Sécurité, conformité et gouvernance

AuraScribe est conçu dès la base (privacy-by-design) pour satisfaire aux obligations de la Loi 25 du Québec (ancienne Loi 64 / PL 64), PIPEDA/LPRPDE et aux règlements du Collège des médecins du Québec.

Toutes les données de santé sont hébergées exclusivement dans des centres de données canadiens (Montréal). Aucun traitement n'est effectué sur des serveurs étrangers. Les modèles d'IA (Deepgram, Vertex AI) sont utilisés via des accords de traitement de données conformes qui garantissent la résidence canadienne des données cliniques.

Le chiffrement AES-256 est appliqué à toutes les données au repos. Le transit est sécurisé par TLS 1.3 minimum. Les clés de chiffrement sont rotées mensuellement et gérées dans un HSM (Hardware Security Module) certifié FIPS 140-2 Level 3.

Chaque action dans AuraScribe génère une entrée de journal d'audit immuable : qui a accédé à quoi, quand, depuis quel appareil. Ces journaux sont conservés 7 ans et peuvent être exportés pour les audits réglementaires. Le modèle de responsabilité partagée est documenté dans notre Annexe de traitement des données (DPA).

En cas d'incident de confidentialité, AuraScribe déclenche automatiquement le protocole de notification : enquête dans les 24 h, communication à la Commission d'accès à l'information du Québec (CAI) dans les 72 h si l'incident présente un risque sérieux, et notification aux personnes concernées si requis.