Sécurité & Confidentialité
Votre confidentialité, notre fondation.
Sylvia a été conçu dès le départ pour les professionnels de la santé qui manipulent des données sensibles. Voici ce que cela signifie concrètement.
Conformité HIPAA
Sylvia est conçu pour opérer dans le cadre des exigences HIPAA applicables aux professionnels de la santé qui traitent des informations de santé protégées (PHI). Cela se traduit par des contrôles techniques concrets : chiffrement en transit et au repos, isolation des données par compte, suppression automatique des données temporaires, et absence de stockage des PHI en base de données.
Tout professionnel de la santé qui a besoin d'une entente formelle de sous-traitant (BAA — Business Associate Agreement) peut en obtenir une sur demande, quel que soit son lieu de pratique. Contactez-nous à contact@sylvia.clinic.
Ce qui n'est jamais stocké
Aucune information de santé protégée (PHI) n'est conservée dans notre base de données.
Sylvia ne stocke pas les noms de patients, leurs informations personnelles, ni aucun élément identifiable extrait de la consultation. Les données de consultation sont traitées en mémoire et supprimées automatiquement selon la politique ci-dessous. Vous ne devriez jamais entrer le nom d'un patient dans Sylvia — ce n'est pas nécessaire pour générer une note clinique.
Rétention et suppression des données
Sylvia applique une politique de rétention minimale stricte. Voici exactement ce qui arrive à chaque type de données.
Audio de la consultation
Supprimé immédiatement après génération de la note
L'audio est utilisé uniquement pour la transcription. Il est traité en mémoire et supprimé dès que la note est générée — il n'est jamais archivé, jamais conservé, jamais accessible après coup. Aucun enregistrement audio n'est stocké dans notre système.
Transcription
Supprimée automatiquement après 24 heures
La transcription textuelle est conservée temporairement pour vous permettre de réviser et de régénérer la note si nécessaire. Elle est ensuite supprimée automatiquement après 24 heures, sans intervention de votre part.
Note clinique générée
Supprimée automatiquement après 24 heures
La note est visible dans Sylvia pendant 24 heures pour vous permettre de la copier et de l'exporter dans votre DME. Passé ce délai, elle est supprimée automatiquement et de façon irréversible. Exportez votre note dans votre DME — c'est votre seul endroit de conservation à long terme.
Résultat : après 24 heures, aucune donnée de consultation n'existe dans nos systèmes. L'exposition maximale est limitée à la fenêtre de 24 heures, et pour l'audio, à la durée de traitement uniquement.
Résidence des données au Québec
Vos données sont hébergées au Québec, dans une infrastructure conforme à la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels). Cette loi impose des obligations strictes en matière de collecte, d'utilisation et de conservation des données personnelles.
Maintenir une résidence des données cohérente avec votre pratique au Québec n'est pas un bonus — c'est une exigence réglementaire que nous prenons au sérieux.
Contrôles techniques
Chiffrement TLS
Toutes les communications entre votre navigateur et nos serveurs sont chiffrées en transit via TLS 1.2+. Les données au repos sont également protégées par chiffrement.
Contrôle d'accès et authentification
Chaque compte est isolé. L'accès aux données est strictement limité à l'utilisateur authentifié. Les sessions sont gérées côté serveur avec expiration automatique.
Journaux d'audit
Les accès et opérations sur les données sont enregistrés afin de permettre une traçabilité complète en cas d'incident.
Plan de réponse aux incidents
En cas de violation de données, Sylvia dispose d'un plan de réponse aux incidents qui inclut la notification des utilisateurs affectés dans les délais requis par la loi.
Ententes disponibles
Documents formels disponibles pour encadrer notre relation de traitement des données.
BAA — Business Associate Agreement
Disponible sur demande pour tout professionnel ou organisation qui en a besoin. Contactez-nous pour obtenir votre entente de sous-traitant.
DPA — Entente de traitement des données
Notre entente de traitement des données est publique et accessible à tous. Elle décrit en détail nos obligations en matière de traitement et de protection.
Contact sécurité
Pour toute question relative à la sécurité, à la protection des données, ou pour signaler une vulnérabilité de façon responsable, contactez-nous directement.