Accord de Traitement des Données

Mise à jour: 22 avril 2026

Cet Accord de Traitement des Données (ci-après « l'Accord ») est conclu entre Idem et le Client, tels qu'identifiés dans la page de signature de l'Entente de service à laquelle le présent Accord est incorporé. Les termes « Idem », « Sous-traitant », « Client » et « Responsable du traitement » ont le sens qui leur est donné dans cette page de signature.

1. Objet et durée

Le présent Accord régit le traitement des données personnelles effectué par Idem pour le compte du Client dans le cadre de la fourniture des produits et services Idem : horloge intelligente, pilulier connecté, application mobile compagnon, portail web de gestion, ainsi que tout appareil connecté, capteur additionnel ou logiciel additionnel qui pourrait être déployé dans le cadre de la présente entente ou d'un avenant ultérieur (collectivement, les « Produits »).

Il entre en vigueur à la date de signature de l'entente de service et reste en vigueur pendant toute la durée de cette entente.

2. Description du traitement

Élément	Description
Personnes concernées	Intervenants et professionnels de santé du Client utilisant le portail web Idem comme outil principal; Proches aidants ou membres de la famille utilisant application mobile Idem pour interagir avec la solution Idem ; Usager: proches bénéficiaires (ex: personnes seniors) utilisant directement les appareils Idem.
Catégories de données à caractère personnel	Données d’utilisation: Identifiant global unique (ex: ID client, ID appareil) Agent utilisateur (ex: informations sur le navigateur de l’utilisateur) Informations de géolocalisation Préférences d’utilisation Données de contenu: Données d'identification et de contact : nom, courriel, téléphone optionnel ; Données d'interaction avec les appareils Idem ; Données sensibles: Contenu des communications (texte, photos, date, heure) lié aux appareils Idem Données de sondage d’informations sur l’usager (optionnel)
Fréquences du transfert	Les données peuvent être transférées de manière continue pendant la durée de l'accord auquel s'applique le présent Accord.
Nature du Traitement	Collecte, enregistrement, organisation, structuration, stockage, adaptation, consultation, utilisation, divulgation, transfert de Données.
Finalités	Idem ne traitera les Données à caractère personnel que dans le cadre de la fourniture ou de l’amélioration des Services, comme spécifié en tant que Données de l’Utilisateur dans l’Entente.
Durée de conservation	Durée du contrat de service, jusqu'à suppression explicite ou expiration du contrat.
Lieu d'hébergement	Lieu d’hébergement spécifié dans l’Entente.

3. Obligations d'Idem

3.1 Traitement sur instruction. Idem traite les données à caractère personnel uniquement sur instruction documentée du Client, sauf obligation légale contraire. Si une telle obligation existe, Idem en informe le Client dans la mesure permise par la loi.

3.2 Confidentialité. Toutes les personnes autorisées à accéder aux données personnelles sont soumises à une obligation de confidentialité contractuelle ou légale, qui survit à la fin de leur relation avec Idem.

3.3 Sécurité. Idem met en œuvre les mesures techniques et organisationnelles suivantes :

Chiffrement des données en transit (TLS 1.2 et TLS 1.3) et au repos (AES-256)
Contrôle d'accès basé sur les rôles, principe du moindre privilège
Hébergement sur infrastructure Google Cloud Platform (GCP). GCP est certifiée ISO 27001, ISO 27017, ISO 27018, SOC 2 Type II.

3.4 Notification des incidents. En cas de violation de données personnelles, Idem notifie le Client dans les 24 heures suivant sa prise de connaissance, afin de permettre au Client de respecter son obligation de notification à la CNIL dans les 72 heures (art. 33 RGPD). La notification précise la nature de l'incident, les catégories de données et de personnes concernées, les conséquences probables et les mesures prises.

3.5 Assistance au Client. Idem aide le Client à répondre aux demandes d'exercice de droits des personnes concernées (accès, rectification, effacement, portabilité, opposition, limitation) dans un délai de 5 jours ouvrables suivant la demande du Client.

3.6 Sous-traitants ultérieurs. Le Client autorise Idem à faire appel aux sous-traitants ultérieurs suivants :

Sous-traitant	Rôle	Données transmises	Pays où sont hébergées les données
Google Cloud Platform	Hébergement et infrastructure	Toutes les données personnelles	Canada
Telnyx	Connectivité SIM (horloge)	Géolocalisation	États-Unis
Stripe	Paiements et abonnements	Données de facturation uniquement (nom, prénom, courriel, adresse)	États-Unis
MongoDB Atlas	Fournisseur de services cloud - services de base de données	Toutes les données à caractère personnelle	Canada
Cloudflare	Fournisseur de services cloud - service de sécurité	Aucune donnée personnelle	États-Unis et Canada
Klaviyo	Fournisseur de services cloud - liste d’envoie de courriels	Courriel, nom, prénom, langue de communication préférée, pays	États-Unis
Twilio Inc.	Fournisseur de services cloud - livraison d'e-mails intégrée à l'application, envoie de SMS	Courriel, numéro de téléphone, contenu de SMS, contenu de courriel	États-Unis
Stream.io, Inc.	Fournisseur de services cloud - appels vidéo	Nom d’utilisateur et de domicile	Canada
Apple	Fournisseur de services cloud - notifications push	Identifiant unique d’appareil	États-Unis
Sentry	Fournisseur de services cloud - Journaux et analytique	Identifiant unique d’appareil	États-Unis
PostHog	Fournisseur de services cloud - Analytique	Identifiant unique d’appareil, Identifiant unique d’utilisateur, Géolocalisation	États-Unis

Idem informe le Client de tout changement prévu avec un préavis de 30 jours. Le Client dispose de 15 jours pour s'opposer par écrit. En l'absence d'opposition dans ce délai, le changement est réputé accepté.

3.7 Suppression des données. À l'expiration du contrat ou sur demande du Client, Idem supprime l'ensemble des données personnelles traitées pour le compte du Client, sauf obligation légale de conservation.

3.8 Audit. Idem met à disposition du Client les informations nécessaires pour démontrer le respect du présent Accord, et coopère aux audits raisonnables demandés par le Client dans des conditions convenues d'un commun accord.

4. Obligations du Client

Le Client s'engage à :

S'assurer que le traitement des données via les produits Idem repose sur une base légale valide au sens des art. 6 et 9 RGPD, et notamment à obtenir le consentement explicite requis pour les données de santé.
Informer les personnes concernées du traitement de leurs données conformément aux art. 13-14 RGPD.
Notifier Idem sans délai de toute demande reçue d'une personne concernée relative au traitement effectué par Idem.
Gérer les droits d'accès de ses intervenants sur le portail web (création et révocation des comptes).

5. Transferts de données hors UE

Toutes les données sont hébergées au Canada (GCP et MongoDB). Le Canada bénéficie d'une décision d'adéquation de la Commission européenne (décision 2002/2/CE), ce qui permet les transferts depuis l'UE sans garantie supplémentaire. Si cette décision venait à être modifiée, les parties conviennent de mettre en place sans délai des Clauses Contractuelles Types (CCT) conformes à la décision d'exécution 2021/914.

6. Autorité de contrôle et recours

Le Client peut déposer une plainte auprès de l'autorité de contrôle compétente dans son État membre. Pour les clients établis en France : Commission Nationale de l'Informatique et des Libertés (CNIL) : cnil.fr.

7. Contact - Protection des données

Pour toute question relative au présent Accord ou à la protection des données :

Courriel

privacy@idem.care

Responsable désigné

David Bordeleau

Chef des produits et de la technologie

Site web

idem.care

8. Dispositions générales

Le présent Accord est régi par les lois de la province de Québec, Canada. En cas de contradiction entre le présent Accord et l'entente de service, le présent Accord prévaut pour toute question relative à la protection des données personnelles.