medical contact to their post-operative recovery. The messages are end-to-end encrypted to preserve the confidentiality of highly sensitive PHI.
  ‍
• Analytics data
  Examples: Patient flow, case analytics, timestamps, and other temporal data.
  
  Our Services offer several internal and external data analytics tools through service providers. Our platform offers built-in analytics tools which provide case analytics insights and allow Health Institutions to make data-driven quality improvements in their organization, and to download the raw patient as well as end user data for further analysis.

5. How can you unsubscribe from our communications?

With your express consent, we provide you with various communications, such as electronic newsletters. You can unsubscribe at any time from such communications by using the link to unsubscribe included in our electronic messages.

Commercial electronic messages, such as promotional emails, may contain cookies and tracking technologies which provide us with information as to whether you are interacting with our messages.

6. Do we share Personal Data with third parties?

We don’t sell Personal Data, and we don’t use PHI except as needed to provide our Services. We don’t share your PHI with marketing partners.

We share your Personal Data with service providers, if we are required to comply with the law, to comply with your instructions, or as part of corporate transactions. If you are a patient, PHI collected by End Users will be shared with other End Users involved in your care.

We may also transfer your Personal Data to service providers that are assisting us in our operations. We ensure that those service providers are subject to appropriate privacy standards.

Examples of our service providers include:

‍

‍

We may also be required to share Personal Data with law enforcement agencies if we are legally compelled to do so. We will take all commercially reasonable measures to notify you prior to doing so, unless we are prevented to do so by law.

If we go through a restructuration, a merger and acquisition or a sale of parts of all our assets, Personal Data may also be transferred in such context, subject to any limitations under applicable laws.

7. How do we protect Personal Data?

We have implemented physical, organizational, contractual, and technological security measures to protect Personal Data and other information from loss or theft, unauthorized access, disclosure, copying, use or modification. For instance, we collect PHI through a secure transport layer between devices and a backend API hosted in AWS with encryption at rest using AES 256-bit. Our database is designed to explicitly isolate each Health Institution’s workspace data, to minimize the risk of breaches from one workspace to another.

We have taken steps to ensure that the only Health Institution personnel authorized to access your PHI are those on a “need to know” basis or whose duties reasonably require access to such information. Most actions performed by End Users are logged in an audit database as permanent logs.

Despite the measures described above, no method of transmitting or storing information is 100% secure or error-free, so unfortunately we cannot guarantee absolute security. If you have reason to believe that your interaction with us is no longer secure (for example, if you believe that the security of information you have provided to us has been compromised), please contact us immediately using the contact information at the top of this page.

To protect your privacy, it is important that you also take steps to ensure that your credentials and devices use adequate passwords, that you don’t share your passwords and that you use secure Internet connections when sharing sensitive information over the Internet.

8. Where do we store Personal Data?

Our cloud-based platform is hosted in AWS’s data center located in Canada. AWS is HIPAA, SOC II, GDPR, and ISO 27001 certified and adheres to global privacy and data protection best practices.

Unless prohibited by law or contracts with our stakeholders, we may rely on service providers who are in the United States to assist us with the Services, in which case your Personal Data may be stored in or accessed from the United States. For instance, Stream uses AWS’ eastern U.S. servers and store End Users’ names, professional titles, workplaces, and chat messages exchanged. Mixpanel’s servers are also located in the U.S. and host various analytics data via the Google Cloud Platform. In such cases, Personal Data will be subject to United States laws and may be subject to disclosure to United States governments, courts or law enforcement or regulatory agencies, pursuant to those laws. Subject to those laws, we use commercially reasonable measures to protect your Personal Data as it would be protected in Canada. If you would like more information about our policies and practices regarding processing of personal data outside of Canada, please contact us at privacy@stenoa.com. Each jurisdiction has different laws applicable to the protection of Personal Data, and when your Personal Data are processed in another jurisdiction, they may be subject to different laws with varying degrees of protection.

9. How long do we keep Personal Data?

We retain your Personal Data for as long as required for the purpose for which it was collected, or longer if we are required or permitted to do so under applicable laws. We also retain the Personal Data we process on behalf of Health Institutions for as long as it is required under Health Institutions’ instructions.

We retain your online account information for as long as the account exists in our databases. You can request the deletion of your account by sending an email to the organization with whom you have set up your account (the Health Institution). When your account is deleted, Personal Data is automatically deleted from our databases.

10. What are your rights with respect to Personal Data?

The law provides you with rights regarding your Personal Data. These rights may change depending on where you are located, and they may not apply to all types of Personal Data. Most individuals have the right to access their Personal Data, and the right to request corrections to their Personal Data under certain circumstances, such as if the Personal Data is inaccurate or outdated.

If you want to exercise your rights, or if you have a question or complaint about how we collect, use, or disclose your Personal Data, you can communicate with us by email at privacy@stenoa.com.

We will try to help you with your request free of charge. However, we may request that you pay a reasonable fee if you request a transcript, a reproduction, or for us to send a copy of your Personal Data, if the law allows us to do so. If we need to charge a fee to process your application, we will contact you before addressing your request.

For security reasons and to avoid any fraudulent request, we may be required to ask that you provide a proof of identity with your request. We will not use such Personal Data for any other purposes.

We will respond to your request within 30 days unless agreed otherwise. Please remember that Personal Data rights are not absolute and may be refused. If your request is denied, we will notify you in writing, and provide you with detailed reasons and information on how to contest our decision.

The Office of the Privacy Commissioner of Canada has published advice to help you access your Personal Data, as well as exercise your rights when it is held by a business. If you are a Québec resident, you can also read about your privacy rights with the Commission d’accès à l’information du Québec.

Finally, your browser may allow you to automatically transmit a “Do Not Track” request to websites you visit. Stenoa does not currently respond to or change any of its practices when it receives a “Do Not Track” request from your browser.

11. Will we update this Policy?

Yes, we will update this Policy if we change how we collect, use, or disclose your Personal Data, if there are changes to privacy legislations, or as needed. You can read previous versions of the Policy here. This Policy is effective as of the date indicated at the top of this page.

‍

‍

Politique de confidentialité de Stenoa (Services)

‍

Dernière mise à jour : 1^er février 2022

Merci de visiter le site Web https://www.stenoa.com/ (notre « site Web »). Nous sommes Stenoa Inc. (« Stenoa », « nous » ou « notre »).

La présente politique de confidentialité (la « politique ») décrit la manière dont nous recueillons, utilisons et divulguons les renseignements personnels (les « renseignements personnels ») dans le cadre de la fourniture de nos services (tel que défini ci-dessous). Cette politique contient également des informations sur vos droits en ce qui concerne vos renseignements personnels. Notre mission est d'améliorer la santé en créant des logiciels de soins cardiovasculaires intelligents et intuitifs. Chez Stenoa, nous accordons une grande importance à la protection de votre vie privée. Pour consulter la politique de confidentialité applicable à nos services en ligne, veuillez cliquer ici.

Si vous avez des questions concernant cette politique, veuillez nous contacter par courriel à l’adresse suivante : privacy@stenoa.com.

Nous avons organisé cette politique en fonction des questions suivantes. Vous pouvez utiliser ces liens pour passer à une section spécifique.

1. Quand cette politique de confidentialité s’applique-t-elle?
2. Quand cette politique de confidentialité ne s'applique-t-elle pas?
3. Qu'est-ce qu'un renseignement personnel?
4. Quels renseignements personnels recueillons-nous et à quelles fins?
5. Comment pouvez-vous vous désabonner de nos communications ?
6. Partageons-nous les renseignements personnels avec des tiers?
7. Comment protégeons-nous les renseignements personnels?
8. Où stockons-nous les renseignements personnels?
9. Combien de temps conservons-nous les renseignements personnels?
10. Quels sont vos droits en ce qui concerne les renseignements personnels?
11. Allons-nous mettre à jour cette politique?

1. Quand cette politique de confidentialité s’applique-t-elle?

Cette politique s'applique à l'utilisation de nos applications Web et mobile ainsi qu'à tous les services connexes tels que l'assistance technique (collectivement désignés comme, nos « services »), que nous mettons à la disposition des entités qui se sont abonnées à nos services à travers un essai gratuit ou un abonnement payant (« établissements de santé »), et de leurs utilisateurs autorisés (notamment les employés, les agents et autres professionnels de la santé ou fournisseurs de soins à distance (collectivement désignés comme, les « utilisateurs finaux »). Cette politique régit notre traitement des renseignements personnels des utilisateurs finaux ainsi que des renseignements personnels sur la santé des patients (« RPS ») collectés par les utilisateurs finaux.

2. Quand cette politique de confidentialité ne s'applique-t-elle pas?

Nos services peuvent contenir des liens vers des services externes qui ne font pas partie des services, tels que des liens vers des sites Web qui vous fournissent des explications supplémentaires au sujet de certains problèmes de santé. Ces services externes ne sont pas couverts par la présente politique. Cela signifie que votre utilisation de ces services externes est soumise à leurs politiques de confidentialité respectives.

Lorsque nous fournissons nos services à des établissements de santé, nous traitons les renseignements personnels en leur nom. La présente politique ne s'applique pas lorsque vous utilisez des sites Web, des applications ou des services tiers. Par exemple, si vous cliquez sur un lien vers d'autres sites Web à partir de nos services, ces sites Web sont alors soumis à leurs propres pratiques de confidentialité, et non à la présente politique. Les établissements de santé disposent également de leurs propres politiques ou avis de transparence décrivant la manière dont ils collectent, utilisent et divulguent vos renseignements personnels.

Si vous souhaitez obtenir des informations sur la manière dont un établissement de santé collecte ou traite les renseignements personnels, nous vous recommandons de consulter son propre avis de transparence.

3. Qu'est-ce qu'un renseignement personnel?

Dans la présente politique, lorsque nous utilisons le terme « renseignement personnel », nous entendons toute information qui se rapporte à une personne physique identifiée ou identifiable. Cela inclut le nom, l'adresse du domicile, l'adresse électronique, le numéro de licence professionnelle et les RPS. Cela inclut également tout renseignement qui n'est pas personnel en soi, mais qui devient personnel lorsqu'il est associé à d'autres renseignements qui nous permettent de vous identifier indirectement.

La présente politique est fournie à des fins de transparence. Vous devez noter que certains renseignements que nous identifions comme des renseignements personnels peuvent ne pas être protégés en tant que tels par les lois applicables en matière de protection de la vie privée. Par conséquent, il se peut que vous n'ayez pas les mêmes droits en ce qui concerne ces renseignements personnels.

4. Quels renseignements personnels recueillons-nous et à quelles fins?

Nous traitons différents types de renseignements personnels provenant des utilisateurs finaux et de leurs patients dans le but de fournir nos services. Les utilisateurs finaux se servent des renseignements personnels pour évaluer, planifier et optimiser le traitement des patients présentant des syndromes coronariens aigus.

Vous trouverez ci-dessous les catégories de renseignements personnels que nous recueillons, ainsi qu'une description de la raison pour laquelle ces renseignements personnels sont recueillis, et de la manière dont nous les utilisons.

Les renseignements personnels que nous recueillons à propos des utilisateurs finaux

• Données d’enregistrement du compte
  Exemples : Prénom, nom de famille, adresse courriel, numéro de téléphone cellulaire, titre professionnel, numéro de licence, nom de l'établissement de santé, informations de connexion et mot de passe.
  
  Lorsque vous vous inscrivez pour obtenir un compte auprès d'un établissement de santé, vous devez fournir vos coordonnées et votre titre professionnel, et créer un mot de passe pour votre compte.
  
  Nous recueillons les informations que vous partagez avec nous pour créer votre compte ou pour vous inscrire. Nous utilisons ces informations pour gérer votre compte et vous donner accès à nos services, notamment aux fonctionnalités de notification et de messagerie sécurisées. Nous pouvons vous envoyer des courriers électroniques concernant votre compte, des mises à niveau ou des modifications en lien avec nos services ou nos politiques. Ces communications peuvent vous être fournies directement ou par l'intermédiaire de votre établissement de santé, pour vous faire part d'informations importantes relatives à nos services ainsi que lorsqu'elles sont nécessaires pour maintenir un environnement sûr.

• Données électroniques et d'utilisation
  Exemples : Type et version du navigateur utilisé, ville, code du pays, région et fuseau horaire, version iOS, version Android OS, modèle de l’appareil et dimensions de l'écran.
  
  Nous recueillons automatiquement ces informations, dans le cadre de nos services, pour que ces derniers fonctionnent efficacement, pour en améliorer la sécurité ou pour corriger des bogues. Nous nous servons également des données électroniques et d’utilisation pour améliorer nos services et nos normes de soins. Nous pouvons recueillir ces informations par le biais de fichiers témoins analytiques, à titre d’exemple. Nous recueillons de façon facultative les numéros de téléavertisseur et la langue de préférence afin d'améliorer l'expérience des utilisateurs finaux avec nos services.

• Données sur les bogues et les erreurs
  Exemples : Les billets d'assistance par courriel, les fonctions visitées par le professionnel de santé et les configurations du navigateur.
  Nous traitons ces informations pour répondre et traiter les demandes d'assistance technique soumises par les utilisateurs finaux. À l'heure actuelle, nous utilisons les courriels comme moyen pour répondre à ces demandes.

• Données d’achat
  Exemples : Transactions sur le compte, identifiant de l'employé, informations sur le solde du compte, badges et remises de l’employé, historique des transactions et détails de la facturation.
  
  Nous recueillons les données d'achat de l'établissement de santé lorsque vous vous abonnez à nos services via notre site Web. Pour compléter l'achat en ligne de l'établissement de santé, nous utilisons un tiers fournisseur de paiement pour traiter les informations de paiement et, par conséquent, nous ne recueillons pas vos informations de crédit, de débit ou autres informations bancaires.‍

Les renseignements personnels que nous recueillons à propos des patients

• RPS
  Exemples : Prénom, nom de famille, date de naissance, numéro de référence médicale, numéro d'assurance maladie, informations sur le calendrier, informations cliniques, imagerie diagnostique et informations sur le traitement.
  
  Les principales raisons pour lesquelles les utilisateurs finaux collectent les RPS sont la fourniture de soins de santé, l'assurance de la qualité, les activités de gestion des risques, l'analyse des données et le respect des exigences légales et réglementaires. Nous traitons les RPS conformément aux instructions de l'établissement de santé afin de fournir nos services. Les établissements de santé et les utilisateurs finaux doivent s'assurer que les patients consentent à l'utilisation de nos services ou que la divulgation des RPS est autorisée conformément aux lois applicables. Par exemple, le consentement n'est généralement pas requis dans les situations d'urgence vitales. Conformément aux normes de l'HIPAA en matière de confidentialité, nous utiliserons la méthode de désidentification de la sphère de sécurité, là où et lorsque cela sera approprié.

• Données de communication
  Exemples : Contenu des messages, des en-têtes et des images qui sont échangés par les utilisateurs finaux.
  
  Nos services offrent une fonctionnalité de messagerie en circuit fermé qui permet aux utilisateurs finaux de communiquer en temps réel.
  
  Nous traitons le contenu des messages échangés à travers les canaux de communication de nos services pour fournir les services et optimiser le traitement et le suivi des patients tout au long de leur cheminement au sein de l'établissement de santé, depuis leur premier contact médical jusqu'à leur rétablissement postopératoire. Les messages sont chiffrés de bout en bout pour préserver la confidentialité des RPS hautement sensibles.

• Données analytiques
  Exemples : Flux de patients, analyse de cas, horodatage et autres données temporelles.
  
  Nos services offrent plusieurs outils d'analyse de données internes et externes par l'intermédiaire de fournisseurs de services. Notre plateforme offre des outils d'analyse intégrés qui fournissent des informations sur l'analyse des cas et permettent aux établissements de santé d'améliorer la qualité de leur organisation en fonction des données, et de télécharger les données brutes des patients et des utilisateurs finaux pour une analyse plus approfondie.

5. Comment pouvez-vous vous désabonner de nos communications ?

Avec votre consentement exprès, nous vous fournissons diverses communications, telles que des bulletins d'information électroniques. Vous pouvez vous désinscrire à tout moment de ces communications en utilisant le lien de désinscription inclus dans nos messages électroniques.

Les messages électroniques commerciaux, tels que les courriels promotionnels, peuvent contenir des fichiers témoins et des technologies de suivi qui nous permettent de savoir si vous interagissez avec nos messages.

6. Partageons-nous les renseignements personnels avec des tiers?

Nous ne vendons pas les renseignements personnels et nous n’utilisons pas les RPS, à moins que ce soit nécessaire pour fournir nos services. Nous ne partageons pas vos RPS avec des partenaires commerciaux.

Nous partageons vos renseignements personnels avec des fournisseurs de services, si nous en sommes tenus afin de nous conformer à la loi ou à vos instructions, ou dans le cadre de transactions d’entreprise. Si vous êtes un patient, les RPS recueillis par les utilisateurs finaux seront partagés avec d'autres utilisateurs finaux impliqués dans vos soins.

Nous pouvons également transférer vos renseignements personnels à des prestataires de services qui nous aident dans nos opérations. Nous veillons à ce que ces prestataires de services soient soumis à des normes de confidentialité appropriées. 

Voici quelques exemples de nos fournisseurs de services :

Nous pouvons également être amenés à partager des renseignements personnels avec les forces de l’ordre, si nous en sommes légalement tenus. Avant de le faire, nous prendrons toute mesure commercialement raisonnable pour vous en informer, sauf si la loi nous en empêche.

Si nous faisons l’objet d’une restructuration, d’une fusion, d’une acquisition ou d’une vente d’une partie de l’ensemble de nos actifs, les renseignements personnels pourraient également être transférés, sous réserve des restrictions prévues par toute loi applicable.

7. Quand cette politique de confidentialité s’applique-t-elle?

Nous avons mis en place des mesures de sécurité physiques, organisationnelles, contractuelles et technologiques pour protéger les renseignements personnels et d’autres informations contre la perte ou le vol, l'accès non autorisé, la divulgation, la copie, l'utilisation ou la modification. Par exemple, nous recueillons les RPS à travers une couche de transport sécurisée entre les dispositifs et une API  hébergée sur AWS avec un cryptage au repos utilisant AES-256. Notre base de données est conçue pour isoler explicitement les données des espaces de travail de chaque établissement de santé, afin de minimiser le risque de violation d'un espace de travail à un autre.

Nous avons pris des mesures pour nous assurer que les seuls membres du personnel autorisés à accéder à vos RPS sont ceux qui ont « besoin de les connaître » ou dont les fonctions exigent raisonnablement l'accès à ces informations. La plupart des actions effectuées par les utilisateurs finaux sont enregistrées dans une base de données d'audit sous forme de journaux permanents.

Malgré les mesures décrites ci-dessus, aucune méthode de transmission ou de stockage des informations n'est sûre à 100 % ou exempte d'erreurs, de sorte que nous ne pouvons malheureusement pas garantir une sécurité absolue. Si vous avez des raisons de croire que votre interaction avec nous n'est plus sécurisée (par exemple, si vous pensez que la sécurité des informations que vous nous avez fournies a été compromise), veuillez nous contacter immédiatement en utilisant les informations de contact figurant en haut de cette page.

Afin de protéger votre vie privée, il est également important que vous preniez des mesures pour vous assurer d’utiliser des mots de passe adéquats pour vos identifiants de connexion et vos appareils, que vous ne partagiez pas vos mots de passe et que vous utilisiez des connexions Internet sécurisées lorsque vous partagez des informations sensibles sur Internet.

8. Où stockons-nous les renseignements personnels?

Notre plateforme basée sur l’infonuagique est hébergée dans le centre de données d'AWS situé au Canada. AWS est certifié HIPAA, SOC II, RGPD et ISO 27001 et adhère aux meilleures pratiques mondiales en matière de confidentialité et de protection des données.

À moins que la loi ou les contrats avec nos parties prenantes ne l'interdisent, nous pouvons faire appel à des fournisseurs de services qui se trouvent aux États-Unis pour nous aider avec les services, auquel cas vos renseignements personnels peuvent être stockés aux États-Unis ou accessibles depuis ce pays. Par exemple, Stream utilise les serveurs d'AWS situés dans l'est des États-Unis et stocke les noms des utilisateurs finaux, leurs titres professionnels, leurs lieux de travail et les messages électroniques échangés. Les serveurs de Mixpanel sont également situés aux États-Unis et hébergent diverses données analytiques via la plateforme Google Cloud. Dans ce cas, les renseignements personnels seront soumis aux lois des États-Unis et pourront faire l'objet d'une divulgation aux gouvernements, tribunaux ou organismes d'application de la loi ou de réglementation des États-Unis, conformément à ces lois. Sous réserve de ces lois, nous utilisons des mesures commercialement raisonnables pour protéger vos renseignements personnels comme nous le ferions s’ils devaient être protégés au Canada. Si vous souhaitez obtenir de plus amples informations sur nos politiques et pratiques concernant le traitement des renseignements personnels en dehors du Canada, veuillez nous contacter à l'adresse privacy@stenoa.com. Chaque juridiction a des lois différentes en matière de protection des renseignements personnels et, lorsque vos renseignements personnels sont traités à différents endroits, ces renseignements peuvent être soumis à des lois différentes qui offrent des degrés de protection variables.

9. Combien de temps conservons-nous les renseignements personnels?

Nous conservons vos renseignements personnels aussi longtemps que nécessaire pour la finalité pour laquelle ils ont été collectés, ou plus longtemps si nous sommes tenus ou autorisés à le faire en vertu des lois applicables. Nous conservons également les renseignements personnels que nous traitons pour le compte d'établissements de santé aussi longtemps que les instructions de ces derniers l'exigent.

Nous conservons les informations de votre compte en ligne aussi longtemps que le compte existe sur nos bases de données. Vous pouvez demander la suppression de votre compte en envoyant un courriel à l'organisation auprès de laquelle vous avez créé votre compte (l'établissement de santé). Lorsque votre compte est supprimé, les renseignements personnels sont automatiquement supprimés de nos bases de données.

10. Quels sont vos droits en ce qui concerne les renseignements personnels?

La loi vous confère des droits par rapport à vos renseignements personnels. Ces droits peuvent varier en fonction de l'endroit où vous vous trouvez et ne s'appliquent pas nécessairement à tous les types de renseignements personnels. La plupart des personnes ont le droit d'accéder à leurs renseignements personnels, et le droit de demander que des corrections soient apportées à leurs renseignements personnels dans certaines circonstances, par exemple si les renseignements personnels sont inexacts ou périmés.

Si vous voulez exercer vos droits, ou si vous avez une question ou une plainte sur la façon dont nous recueillons, utilisons ou divulguons vos renseignements personnels, vous pouvez communiquer avec nous par courriel à l’adresse suivante : privacy@stenoa.com.

Nous nous efforcerons de répondre à votre demande gratuitement. Toutefois, nous pouvons vous demander de payer des frais raisonnables si vous demandez une transcription, une reproduction ou que nous envoyions une copie de vos renseignements personnels, si la loi nous y autorise. Si nous devons facturer des frais pour traiter votre demande, nous vous contacterons avant de traiter votre demande.

Pour des raisons de sécurité et pour éviter toute demande frauduleuse, nous pourrions vous demander de fournir une preuve d'identité avec votre demande. Nous n’utiliserons pas ces renseignements personnels à d’autres fins.

Nous répondrons à votre demande dans un délai de 30 jours à moins qu’il n’en soit convenu autrement. Veuillez garder en tête que les droits relatifs aux renseignements personnels ne sont pas absolus et peuvent être refusés. Si votre demande est rejetée, nous vous en informerons par écrit, vous fournirons des motifs détaillés et des informations sur la façon dont vous pouvez contester notre décision.

Le Commissariat à la protection de la vie privée du Canada a publié des conseils pour vous aider à accéder à vos renseignements personnels, ainsi qu'à exercer vos droits lorsqu'ils sont détenus par une entreprise. Si vous êtes résident du Québec, vous pouvez également vous renseigner sur vos droits en matière de protection de la vie privée auprès de la Commission d'accès à l'information du Québec.

Enfin, votre navigateur peut vous permettre de transmettre automatiquement une demande « ne pas me pister » aux sites Web que vous visitez. À l'heure actuelle, Stenoa ne réagit pas et ne modifie pas ses pratiques lorsqu'elle reçoit une demande « ne pas me pister » de votre navigateur.

11. Allons-nous mettre à jour cette politique?

Oui, nous mettrons à jour cette politique si nous modifions la façon dont nous recueillons, utilisons ou divulguons vos renseignements personnels, si des modifications sont apportées aux lois sur la protection de la vie privée ou si nécessaire. Vous pouvez consulter les versions précédentes de la politique ici. La présente politique entre en vigueur à la date indiquée en haut de cette page.

‍