Politique de confidentialité

MindSpectrum s'engage profondément à protéger votre vie privée et à sécuriser vos données sensibles d'évaluation psychologique. Cette politique de confidentialité détaillée explique comment nous collectons, utilisons, protégeons et gérons vos informations personnelles et de santé, conformément strictement au HIPAA (Health Insurance Portability and Accountability Act), au RGPD (Règlement Général sur la Protection des Données), au CCPA (California Consumer Privacy Act) et aux autres réglementations internationales en matière de confidentialité applicables. Compte tenu de la nature sensible des informations de santé mentale, nous appliquons les normes les plus élevées de protection des données pour garantir que vos résultats d'évaluation psychologique et vos informations personnelles restent confidentiels et sécurisés.

Nous recueillons uniquement les informations essentielles nécessaires à la fourniture des services d’évaluation psychologique : détails d’enregistrement du compte (nom, e-mail, date de naissance pour la vérification de l’âge), réponses et résultats des évaluations, analyses d’utilisation pour améliorer les fonctionnalités de la plateforme, journaux techniques pour la surveillance de la sécurité, et informations de paiement optionnelles traitées par des prestataires tiers conformes à la norme PCI-DSS. Nous respectons strictement les principes de minimisation des données selon le HIPAA et le RGPD, ne collectant que ce qui est nécessaire à la fourniture des services d’évaluation. Vos données d’évaluation sont classifiées comme des Informations de Santé Protégées (PHI) et bénéficient de protections renforcées. Nous ne recueillons jamais d’informations sur votre localisation physique, les identifiants de dispositifs sont anonymisés, et toute collecte de données de santé nécessite un consentement éclairé explicite.

Vos données d’évaluation psychologique sont utilisées exclusivement pour : fournir les rapports et analyses d’évaluation, suivre vos tendances personnelles de santé mentale au fil du temps (si vous activez cette fonctionnalité), améliorer les algorithmes d’évaluation et les fonctionnalités de la plateforme via une analyse agrégée anonymisée, et fournir un support technique sur demande. Nous ne vendons, ne louons ni ne partageons JAMAIS vos informations de santé identifiables avec des tiers à des fins marketing ou commerciales. Nous ne partageons pas vos résultats d’évaluation avec les compagnies d’assurance, employeurs, institutions éducatives ou agences gouvernementales sans votre consentement écrit explicite ou une obligation légale. Toutes les activités de traitement des données respectent la norme du minimum nécessaire du HIPAA et sont réalisées avec une base juridique documentée selon le RGPD.

Nous mettons en œuvre des mesures de sécurité de niveau santé dépassant les exigences des garanties techniques du HIPAA : chiffrement AES-256 pour les données au repos et TLS 1.3 pour les données en transit, authentification multi-facteurs (MFA) pour tous les comptes, tests réguliers de pénétration par des sociétés de sécurité indépendantes, infrastructure cloud conforme au HIPAA avec configurations santé AWS/GCP, surveillance automatisée de la sécurité et systèmes de détection d’intrusion, audits annuels de conformité HIPAA par des tiers, protocoles de reprise après sinistre et de continuité des activités, et contrôles d’accès stricts limitant l’accès du personnel aux PHI selon le principe du besoin de savoir. Tous les employés suivent une formation annuelle sur la confidentialité et la sécurité HIPAA. Nous maintenons des journaux complets de toutes les consultations de vos données d’évaluation.

Selon la Règle de Confidentialité HIPAA et le RGPD, vous disposez de droits complets : Droit d’accès (télécharger une copie complète de vos PHI sous 30 jours), Droit de rectification (demander des modifications des données d’évaluation inexactes), Droit à l’effacement (demander la suppression complète de vos données, sous certaines exceptions), Droit à la portabilité des données (exporter vos résultats d’évaluation dans un format lisible par machine), Droit de limiter le traitement (restreindre l’utilisation de vos données), Droit d’opposition (refuser les usages facultatifs des données), Droit de retirer votre consentement (révoquer le consentement au traitement des données), et Droit à un compte rendu des divulgations (recevoir un registre des accès à vos PHI). Exercez ces droits via les paramètres de confidentialité de votre compte ou en contactant notre Délégué à la Protection des Données.

Vous disposez d’un contrôle total sur la conservation de vos données. Comptes actifs : données d’évaluation conservées indéfiniment jusqu’à votre demande de suppression. Comptes inactifs (sans connexion depuis plus de 24 mois) : nous vous enverrons un e-mail avant d’archiver les données. Comptes supprimés : toutes les données d’évaluation sont définitivement supprimées dans un délai de 30 jours, avec des méthodes de destruction sécurisées conformes à la norme NIST 800-88. Les données anonymisées agrégées utilisées pour la recherche peuvent être conservées, mais ne contiennent aucune information identifiable. Vous pouvez télécharger l’intégralité de votre historique d’évaluation à tout moment avant suppression.

Si vous accédez à MindSpectrum depuis en dehors des États-Unis, vos données peuvent être transférées et traitées aux États-Unis. Nous appliquons des Clauses Contractuelles Types (SCC) approuvées par la Commission européenne pour la conformité RGPD et maintenons des protections équivalentes pour les transferts internationaux de données. Les données des utilisateurs de l’UE sont traitées conformément aux dérogations de l’article 49 du RGPD pour consentement explicite et fourniture nécessaire du service.

Pour toute question relative à la confidentialité, pour exercer vos droits ou signaler des préoccupations : envoyez un e-mail à notre Délégué à la Protection des Données à [email protected], écrivez à MindSpectrum Privacy Officer [Adresse de l’entreprise], ou utilisez notre formulaire de contact sécurisé conforme HIPAA. Nous répondons aux demandes de confidentialité sous 30 jours comme requis par le HIPAA et le RGPD. En cas de notification de violation de données ou pour des soucis de sécurité, contactez immédiatement [email protected].