POLITIQUE DE CONFIDENTIALITÉ
La sécurité et la confidentialité au cœur de nos opérations
De la conception, au déploiement, à l'opération; la sécurité et la confidentialité font partie de l'équation. Rien n'est laissé au hasard afin de protéger vos données durant tout leur cycle de vie à l'aide des pratiques et processus qui suivent les meilleurs standards de l'industrie.
Dernière mise à jour : 18 juin 2026
1. Notre engagement
Chez Lime Santé inc. (« Lime Santé », « nous »), la protection des renseignements personnels est une priorité absolue. De la conception au déploiement et à l’exploitation, la sécurité et la confidentialité font partie intégrante de l’équation. Rien n’est laissé au hasard afin de protéger vos données durant tout leur cycle de vie, à l’aide de pratiques et de processus alignés sur les meilleurs standards de l’industrie.
La présente politique vise à vous informer sur nos pratiques en matière de collecte, d’utilisation, de divulgation et de conservation de vos renseignements personnels, en conformité avec les Lois sur la protection des données applicables, notamment la Loi 25 (Québec), la LPRPDE (Canada), le Règlement général sur la protection des données de l’Union européenne (RGPD), la nouvelle loi fédérale suisse sur la protection des données (nLPD) et, lorsqu’applicable, le Health Insurance Portability and Accountability Act des États-Unis (HIPAA).
Elle s’applique à notre site Web corporatif, au traitement des données liées à l’utilisation de la plateforme Lime, et à toute interaction avec un employé, représentant ou sous-traitant autorisé de Lime Santé, y compris par courriel, téléphone, en personne ou par vidéoconférence.
1.1 Qui sommes-nous ?
Lime Santé est une entreprise de technologies en santé dont la mission est de mesurer et d’améliorer l’expérience patient. Nous développons des outils numériques qui facilitent la communication entre les usagers et le réseau de la santé. Dans ce cadre, nous collectons et utilisons certaines données personnelles.
1.2 À qui s’adresse cette politique
Nos pratiques varient selon votre relation avec Lime Santé. Nous distinguons trois profils :
Utilisateurs de la plateforme : les personnes autorisées par un établissement client à utiliser les modules PREMs, PROMs ou de messagerie, selon des permissions et accès distincts.
Répondants : les personnes invitées à répondre à une enquête ou à une communication (souvent des patients, des usagers ou des proches aidants). Un Répondant peut être sollicité par différents canaux, notamment un portail patient (celui de Lime Santé, dont votreexperience.ca, ou un portail du Client intégrant la Plateforme), un message texte, un courriel, l’application mobile Emilia ou une application tierce fournie ou orchestrée dans l’environnement d’un Client.
Visiteurs du site Web corporatif : les personnes qui consultent notre site Web sans nécessairement utiliser la plateforme.
2. Quelles données nous collectons
Les « renseignements personnels » désignent toute information permettant d’identifier une personne ou d’en permettre l’identification. Cela inclut les « renseignements de santé », qui englobent toute information liée à la santé d’une personne, y compris le diagnostic, les traitements et les soins reçus.
2.1 Site Web corporatif
Lorsque vous visitez notre site Web ou interagissez avec nous à des fins de communication, d’information ou de recrutement, nous pouvons recueillir, sans s’y limiter :
Prénom et nom
Adresse courriel
Numéro de téléphone
Adresse IP
Contenu des messages envoyés via formulaires, clavardage ou courriels
Information fournie dans le cadre d’un abonnement à l’infolettre, d’un concours, d’un sondage ou d’un processus de recrutement
2.2 Plateforme Lime
Aux fins de l’exploitation de la plateforme Lime, nous recueillons uniquement les renseignements personnels nécessaires à la mesure de l’expérience patient et à l’amélioration des parcours de soins. Les types de renseignements peuvent inclure, sans s’y limiter :
Prénom et nom
Adresse courriel
Adresse IP
Identifiant unique
Langue
Résultats de questionnaires ou de mesures d’expérience
Données démographiques permettant de personnaliser l’accompagnement
Pour les Répondants, certains renseignements collectés sont administrés et conservés sous la responsabilité exclusive de l’établissement de santé qui vous accompagne. Lime Santé agit alors comme sous-traitant et n’en conserve aucune copie et n’exerce aucun contrôle sur ces données. Ces données peuvent inclure des informations relatives à votre statut médical et à votre parcours de soins.
3. Pourquoi nous collectons vos données et sur quelle base
Selon la finalité, Lime Santé et, le cas échéant, ses établissements de santé partenaires agissent comme responsables du traitement ou comme sous-traitants. Le tableau suivant précise les finalités, les catégories de données, le responsable et la base légale.
Finalité
Catégorie de données
Responsable
Base légale
Conservation
Communication et réponse aux demandes (site Web)
Coordonnées, contenu des messages
Lime Santé
Consentement / intérêt légitime
Le temps nécessaire à la demande
Gestion des comptes utilisateurs
Identifiants, coordonnées
Lime Santé
Exécution du contrat
Durée du contrat de service
Traitement des réponses aux enquêtes
Réponses, données d’expérience
Établissement client
Consentement explicite
Selon le calendrier de conservation de l’établissement de santé responsable du traitement
Indicateurs agrégés aux partenaires
Données agrégées (non identifiantes)
Établissement client
Consentement explicite
Conservés uniquement sous forme agrégée et non identifiante, pour la durée nécessaire au suivi de la performance
Recherche et développement interne
Données agrégées, données de navigation
Lime Santé
Intérêt légitime
Pour la durée nécessaire au développement, à l’amélioration et au bon fonctionnement des systèmes, à partir de données agrégées ou anonymisées
Obligations légales et réglementaires
Selon l’obligation
Lime Santé
Obligation légale
Selon la loi applicable
Nous ne conserverons pas vos données personnelles plus longtemps que nécessaire pour atteindre les objectifs pour lesquels elles ont été collectées, y compris toute exigence légale.
3.1 Données anonymisées
Dans tous les cas, les données personnelles peuvent être utilisées à l’insu de l’utilisateur ou sans son consentement lorsque la loi l’exige ou le permet, ou lorsqu’elles ont été rendues anonymes ou pseudonymes de sorte qu’elles ne sont plus associées à une personne identifiable.
4. Consentement
Nous traitons les données personnelles avec votre consentement, et vous avez le droit de retirer votre consentement à des fins spécifiques. En soumettant des renseignements au site Web corporatif ou en utilisant la plateforme Lime, vous consentez à leur collecte, utilisation et divulgation conformément à la présente politique, dans les limites permises par la loi. Vous pouvez retirer votre consentement à tout moment en contactant notre responsable de la protection des renseignements personnels. Si vous fournissez des renseignements concernant une autre personne, vous garantissez avoir l’autorisation nécessaire.
5. Comment nous partageons vos données
Vos données personnelles peuvent être partagées avec les autorités réglementaires conformément aux exigences légales, ou avec des tiers lorsque cela est nécessaire pour fournir les Services. Les tiers comprennent les prestataires de services, les conseillers professionnels et les autres membres du réseau de Lime Santé.
Tous les tiers sont tenus par contrat de respecter la confidentialité et la sécurité des données et n’ont pas le droit de les utiliser au-delà des services requis. Les services concernés incluent l’hébergement Web, les services informatiques et infonuagiques, le conseil, les rapports de bogues, la journalisation et l’analyse.
Nous ne vendons ni n’échangeons vos données personnelles à des tiers. Nous ne partageons avec nos partenaires que des données agrégées, non liées à l’identité d’un utilisateur individuel.
6. Où nous traitons vos données
Si vous utilisez le site Web corporatif ou la plateforme Lime, vous envoyez des informations à nos serveurs. La localisation dépend de votre région :
Pays / Région
Catégorie de données
Raison
Canada
Données client
Hébergement des clients canadiens et hébergement principal pour la prestation des Services
Union européenne et Suisse
Données client
Hébergement des clients européens et suisses, au sein de l’Espace économique européen et/ou en Suisse ; ces juridictions sont reconnues comme assurant un niveau de protection des données adéquat
États-Unis
Données client
Hébergement des clients américains
États-Unis
Données de témoins
Marketing, fonctionnalité du site, rapports de bogues, analyses, journalisation
Pour nos clients européens et suisses, les données client sont hébergées au sein de l’Espace économique européen et/ou en Suisse. La Suisse bénéficie d’une décision d’adéquation de la Commission européenne : elle est reconnue comme assurant un niveau de protection des données équivalent à celui de l’Union européenne, de sorte que tout transfert de données de résidents de l’Espace économique européen vers la Suisse s’effectue dans un cadre licite. Nous avons mis en place des mesures et contrôles de sécurité pour garantir une protection appropriée dans chacune de ces juridictions.
7. Combien de temps nous conservons vos données
Nous ne conserverons les données personnelles que pour la durée nécessaire à la réalisation des objectifs pour lesquels elles ont été collectées. Elles peuvent être conservées plus longtemps lorsqu’elles sont uniquement destinées à des fins d’archivage dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques. Pour définir la durée appropriée, nous nous conformons aux exigences légales pertinentes.
8. Comment nous protégeons vos données
La protection de vos données est une priorité. Nous mettons en place des mesures solides, validées dans le cadre de notre attestation SOC 2 Type II, pour éviter que les données personnelles ne soient perdues, mal utilisées, consultées, modifiées ou divulguées par des parties non autorisées.
8.1 Mesures techniques et organisationnelles
Chiffrement des données au repos (AES 256 bits) et en transit (TLS 1.2 ou supérieur) ;
Contrôle d’accès basé sur les rôles, avec révision périodique des accès ;
Accès sur la seule base du besoin d’en connaître, limité au minimum nécessaire ;
Accords de confidentialité signés par tous les employés et formation annuelle sur le traitement des données sensibles ;
Tests d’intrusion annuels par une équipe externe et surveillance continue des vulnérabilités ;
Surveillance des contrôles de sécurité et de la conformité au moyen de la plateforme Vanta ;
Procédures documentées et testées de gestion des violations de données, garantissant l’information des personnes concernées et des organismes de réglementation.
8.2 Certifications
Lime Santé détient une attestation SOC 2 Type II et la certification TGV du Bureau du courtier en infonuagique du gouvernement du Québec. Pour les clients américains assujettis à HIPAA, Lime Santé maintient un programme de conformité HIPAA et conclut un accord de partenariat commercial (Business Associate Agreement) avec chaque « covered entity ».
9. Renseignements de santé protégés (HIPAA)
Lorsque Lime Santé traite des renseignements de santé protégés (« protected health information ») pour le compte d’un Client américain constituant une « covered entity », elle agit à titre de « business associate » au sens de HIPAA. Dans ce contexte :
les Parties concluent un Business Associate Agreement (BAA) qui encadre l’utilisation et la divulgation de ces renseignements ;
Lime Santé maintient les mesures de sauvegarde administratives, physiques et techniques exigées par la Security Rule ;
Lime Santé a réalisé une analyse de risque (Security Risk Analysis) et a désigné un responsable de la sécurité et un responsable de la protection de la vie privée ;
les contrôles associés font l’objet d’une surveillance continue au moyen de Vanta ;
en cas de violation touchant des renseignements de santé protégés, Lime Santé respecte les obligations de notification de la Breach Notification Rule.
10. Intelligence artificielle et transparence
Certaines fonctionnalités des Services utilisent des systèmes d’intelligence artificielle, y compris des modèles de langage de grande taille fournis par des tiers. Conformément au Règlement (UE) 2024/1689 sur l’intelligence artificielle et aux principes de transparence applicables :
nous vous informons lorsque vous interagissez avec un système d’intelligence artificielle ou lorsqu’un contenu est généré par un tel système ;
nous conservons une supervision humaine sur les contenus générés pertinents pour les décisions cliniques ou administratives ;
lorsque cela est possible, nous prenons des mesures afin que vos données ne soient pas utilisées pour l’entraînement des modèles exploités par des tiers ;
les contenus générés par l’intelligence artificielle peuvent contenir des erreurs et ne remplacent pas le jugement d’un professionnel qualifié.
11. Utilisation des témoins (cookies)
Notre site Web utilise des témoins (cookies). Vous pouvez à tout moment consulter les types de témoins utilisés, connaître leurs finalités et gérer vos préférences en cliquant sur l’icône de témoins (cookies) située dans le coin inférieur gauche de chaque page de notre site Web.
12. Dispositions pour les résidents européens et suisses
Lime Santé exploite ses activités depuis son siège social au 212 du Grand-Hunier, Saint-Augustin-de-Desmaures, Québec, Canada, G3A 2J2. Les données personnelles des résidents européens et suisses sont hébergées au sein de l’Espace économique européen et/ou en Suisse, et peuvent être consultées depuis le Canada. Tant la Suisse que le Canada bénéficient d’une décision d’adéquation de la Commission européenne, qui reconnaît qu’ils assurent un niveau de protection des données équivalent à celui de l’Union européenne.
Lime Santé agit également comme sous-traitant sous les instructions de chaque établissement de santé (client) pour les données collectées par formulaires en ligne et traitées dans le cadre de l’évaluation de l’expérience patient. Lime Santé agit comme responsable du traitement pour : la recherche et le développement de son logiciel ; les traitements en dehors des finalités définies avec le client ; son site Web et les traceurs associés ; l’audit interne et ses obligations légales.
Nous nous engageons à respecter les règles de transfert applicables, soit en transférant vos données vers des pays reconnus comme adéquats par la Commission européenne, soit en mettant en œuvre des mesures de protection appropriées telles que les clauses contractuelles types de l’Union européenne.
Nous, ainsi que nos établissements de santé partenaires européens, nous engageons à respecter :
la Loi 25 sur la protection des renseignements personnels des citoyens du Québec ;
la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) ;
le Règlement général sur la protection des données (UE) 2016/679 (le « RGPD ») ;
le RGPD britannique et la loi britannique sur la protection des données de 2018 (modifiée en 2020) ;
la nouvelle loi fédérale suisse sur la protection des données (nLPD), entrée en vigueur le 1er septembre 2023 ;
toutes les lois et réglementations applicables en matière de protection des données (collectivement, les « Lois sur la protection des données »).
13. Vos droits
Nous nous efforçons de conserver des données exactes et à jour. En cas de modification, veuillez nous en informer ou mettre à jour votre page de profil. La loi vous protège et vous donne plusieurs droits :
Accéder à vos données : savoir si nous détenons des informations vous concernant et en obtenir une copie.
Corriger vos données : faire rectifier des informations inexactes.
Demander l’effacement : dans certains cas, faire supprimer vos données.
Limiter l’utilisation : demander que l’usage de vos données soit restreint dans certaines situations.
Recevoir ou transférer vos données : obtenir vos données dans un format lisible ou les faire transmettre à une autre organisation (portabilité).
Vous opposer : pour des raisons personnelles, vous opposer à l’utilisation de vos données.
Retirer votre consentement : revenir sur votre accord à tout moment, sans avoir à vous justifier.
Pour exercer ces droits, contactez-nous via les coordonnées de la section « Comment nous contacter ». Ces droits sont soumis à certaines règles et seront étudiés individuellement par notre responsable de la protection des données.
13.1 Droit de porter plainte
Vous avez le droit de déposer une plainte si vous estimez que vos données ne sont pas traitées conformément aux lois applicables :
Au Québec : Commission d’accès à l’information du Québec (CAI), https://www.cai.gouv.qc.ca/plaindre
Au Canada : Commissariat à la protection de la vie privée du Canada (CPVP), https://www.priv.gc.ca
Dans l’Espace économique européen : l’autorité de protection des données de votre pays (coordonnées sur https://edpb.europa.eu).
En Suisse : le Préposé fédéral à la protection des données et à la transparence (PFPDT), https://www.edoeb.admin.ch
14. Comment nous contacter
Lime Santé a nommé Jonathan Santerre à titre de responsable de la protection des renseignements personnels et de l’accès à l’information. Il remplit également le rôle de délégué à la protection des données et répond aux questions, demandes et plaintes concernant la présente politique ainsi que la collecte et le traitement de vos données.
Courriel : [email protected]
Téléphone (sans frais) : 1 877 503-LIME
14.1 Représentant européen (RGPD, article 27)
Conformément à l’article 27 du RGPD, Lime Santé a désigné European Data Protection Office (EDPO) comme représentant dans l’Union européenne. Vous pouvez contacter EDPO au moyen de son formulaire de demande en ligne ou par courrier à EDPO, Avenue Huart Hamoir 71, 1030 Bruxelles, Belgique.
15. Modifications de la présente politique
La présente politique entre en vigueur à la date indiquée en haut de cette page. Lime Santé se réserve le droit de la modifier ou de la mettre à jour à tout moment. Toute modification sera publiée sur notre site Internet et la version révisée sera disponible sur demande auprès du responsable de la protection des renseignements personnels. Nous vous invitons à consulter régulièrement cette politique. Vous pouvez accéder à des versions antérieures sur demande.