Aller au contenu principal
Physia

Sécurité et gestion des incidents

Dernière mise à jour : 1er avril 2026

1. Notre engagement en sécurité

La sécurité de vos données de santé est notre priorité absolue. Nous mettons en œuvre des mesures techniques et organisationnelles rigoureuses pour protéger vos renseignements personnels.

2. Mesures de sécurité en place

2.1 Infrastructure

  • Hébergement exclusivement au Canada (OVH Montréal)
  • Chiffrement TLS 1.3 pour toutes les communications
  • Chiffrement au repos (pgcrypto AES-256) pour les données sensibles
  • Isolation des données par clinique (Row Level Security PostgreSQL)
  • Sauvegardes chiffrées quotidiennes

2.2 Application

  • Authentification sécurisée (bcrypt, MFA disponible)
  • Limitation de débit sur les tentatives de connexion
  • Journaux d’audit sur toutes les actions sensibles
  • Analyse de dépendances automatisée (Dependabot, Trivy)
  • Contrôle d’accès basé sur les rôles (RBAC, 8 niveaux)

2.3 Données de caméra

Le traitement vidéo pour la détection de mouvement est effectué entièrement dans votre navigateur. Aucune image ou vidéo n’est jamais transmise à nos serveurs.

3. Procédure de notification en cas d’incident (Loi 25, articles 3.5-3.8)

3.1 Définition

Un incident de confidentialité comprend tout accès, utilisation ou communication non autorisés de renseignements personnels, ainsi que toute perte de renseignements personnels.

3.2 Évaluation

En cas d’incident, nous procédons immédiatement à :

  1. L’identification et le confinement de l’incident
  2. L’évaluation du risque de préjudice sérieux
  3. La documentation complète de l’incident

3.3 Notification à la CAI

Si l’incident présente un risque de préjudice sérieux, nous avisons la Commission d’accès à l’information du Québec (CAI) dans les meilleurs délais, en fournissant :

  • La nature des renseignements concernés
  • Les circonstances de l’incident
  • La date ou la période de l’incident
  • Le nombre de personnes concernées
  • Les mesures prises pour atténuer les risques

3.4 Notification aux personnes concernées

Les personnes dont les renseignements sont touchés seront avisées par courriel dans les meilleurs délais. L’avis comprendra :

  • Une description de l’incident
  • Les types de renseignements concernés
  • Les mesures prises et recommandées
  • Les coordonnées pour obtenir plus d’information

3.5 Registre des incidents

Nous tenons un registre de tous les incidents de confidentialité, accessible sur demande à la CAI. Ce registre est conservé pour une durée minimale de 5 ans.

4. Signaler une vulnérabilité

Contact de sécurité

Si vous découvrez une vulnérabilité de sécurité dans notre plateforme, veuillez nous contacter immédiatement :

  • Courriel : security@physia.ca
  • Délai de réponse : 48 heures ouvrables

Nous nous engageons à traiter votre signalement avec diligence et confidentialité.

5. Responsable de la protection des renseignements personnels

  • Courriel : privacy@physia.ca
  • Adresse : Montréal, Québec, Canada

Le responsable veille au respect de la Loi 25 et coordonne la réponse aux incidents de confidentialité.