1. Introduction
MedXimity, Inc. (« MedXimity », « nous », « notre » ou « nos »), exploite la plateforme medximity.com, qui comprend un annuaire de prestataires de soins de santé, un forum communautaire, des outils de santé alimentés par l'IA et le système de dossiers de santé électroniques (DSE) Digital Patient Chart.
La présente Politique de confidentialité explique comment nous collectons, utilisons, divulguons et protégeons vos informations lorsque vous visitez notre site Web, utilisez nos services, interagissez avec nos fonctionnalités d'IA ou accédez au système DSE Digital Patient Chart. Veuillez lire attentivement la présente politique. En utilisant nos services, vous consentez aux pratiques décrites dans les présentes.
Si vous n'acceptez pas les termes de la présente Politique de confidentialité, veuillez cesser immédiatement d'utiliser nos services.
2. Conformité HIPAA
MedXimity opère en double capacité au sein de l'écosystème de la santé :
- En tant que fournisseur de plateforme : Nous exploitons l'annuaire medximity.com, le forum communautaire et les outils destinés aux patients. À ce titre, nous ne sommes pas une entité couverte par HIPAA pour l'utilisation générale de la plateforme.
- En tant que fournisseur de DSE : Par l'intermédiaire de Digital Patient Chart, nous fournissons des services de dossiers de santé électroniques aux prestataires de soins. À ce titre, nous agissons en tant qu'associé commercial au titre de HIPAA et maintenons des Contrats d'associé commercial (BAA) avec tous les prestataires couverts utilisant notre système DSE.
Nos mesures de conformité HIPAA comprennent :
- Des mesures de protection administratives, physiques et techniques conformément à la règle de sécurité HIPAA
- Le chiffrement des Informations de santé protégées (PHI) en transit et au repos
- Des contrôles d'accès limitant l'accès aux PHI au personnel autorisé
- Des évaluations de sécurité régulières et la formation des employés
- Des procédures de notification de violation conformément à la règle de notification de violation HIPAA
- Des BAA conclus avec tous les prestataires de soins clients avant tout traitement de PHI
Les PHI traitées via Digital Patient Chart sont stockées séparément des données marketing et d'annuaire et ne sont jamais utilisées à des fins de publicité, de formation de l'IA ou d'analyse.
3. Données que nous collectons
Informations que vous fournissez directement
- Informations de compte : Nom, adresse électronique, numéro de téléphone, mot de passe et détails du profil lorsque vous créez un compte patient ou prestataire.
- Données de l'annuaire des prestataires : Informations de cabinet, qualifications, spécialités, emplacements de cabinet, régimes d'assurance acceptés et biographie professionnelle soumis par les prestataires de soins.
- Données de rendez-vous : Demandes de planification, confirmations de rendez-vous, annulations et communications connexes entre patients et prestataires.
- Publications du forum : Contenu que vous publiez sur notre forum communautaire, y compris le texte, les images et le nom d'affichage que vous avez choisi.
- Entrées du vérificateur de symptômes : Symptômes, conditions et préoccupations de santé que vous saisissez dans nos outils d'évaluation des symptômes alimentés par l'IA.
- Avis et évaluations : Avis de patients, notes par étoiles et commentaires concernant les prestataires de soins.
- Informations de paiement : Informations de facturation traitées par notre prestataire de paiement tiers (Stripe). Nous ne stockons pas les numéros complets de cartes de crédit sur nos serveurs.
- Communications : Messages envoyés via notre plateforme, demandes d'assistance et correspondance par courriel.
Informations collectées automatiquement
- Informations sur l'appareil : Type de navigateur, système d'exploitation, type d'appareil, résolution d'écran et identifiants uniques de l'appareil.
- Données d'utilisation : Pages consultées, fonctionnalités utilisées, requêtes de recherche, schémas de clics et temps passé sur les pages.
- Données de géolocalisation : Avec votre autorisation, nous collectons des données de localisation précises pour vous montrer les prestataires de soins à proximité triés par distance. Vous pouvez refuser l'accès à la localisation et utiliser à la place une recherche manuelle par ville ou code postal.
- Adresse IP : Utilisée pour la sécurité, la prévention de la fraude et la détermination approximative de la localisation.
- Données d'interaction avec l'IA : Vos entrées dans les fonctionnalités alimentées par l'IA (requêtes de recherche, descriptions de symptômes, demandes de contenu) et les réponses générées par l'IA que vous recevez.
- Cookies et technologies similaires : Consultez la Section 12 pour plus de détails sur nos pratiques en matière de cookies.
Informations provenant de tiers
- Données de vérification des qualifications des prestataires provenant de registres publics (NPI, ordres professionnels des États)
- Données d'analyse provenant de Google Analytics
- Données de confirmation de paiement provenant de Stripe
4. Comment nous utilisons vos données
Nous utilisons les informations que nous collectons aux fins suivantes :
- Fourniture de services : Exploitation de l'annuaire des prestataires, traitement des rendez-vous, gestion des comptes et fourniture de services DSE.
- Mise en relation avec des prestataires : Utilisation de votre localisation, de vos termes de recherche et de vos préférences pour vous mettre en relation avec des prestataires de soins pertinents dans votre région.
- Génération de contenu par IA : Génération de contenu informatif, de descriptions de prestataires, d'articles de santé et de recommandations personnalisées à l'aide de l'intelligence artificielle.
- Résultats basés sur la géolocalisation : Tri et filtrage des prestataires par proximité de votre position actuelle lorsque vous accordez l'autorisation de localisation.
- Modération du forum : Surveillance des publications de la communauté pour la sécurité, la conformité aux directives de la communauté et la suppression de contenu nuisible.
- Communications : Envoi de rappels de rendez-vous, de mises à jour de service et réponse aux demandes d'assistance.
- Analyse et amélioration : Compréhension de la manière dont les utilisateurs interagissent avec notre plateforme afin d'améliorer les fonctionnalités, les performances et l'expérience utilisateur.
- Sécurité : Détection et prévention de la fraude, des accès non autorisés et d'autres activités malveillantes.
- Conformité juridique : Respect de nos obligations en vertu des lois et réglementations applicables.
5. IA et traitement automatisé
MedXimity utilise l'intelligence artificielle et des systèmes automatisés dans plusieurs domaines de notre plateforme :
Comment l'IA est utilisée
- Génération de contenu : L'IA génère du contenu informatif sur les spécialités médicales, les pathologies et les annuaires de prestataires locaux. Ce contenu est revu pour en vérifier l'exactitude.
- Recherche et mise en relation : L'IA aide à mettre en relation les patients avec des prestataires appropriés en fonction de la spécialité, de la localisation et des besoins exprimés.
- Évaluation des symptômes : Des outils alimentés par l'IA aident les utilisateurs à comprendre les pathologies potentielles en fonction des symptômes qu'ils décrivent. Ces outils fournissent des informations générales uniquement.
- Traduction : L'IA traduit le contenu de la plateforme dans les langues prises en charge (anglais, espagnol, coréen, français, chinois).
Quelles données alimentent les systèmes d'IA
- Les requêtes de recherche et les descriptions de symptômes que vous fournissez
- Les informations de santé accessibles au public (spécialités, pathologies, types de traitement)
- Les schémas d'utilisation agrégés et dépersonnalisés de la plateforme
- Les informations de l'annuaire des prestataires (détails du cabinet, spécialités, emplacements)
Limitations importantes
Les résultats de l'IA ne constituent pas un avis médical. Le contenu généré par l'IA sur MedXimity, y compris les évaluations de symptômes, les articles de santé et les recommandations de prestataires, est fourni à titre informatif uniquement et ne constitue pas un diagnostic médical, un conseil de traitement ou une relation médecin-patient. Consultez toujours un prestataire de soins qualifié pour les décisions médicales.
Nous n'utilisons pas les Informations de santé protégées (PHI) du système DSE Digital Patient Chart comme données d'entrée pour les fonctionnalités d'IA de la plateforme publique. Les données cliniques et les données marketing/d'annuaire sont traitées sur des systèmes distincts.
6. Données du forum communautaire
Notre forum communautaire permet aux utilisateurs de partager leurs expériences, de poser des questions et d'entrer en contact avec d'autres personnes. Veuillez noter :
- Visibilité publique : Les publications du forum, les réponses et votre nom d'affichage sont visibles par tous les utilisateurs de la plateforme et peuvent être indexés par les moteurs de recherche. Ne partagez pas d'informations personnelles de santé, de coordonnées ou d'autres données sensibles dans les publications du forum.
- Modération : Le contenu du forum est soumis à une modération automatisée et humaine. Nous pouvons supprimer le contenu qui enfreint les directives de la communauté, contient des informations erronées nuisibles ou inclut des informations personnellement identifiables.
- Conservation : Les publications du forum restent visibles à moins que vous ne les supprimiez ou que nous les retirions pour violation de la politique. Les publications supprimées peuvent persister dans les sauvegardes pendant une durée maximale de 90 jours.
- Pas d'avis médical : Les discussions du forum relèvent uniquement du soutien entre pairs. Les publications ne constituent pas un avis médical, et MedXimity n'est pas responsable de l'exactitude du contenu du forum généré par les utilisateurs.
7. Données du DSE et du portail patient
Digital Patient Chart, notre plateforme DSE, traite les données cliniques en stricte conformité avec HIPAA :
Séparation des données
Les données cliniques (notes SOAP, diagnostics, prescriptions, résultats de laboratoire, imagerie) sont stockées dans des bases de données isolées par prestataire, complètement séparées de l'annuaire public MedXimity et des systèmes marketing. Il n'y a aucun flux de données des dossiers cliniques du DSE vers la plateforme accessible au public.
Portail patient
Le portail patient fournit un accès centralisé à vos dossiers de santé auprès de tous les prestataires qui utilisent Digital Patient Chart. Les données du portail comprennent :
- L'historique des rendez-vous et les rendez-vous à venir
- Les formulaires d'admission remplis par le patient
- Les messages sécurisés entre vous et vos prestataires
- Les documents partagés par vos prestataires
Responsabilité des prestataires
Les prestataires de soins utilisant Digital Patient Chart sont indépendamment responsables de leur propre conformité HIPAA, y compris l'obtention du consentement des patients pour le traitement, la tenue de dossiers exacts et la conformité aux lois étatiques spécifiques en matière d'informations de santé. MedXimity fournit la plateforme technologique ; les prestataires individuels sont les entités couvertes responsables de leurs pratiques cliniques.
8. Services tiers
Nous utilisons les services tiers suivants pour exploiter notre plateforme :
- Stripe : Traitement des paiements pour les abonnements des prestataires et les paiements des patients. Stripe reçoit directement les données de carte de paiement ; nous ne stockons pas les numéros complets de carte. La politique de confidentialité de Stripe régit le traitement de vos données de paiement.
- Anthropic (Claude) : Génération de contenu par IA et traitement du langage naturel. Nous envoyons des données non-PHI (requêtes de recherche, informations publiques sur les prestataires, sujets de santé généraux) à Anthropic pour la génération de contenu. Aucun dossier de santé de patient ni aucune information de santé personnellement identifiable n'est envoyé à Anthropic.
- Google Analytics : Analyse et suivi de l'utilisation du site Web. Google Analytics collecte des données d'utilisation anonymisées, notamment les pages consultées, la durée des sessions et les sources de trafic.
- Amazon Web Services (AWS) : Hébergement d'infrastructure cloud. Nos serveurs et bases de données sont hébergés sur AWS avec chiffrement au repos et en transit. AWS traite les données pour notre compte en vertu d'un Accord de traitement des données.
Chaque service tiers opère selon sa propre politique de confidentialité. Nous vous encourageons à consulter ces politiques pour obtenir des informations détaillées sur leurs pratiques en matière de données.
9. Partage et divulgation des données
Nous ne vendons pas vos informations personnelles à des tiers. Nous pouvons partager des informations dans les circonstances suivantes :
- Avec les prestataires de soins : Lorsque vous prenez rendez-vous ou demandez des informations auprès de prestataires répertoriés sur notre plateforme, nous partageons les coordonnées et informations de planification pertinentes avec ces prestataires.
- Prestataires de services : Avec des fournisseurs tiers qui nous aident à exploiter notre plateforme (hébergement, analyse, traitement des paiements) sous des obligations contractuelles de protection de vos données.
- Exigences légales : Lorsque la loi l'exige, sur assignation, ordonnance du tribunal ou demande gouvernementale ; pour protéger nos droits, nos biens ou notre sécurité ; ou pour enquêter sur des violations potentielles de nos conditions.
- Transferts d'entreprise : Dans le cadre d'une fusion, d'une acquisition ou d'une vente d'actifs, vos informations peuvent être transférées à l'entité successeur, sous réserve des mêmes protections de confidentialité.
- Avec votre consentement : Nous pouvons partager des informations à toute autre fin avec votre consentement explicite.
Nous ne partageons, ne vendons ni ne fournissons jamais les Informations de santé protégées du système DSE à des annonceurs, courtiers en données ou toute entité non couverte.
10. Conservation des données
Nous conservons vos informations aussi longtemps que nécessaire pour fournir nos services et remplir les objectifs décrits dans la présente politique :
- Données de compte : Conservées pendant la durée de votre compte actif, plus 2 ans après la clôture du compte à des fins juridiques et d'audit.
- Dossiers cliniques (DSE) : Conservés conformément aux lois étatiques applicables en matière de conservation des dossiers médicaux, généralement de 7 à 10 ans à compter de la dernière date de service, ou plus longtemps si la loi l'exige.
- Publications du forum : Conservées jusqu'à ce que vous les supprimiez ou que nous les retirions. Les copies de sauvegarde peuvent persister jusqu'à 90 jours après la suppression.
- Journaux d'interaction avec l'IA : Les requêtes de recherche et les entrées du vérificateur de symptômes sont conservées sous forme anonymisée pendant une durée maximale de 12 mois à des fins d'amélioration du service, puis définitivement supprimées.
- Données d'analyse : Les statistiques d'utilisation agrégées sont conservées indéfiniment. Les données de session individuelles sont conservées pendant 26 mois conformément aux paramètres par défaut de Google Analytics.
- Registres de paiement : Les registres de transactions sont conservés pendant 7 ans conformément aux réglementations fiscales et financières.
- Journaux de sécurité : Les journaux d'accès et les enregistrements d'événements de sécurité sont conservés pendant 1 an.
Lorsque les périodes de conservation expirent, les données sont définitivement supprimées ou irréversiblement anonymisées.
11. Vos droits
Selon votre lieu de résidence, vous disposez des droits suivants concernant vos informations personnelles :
Tous les utilisateurs
- Accès : Demander une copie des informations personnelles que nous détenons à votre sujet.
- Rectification : Demander la correction d'informations personnelles inexactes ou incomplètes.
- Suppression : Demander la suppression de vos informations personnelles, sous réserve des exigences légales de conservation.
- Portabilité : Demander vos données dans un format lisible par machine en vue de leur transfert vers un autre service.
- Désinscription : Vous désinscrire des communications marketing à tout moment via le lien de désinscription dans nos courriels ou les paramètres de votre compte.
Résidents de Californie (CCPA/CPRA)
Si vous résidez en Californie, vous disposez de droits supplémentaires en vertu du California Consumer Privacy Act (CCPA) et du California Privacy Rights Act (CPRA) :
- Droit à l'information : Vous pouvez demander des détails sur les catégories et les éléments spécifiques d'informations personnelles que nous avons collectés, les sources, nos finalités commerciales de collecte et les catégories de tiers avec lesquels nous les partageons.
- Droit à la suppression : Vous pouvez demander la suppression des informations personnelles que nous avons collectées auprès de vous, sous réserve de certaines exceptions.
- Droit de refuser la vente : Nous ne vendons pas d'informations personnelles. Si cette pratique venait à changer, nous fournirons un mécanisme de refus clair.
- Droit à la non-discrimination : Nous ne vous discriminerons pas pour l'exercice de l'un de vos droits CCPA.
- Droit de rectification : Vous pouvez demander la correction d'informations personnelles inexactes.
- Droit de limiter l'utilisation des informations personnelles sensibles : Vous pouvez demander que nous limitions notre utilisation des informations personnelles sensibles aux fins nécessaires à la fourniture de nos services.
Pour exercer l'un de ces droits, contactez-nous à [email protected] ou utilisez le formulaire de demande dans les paramètres de votre compte. Nous répondrons dans un délai de 45 jours conformément à la loi.
Résidents canadiens (PIPEDA)
Les résidents canadiens ont des droits en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (PIPEDA) pour accéder à leurs renseignements personnels, les corriger et retirer leur consentement à leur utilisation. Contactez notre responsable de la protection de la vie privée à [email protected].
12. Cookies et technologies de suivi
Nous utilisons des cookies et des technologies similaires pour améliorer votre expérience :
- Cookies essentiels : Nécessaires au fonctionnement de base du site, à l'authentification et à la sécurité. Ils ne peuvent pas être désactivés.
- Cookies d'analyse : Nous aident à comprendre comment les visiteurs interagissent avec notre site (Google Analytics). Vous pouvez les refuser via les paramètres de votre navigateur ou l'outil de refus de Google.
- Cookies de préférence : Mémorisent votre sélection de langue, vos préférences de localisation et vos paramètres d'affichage.
- Cookies de session : Maintiennent votre état de connexion et la progression de vos formulaires. Ils expirent lorsque vous fermez votre navigateur.
Vous pouvez contrôler les cookies via les paramètres de votre navigateur. La désactivation de certains cookies peut limiter les fonctionnalités de la plateforme. Nous n'utilisons pas de cookies à des fins de publicité ciblée.
13. Protection de la vie privée des enfants
MedXimity n'est pas destiné aux enfants de moins de 13 ans. Nous ne collectons pas sciemment d'informations personnelles auprès d'enfants de moins de 13 ans. Si vous êtes un parent ou un tuteur et que vous pensez que votre enfant nous a fourni des informations personnelles, veuillez nous contacter à [email protected] et nous supprimerons rapidement ces informations.
Pour les utilisateurs âgés de 13 à 18 ans, le consentement d'un parent ou d'un tuteur est requis pour créer un compte. Le portail patient n'est accessible aux mineurs que via un compte de parent ou de tuteur.
La présente politique est conforme au Children's Online Privacy Protection Act (COPPA) et aux lois étatiques applicables concernant les données des mineurs.
14. Transferts internationaux de données
MedXimity est basé aux États-Unis. Si vous accédez à nos services depuis l'extérieur des États-Unis, vos informations seront transférées, stockées et traitées aux États-Unis où se trouvent nos serveurs.
En utilisant nos services, vous consentez au transfert de vos informations vers les États-Unis, qui peuvent avoir des lois de protection des données différentes de celles de votre pays de résidence. Nous mettons en œuvre des mesures de protection appropriées pour protéger vos informations quel que soit le lieu de traitement, y compris le chiffrement en transit et au repos.
Pour les utilisateurs canadiens, les données sont traitées conformément aux exigences de transfert transfrontalier de PIPEDA. Nous veillons à ce que tout prestataire de services tiers qui traite des données en dehors du Canada assure des niveaux de protection comparables.
15. Modifications de la présente politique
Nous pouvons mettre à jour la présente Politique de confidentialité de temps à autre pour refléter les changements dans nos pratiques, technologies ou exigences légales. Lorsque nous apportons des modifications substantielles :
- Nous mettrons à jour la « Date d'effet » en haut de cette page.
- Pour les modifications importantes, nous informerons les utilisateurs inscrits par courriel au moins 30 jours avant l'entrée en vigueur des modifications.
- Un résumé des modifications sera publié sur notre site Web.
Votre utilisation continue de nos services après toute modification constitue votre acceptation de la Politique de confidentialité mise à jour.
16. Coordonnées
Si vous avez des questions, des préoccupations ou des demandes concernant la présente Politique de confidentialité ou nos pratiques en matière de données, veuillez nous contacter :
- Société : MedXimity, Inc.
- Courriel (confidentialité) : [email protected]
- Courriel (général) : [email protected]
- Site Web : medximity.com
Pour les demandes relatives à HIPAA concernant Digital Patient Chart, veuillez contacter directement notre responsable de la protection de la vie privée à [email protected] avec la ligne d'objet « HIPAA Inquiry ».
Nous nous efforçons de répondre à toutes les demandes liées à la confidentialité dans un délai de 10 jours ouvrables.