Si vous êtes en état de détresse, veuillez texter  à 988 n’importe quand. En cas d’urgence, appelez le 9-1-1 ou rendez-vous à votre service d’urgence local.

Cadre d’évaluation des applications de santé mentale

2. Normes en matière de protection des données et de la vie privée

Dans un premier temps, les normes ciblent la politique de confidentialité de l’application, que l’utilisateur peut consulter dans l’application elle-même, dans l’App Store d’Apple ou dans la boutique Google Play. Plus la politique de confidentialité est transparente, mieux c’est. En général, elle doit indiquer clairement que les données de l’utilisateur ne seront pas utilisées ou partagées avec d’autres parties, sauf dans les conditions décrites dans la politique de confidentialité ou avec le consentement exprès de l’utilisateur. Idéalement, la politique doit préciser :

  • quelles données sont recueillies auprès de l’utilisateur et comment;
  • si l’utilisateur est informé des intentions du développeur en matière de traitement et de partage de ses données;
  • si le consentement de l’utilisateur a été obtenu.

La politique de confidentialité doit refléter fidèlement l’utilisation des données par l’application. En outre, elle doit informer l’utilisateur de l’intention du développeur d’utiliser ses données à des fins de marketing. Si les données de l’utilisateur sont partagées à d’autres fins que l’utilisation de base de l’application ou le respect d’obligations juridiques, l’évaluation tient compte de la possibilité, pour l’utilisateur, de refuser ces activités.

Les critères relatifs aux données et à la vie privée sont énumérés dans la section qui suit.

 

Critères

Origine du critère

2a, Q1

Existe-t-il une politique de confidentialité accessible par l’intermédiaire de l’application Web ou du site Web (s’applique aux applications Web seulement)?

ORCHA

2a, Q2

Le développeur a-t-il publié un résumé de la politique de confidentialité quelque part (s’applique aux applications mobiles seulement)?

ORCHA

2a, Q3

La politique de confidentialité est-elle accessible dès que l’utilisateur ouvre l’application pour la première fois?

ORCHA

2a, Q4

La politique de confidentialité est-elle accessible lorsque l’utilisateur s’inscrit au service?

ORCHA

2a, Q5

La politique de confidentialité est-elle publiée dans l’application? 

ORCHA

2a, Q6

La politique de confidentialité est-elle accessible à l’externe par l’intermédiaire de l’application ou d’un site Web lié?

ORCHA

2a, Q7

La politique de confidentialité est-elle accessible par l’intermédiaire de la boutique d’applications utilisée?

ORCHA

2a, Q8

La politique de confidentialité se situe-t-elle à un autre endroit bien en vue et facilement accessible?

US DHAF

2a, Q9

À quel endroit peut-on accéder à la politique de confidentialité?

Directives :

Cherchez un lien vers la politique de confidentialité. S’il n’en existe pas, le développeur décrit-il comment l’utilisateur peut obtenir la politique, que ce soit par l’intermédiaire de l’application ou sur demande?

CSMC

2a, Q10

La politique de confidentialité indique-t-elle quelles données sont recueillies par le développeur? 

ORCHA

2a, Q11

La politique de confidentialité est-elle exacte en ce qui concerne les données que le développeur a l’intention de recueillir?

ORCHA

2a, Q12

L’application indique-t-elle explicitement que les données recueillies par l’application sont stockées localement, sauf si l’utilisateur les exporte manuellement?

ORCHA

2a, Q13

Comment le développeur obtient-il le consentement de l’utilisateur pour le traitement de ses données?

ORCHA

2a, Q14

La politique de confidentialité précise-t-elle le nom et les coordonnées du responsable de la protection de la vie privée ou d’un représentant équivalent au sein de l’entreprise?

ORCHA

2a, Q15

Fournissez les coordonnées de la personne-ressource identifiée au point 2a, Q14.

ORCHA

Une fois établis les types de données recueillis par l’application, les normes visent à déterminer la manière dont ces données sont utilisées et partagées et si cette information est communiquée à l’utilisateur. La politique de confidentialité doit indiquer toutes les utilisations prévues et les bases juridiques du traitement des données des utilisateurs, telles que l’obligation juridique, la recherche et le marketing. Les utilisateurs doivent également avoir la possibilité de retirer leur consentement à l’utilisation de leurs données, notamment à des fins de marketing.

 

Critères

Origine du critère

2b, Q1

Le développeur informe-t-il exhaustivement l’utilisateur quant à sa façon de recueillir les données le concernant?

ORCHA

2b, Q2

Le développeur précise-t-il à l’utilisateur tous les objectifs du traitement des données le concernant?

ORCHA

2b, Q3

À quoi servent les données partagées automatiquement?

ORCHA

2b, Q4

Le développeur semble-t-il avoir l’intention de partager ou de traiter les données de l’utilisateur recueillies par l’application à des fins qui n’ont pas été clairement précisées à l’utilisateur, ou à toute autre fin qu’il juge nécessaire?

ORCHA

2b, Q5

Le développeur informe-t-il l’utilisateur qu’il souhaite utiliser ses données à des fins de marketing?

ORCHA

2b, Q6

Le développeur obtient-il un consentement éclairé distinct pour l’utilisation des données à des fins de marketing?

ORCHA

2b, Q7

L’utilisateur est-il renseigné sur la manière dont il peut refuser chaque activité de traitement?

ORCHA

2b, Q8

Si l’utilisateur ne peut refuser l’ensemble des activités de traitement, le développeur explique-t-il clairement les activités auxquelles il ne peut pas renoncer et pourquoi?

ORCHA

2b, Q9

L’utilisateur est-il informé que ses données ne seront pas partagées avec d’autres parties, sauf aux fins qui ont été définies dans la politique de confidentialité?

ORCHA

La politique de confidentialité relative au stockage et au transfert des données doit informer l’utilisateur de l’endroit où ses données sont stockées et de la façon dont elles sont protégées lorsqu’elles sont stockées et lorsqu’elles transitent entre l’appareil de l’utilisateur et le stockage hôte. Les normes portent sur les techniques de stockage spécifiques et sécurisées, telles que le chiffrement et les pare-feu reconnus par l’industrie.

 

Critères

Origine du critère

2c, Q1

La politique de confidentialité des données (ou l’équivalent) indique-t-elle l’endroit où les données recueillies par l’application seront stockées (par exemple, dans l’application, dans un entrepôt de données externe, sur un serveur infonuagique, etc.)?

ORCHA

2c, Q2

À quel endroit les données sont-elles stockées? 

ORCHA

2c, Q3

Les données sont-elles stockées au Canada?

Directives :

Ce critère porte sur la transmission d’information. Cela signifie que cette information peut être communiquée aux utilisateurs finaux pour leur permettre de décider s’ils souhaitent télécharger une application qui ne stocke pas leurs données au Canada.

CSMC

2c, Q4

La politique de confidentialité des données (ou l’équivalent) indique-t-elle si les données personnelles sont stockées à l’aide de technologies de stockage de données sécurisées et reconnues par l’industrie?

ORCHA

2c, Q5

Les données permettant d’identifier une personne sont-elles chiffrées à l’aide de méthodes reconnues par l’industrie lorsqu’elles transitent entre l’instrument et tout stockage hôte externe?

ORCHA

2c, Q6

L’utilisateur est-il informé que les consultations vidéo en ligne utilisent des méthodes de chiffrement sécurisées conformes aux normes de l’industrie?

ORCHA

Les normes méritent des points supplémentaires si un développeur d’applications se conforme à des normes internationales de gestion des données telles que la norme ISO 27001. La politique de confidentialité doit informer l’utilisateur de la période de conservation des données et de la méthode de destruction des données. Les normes déterminent également si le développeur a mis en place une politique sur la marche à suivre en cas de manquement à la protection des données.

 

Critères

Origine du critère

2d, Q1

La politique énonce-t-elle sa conformité aux normes reconnues de gestion des données?

US DHAF

2d, Q2

La politique précise-t-elle la durée de conservation des données?

ORCHA

2d, Q3

Existe-t-il une déclaration décrivant une méthode de destruction des données?

ORCHA

2d, Q4

Existe-t-il une déclaration décrivant un processus d’intervention en cas de bris de confidentialité des données?

Directives :

La politique de confidentialité du développeur doit fournir des détails sur les actions que l’utilisateur doit entreprendre et sur les personnes à joindre en cas de violation.

ORCHA

2d, Q5

Existe-t-il une déclaration décrivant les procédures ou les processus mis en place par le développeur pour conserver une piste de vérification retraçant l’accès aux RPS?

US DHAF

La section qui suit est axée sur le General Data Protection Regulation (GDPR), qui est entré en vigueur en mai 2018 en remplacement de la Data Protection Act 1998 (loi de 1998 sur la protection des données). Les normes portent sur l’entière conformité au GDPR de toutes les applications, particulièrement celles qui sont développées au Royaume-Uni et dans l’Union européenne. Pour cela, une déclaration de conformité claire et explicite doit être fournie, de même que la confirmation que l’utilisateur jouit de ses sept droits de l’utilisateur. Ce cadre aborde le huitième droit de l’utilisateur – celui d’être informé – dans les questions relatives aux Normes en matière de protection des données et de la vie privée.

Le développeur doit également informer l’utilisateur de la manière dont il peut exercer ces droits et s’engager à répondre dans un délai de deux mois ou moins. En vertu du GDPR, la politique doit décrire la base juridique de la cueillette des données de l’utilisateur et garantir que seules les données minimales nécessaires sont recueillies auprès de l’utilisateur.

Des exigences et des droits de l’utilisateur similaires et supplémentaires sont observés en vertu de la LPRPDE et ont été élaborés de manière à adapter spécifiquement cette section aux normes de la CSMC en matière d’applications.

Les critères liés à cette section ne s’appliquent qu’aux applications qui recueillent et traitent des données personnelles ou sensibles et qui, par conséquent, sont assujetties à la LPRPDE ou à d’autres lois provinciales et territoriales sur la protection de la vie privée qui sont considérées comme très similaires à la LPRPDE.

 

Critères

Origine du critère

2e, Q1

Existe-t-il une déclaration attestant la conformité de l’application aux lois et règlements fédéraux ou provinciaux dans la région où elle s’applique?

CSMC

2e, Q2

L’utilisateur est-il informé de la base juridique pour laquelle les données sont recueillies auprès de lui?

ORCHA

2e, Q3

Quelle est la base juridique?

CSMC

2e, Q4

L’utilisateur est-il informé que le développeur ne recueillera que le minimum de données nécessaire à la prestation de ses services, garantissant ainsi le respect des principes de minimisation des données?

ORCHA

2e, Q5

La politique décrit-elle les processus mis en place par le développeur pour s’assurer que les renseignements sont exacts, complets et à jour?

CSMC

2e, Q6

Les données de l’utilisateur sont-elles toutes traitées au Canada?

CSMC

2e, Q7

L’utilisateur est-il informé des transferts internationaux?

CSMC

2e, Q8

L’utilisateur est-il informé que, lors du traitement de ses données dans un autre pays, les tribunaux, les forces de l’ordre et les autorités chargées de la sécurité nationale de ce pays peuvent y accéder?

CSMC

2e, Q9

Existe-t-il une déclaration selon laquelle la politique sera mise à jour si les fins de la cueillette de données venaient à changer? Cela peut signifier que le consentement serait à nouveau demandé (si ce dernier constituait la base juridique).

ORCHA

2e, Q10

L’utilisateur est-il informé de ses droits concernant ses données? 

ORCHA

2e, Q11

Le développeur a-t-il clairement indiqué l’existence du droit de la personne concernée à demander la suppression de ses données personnelles?

ORCHA

2e, Q12

Le développeur a-t-il clairement indiqué l’existence du droit de la personne concernée à accéder à ses données personnelles?

ORCHA

2e, Q13

Le développeur a-t-il clairement indiqué l’existence du droit de la personne concernée à inspecter ses données personnelles?

US DHAF

2e, Q14

L’utilisateur est-il informé de son droit à savoir comment ses RPS sont utilisés ou partagés?

US DHAF

2e, Q15

Le développeur a-t-il clairement indiqué l’existence du droit de la personne concernée à corriger ses données personnelles?

ORCHA

2e, Q16

Le développeur a-t-il clairement indiqué l’existence du droit de la personne concernée à restreindre l’utilisation de ses données personnelles?

ORCHA

2e, Q17

Le développeur a-t-il clairement indiqué l’existence du droit de la personne concernée à s’opposer au traitement de ses données personnelles?

ORCHA

2e, Q18

Le développeur a-t-il clairement indiqué l’existence du droit de la personne concernée à la portabilité de ses données personnelles?

ORCHA

2e, Q19

Le développeur a-t-il clairement indiqué l’existence du droit de la personne concernée à retirer son consentement pour l’utilisation de ses données personnelles?

ORCHA

2e, Q20

Le développeur a-t-il informé la personne concernée qu’elle peut exercer ses droits en vertu des lois et règlements applicables?

US DHAF/CSMC

2e, Q21

Le développeur a-t-il renseigné l’utilisateur au sujet du processus d’exercice desdits droits?

CSMC

2e, Q22

Le développeur a-t-il clairement indiqué l’existence du droit de l’utilisateur de demander de ne pas faire l’objet d’une décision fondée uniquement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques ou des effets significatifs comparables à son égard?

ORCHA

2e, Q23

L’utilisateur est-il informé de son droit à contester la conformité de l’organisme aux principes de traitement équitable de l’information prévus par la LPRPDE?

CSMC

2e, Q24

Le développeur fournit-il ses coordonnées afin que l’utilisateur puisse communiquer avec lui pour exercer ses droits?

ORCHA

2e, Q25

L’utilisateur est-il informé du délai à l’intérieur duquel le développeur répondra à toute demande d’exercice de ses droits?

ORCHA

2e, Q26

L’utilisateur est-il informé de tous les frais qui pourraient être engagés pour l’exercice de ses droits d’accès à ses renseignements personnels (RP)?

US DHAF

2e, Q27

L’utilisateur est-il informé de son droit de faire réviser un refus d’accès?

US DHAF



La sous-section qui suit concerne l’utilisation des données relatives aux enfants (le cas échéant) et vise à déterminer si un utilisateur peut signaler qu’il sait qu’un enfant accède aux applications sans le consentement de ses parents. Selon le Commissariat à la protection de la vie privée du Canada, les personnes de moins de 13 ans sont considérées comme des enfants; celles de 13 à 18 ans, comme des jeunes; et celles de 19 ans ou plus, comme des adultes. Les jeunes étant considérés comme assez vieux pour prendre leurs propres décisions concernant leurs données, les critères supplémentaires entourant le traitement des données relatives aux enfants ne s’appliquent qu’aux moins de 13 ans. La transparence de la politique de confidentialité devrait aller jusqu’à informer l’utilisateur que tout lien vers des sites Web ou des applications de tiers n’est pas couvert par la politique de confidentialité du développeur, et que l’utilisateur doit prendre connaissance des politiques de ces tiers. En outre, la politique de protection de la vie privée doit fournir des coordonnées permettant à l’utilisateur d’obtenir de plus amples renseignements sur ses données. Les normes cherchent également à déterminer si l’application propose à l’utilisateur un niveau de sécurité supplémentaire et facultatif pour protéger ses données.

 

Critères

Origine du critère

2f, Q1

L’utilisateur est-il clairement informé de l’utilisation de témoins lors de sa première visite sur le site ou l’application du développeur?

ORCHA

2f, Q2

Lorsqu’il est informé de l’utilisation de témoins par le développeur, l’utilisateur doit-il confirmer son acceptation d’une telle utilisation?

ORCHA

2f, Q3

Le développeur aborde-t-il l’utilisation des témoins et des données recueillies dans sa politique de confidentialité ou dans une politique de gestion des témoins distincte?

US DHAF

2f, Q4

L’utilisateur est-il informé de l’utilisation des témoins strictement nécessaires?

ORCHA

2f, Q5

Le consentement de l’utilisateur est-il obtenu pour l’utilisation de témoins qui ne sont pas strictement nécessaires?

ORCHA

2f, Q6

L’application enregistre-t-elle les préférences de l’utilisateur en matière de témoins?

CSMC

2f, Q7

L’utilisateur est-il renseigné sur la manière facile de refuser l’utilisation de témoins?

ORCHA

2f, Q8

Le produit est-il destiné aux enfants ou susceptible d’être utilisé par eux?

CSMC

2f, Q9

L’application est-elle particulièrement susceptible d’être utilisée par des enfants, même s’ils ne constituent pas le marché primaire du produit?

ORCHA

2f, Q10

Si le produit est destiné à être utilisé par des enfants, à quelle tranche d’âge s’adresse-t-il?

CSMC

2f, Q11

L’utilisateur est-il informé de la manière dont il peut signaler au développeur qu’il sait qu’un enfant accède à l’application et fournit des données personnelles sans le consentement de ses parents?

ORCHA

2f, Q12

Un processus a-t-il été conçu et mis en place pour permettre aux enfants d’accéder facilement à leurs droits en matière de protection des données, de les comprendre et de les exercer?

ORCHA

2f, Q13

Dans les cas où la base juridique du traitement des données était le consentement au moment où la personne était un enfant, les demandes de suppression des données sont-elles satisfaites dans la mesure du possible?

ORCHA

2f, Q14

Des enfants ont-ils été consultés lors de l’élaboration de cette pratique de traitement?

ORCHA

2f, Q15

La politique de confidentialité a-t-elle été rédigée dans un langage clair et adapté à l’âge des utilisateurs?

CSMC

2f, Q16

Le consentement d’un parent ou d’un tuteur responsable est-il demandé?

ORCHA

2f, Q17

La politique précise-t-elle que le développeur obtiendra à nouveau le consentement des parents si les renseignements recueillis changent substantiellement, si les fins pour lesquelles les renseignements sont traités changent ou si les renseignements sont offerts à des tiers nouveaux ou différents?

US DHAF

2f, Q18

Le développeur veille-t-il à ce que les parents puissent consentir séparément à l’utilisation interne des renseignements personnels de l’enfant sans consentir aussi à leur divulgation à des tiers?

US DHAF

2f, Q19

Les parents ont-ils la possibilité d’examiner les renseignements personnels recueillis auprès de leurs enfants?

US DHAF

2f, Q20

Le développeur dispose-t-il d’un processus pour vérifier l’identité du demandeur avant de répondre à une demande?

US DHAF

2f, Q21

Les parents ont-ils la possibilité de révoquer leur consentement à la cueillette et au traitement des renseignements personnels de leurs enfants?

US DHAF

2f, Q22

Les parents ont-ils la possibilité de demander que les renseignements recueillis auprès de leurs enfants soient supprimés?

US DHAF

2f, Q23

Le développeur s’assure-t-il de ne pas demander le consentement des parents ou des tuteurs lorsqu’il fournit des services de prévention ou de consultation en ligne aux enfants?

ORCHA

2f, Q24

Existe-t-il deux versions distinctes des politiques de confidentialité, l’une destinée à l’enfant et l’autre au parent ou au tuteur responsable?

ORCHA

2f, Q25

Lors de la commercialisation du produit en dehors de son pays de résidence, le développeur a-t-il pris en compte les lois des autres pays concernant la vie privée des enfants (par exemple, les limites d’âge)?

ORCHA

2f, Q26

La politique précise-t-elle les types de données personnelles qui seront recueillies auprès des enfants?

US DHAF

2f, Q27

La politique précise-t-elle comment le développeur utilisera les données personnelles recueillies auprès des enfants?

US DHAF

2f, Q28

La politique précise-t-elle si ces données personnelles seront partagées avec des annonceurs ou d’autres tiers?

US DHAF

2f, Q29

L’utilisateur est-il informé qu’en suivant des liens vers des sites Web tiers, les politiques du développeur ne s’appliquent plus et que l’utilisateur doit prendre connaissance des politiques du tiers?

ORCHA

2f, Q30

L’utilisateur est-il informé de la manière dont il peut obtenir de plus amples renseignements sur la politique de confidentialité de l’entreprise?

ORCHA

2f, Q31

L’application permet-elle à l’utilisateur de définir ses préférences en matière de partage des données de l’application avec ou depuis d’autres applications (par exemple, Facebook, Instagram, Fitbit)?

ORCHA

2f, Q32

L’application comporte-t-elle une fonction permettant à l’utilisateur de définir ses préférences quant au partage des données de l’application avec d’autres utilisateurs (par exemple, les cliniciens, les soignants, la famille, les amis)?

ORCHA

2f, Q33

Est-il strictement nécessaire que quelqu’un puisse accéder facilement aux renseignements personnels qui persistent sur l’appareil (par exemple, pour accéder à des renseignements sur la santé en cas d’urgence)?

ORCHA

2f, Q34

L’utilisateur a-t-il la possibilité d’ajouter des mesures de sécurité supplémentaires pour protéger ses données sur l’application (par exemple, définir des codes d’accès supplémentaires pour accéder à l’application après avoir déverrouillé l’appareil)?

ORCHA

2f, Q35

L’application utilise-t-elle un système de vérification/d’authentification à l’inscription ou à l’enregistrement?

ORCHA

2f, Q36

Quel type de modèle est utilisé? (Veuillez le décrire.)

ORCHA

2f, Q37

Est-ce que l’une des interfaces truquées suivantes apparaît dans l’application? (Veuillez sélectionner celles qui y apparaissent.)

CSMC