Politique de confidentialité

Physia est une plateforme québécoise de physiothérapie virtuelle hébergée au Canada (OVH Montréal). Nous sommes pleinement conformes à la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) et alignés avec le RGPD pour nos patients européens.

Cette politique décrit, en termes clairs, quelles données nous collectons, pourquoi, combien de temps nous les conservons et comment vous pouvez exercer vos droits.

Identification

• Nom, prénom, courriel
• Téléphone (optionnel)
• Date de naissance, sexe

Données de santé sensibles

• Zones de douleur, intensité (NPRS 0-10)
• Transcripts vocaux des sessions avatar
• Vidéos d’exercices traitées 100 % dans votre navigateur via MediaPipe — aucune image ne quitte votre appareil. Seuls les points articulaires (squelette) sont utilisés localement.

Données techniques

• Adresse IP (journaux d’audit uniquement)
• Cookies httpOnly d’authentification
• Logs d’accès et d’actions sensibles

• Triage clinique automatisé à l’arrivée du patient
• Génération de programmes d’exercices personnalisés
• Suivi longitudinal (évaluations T0, T14, T30)
• Communication entre le patient et son physiothérapeute
• Recherche anonymisée — uniquement avec consentement séparé et explicite, révocable à tout moment

• Consentement explicite du patient — Loi 25 art. 14
• Exécution du contrat de soins — Code des professions du Québec
• Obligation légale de rétention sur 5 ans (dossier clinique professionnel)

• Compte actif : tant que vous utilisez la plateforme
• Données cliniques anonymisées : 5 ans après votre dernière activité (Code des professions QC)
• Journaux d’audit : 5 ans
• Consentements : conservés jusqu’à révocation, puis 5 ans à des fins probatoires

Tous les services d’intelligence artificielle utilisés par Physia sont auto-hébergés sur nos serveurs OVH Canada :

• Ollama (LLM)
• Whisper (reconnaissance vocale)
• Kokoro (synthèse vocale)

Aucune donnée patient ne quitte le territoire canadien sauf si une clé API Anthropic est configurée explicitement par un administrateur clinique (désactivé par défaut).

Voir le registre des sous-traitants à docs/PROCESSORS_DPA.md pour le détail des DPAs signés.

• Accès à vos données — Loi 25 art. 27 / RGPD art. 15
• Rectification — Loi 25 art. 28 / RGPD art. 16
• Effacement — Loi 25 art. 28.1 / RGPD art. 17
• Portabilité — Loi 25 art. 27 / RGPD art. 20
• Retrait du consentement — Loi 25 art. 14 / RGPD art. 7

Pour exercer ces droits, consultez la page Responsable de la protection des renseignements personnels.

• Chiffrement au repos via pgcrypto sur les données cliniques sensibles
• Isolation multi-tenant via Row Level Security (RLS) PostgreSQL
• Tokens d’authentification JWT httpOnly + Secure + SameSite=Strict
• Authentification multi-facteurs (TOTP) optionnelle
• Journaux d’audit sur toutes les actions sensibles

Physia utilise uniquement des cookies strictement nécessaires à l’authentification :

• physia_token — session active
• physia_refresh_token — renouvellement de session

Aucun cookie analytique, publicitaire ou de profilage n’est utilisé. Pas de Google Analytics, Mixpanel, Sentry ou autre traqueur tiers.

Un bandeau d’information vous est présenté à votre première visite pour vous informer de l’utilisation de cookies strictement nécessaires.

Toute modification substantielle vous sera notifiée par courriel 30 jours avant son entrée en vigueur. La date de dernière mise à jour est indiquée en haut de cette page.

Pour toute question concernant cette politique ou vos renseignements personnels :

• Courriel : privee@physia.ca
• Page dédiée : Responsable de la protection des renseignements personnels