Politique de confidentialité

SafeSpace — Application mobile de soutien par les pairs en santé mentale

Dernière mise à jour: 19/03/2026

Application traitant des données de santé mentale -- niveau de sensibilité élevé

Cette politique s'applique à une application traitant des renseignements personnels sensibles à caractère psychologique et émotionnel. Des mesures de protection renforcées s'appliquent en tout temps, conformément à la Loi 25 et aux meilleures pratiques en matière de protection de la vie privée.

SafeSpace ne remplace pas un service professionnel de santé mentale

SafeSpace est un outil de soutien communautaire par les pairs.

Composez le 911 pour toute urgence médicale ou de sécurité immédiate.

  • Ligne québécoise de crise suicidaire : 1 866 APPELLE (277-3553), 24h/24, 7j/7.
  • Crise Montréal : 514 934-4433.
  • Tel-jeunes (moins de 21 ans) : 1 800 263-2266.
  • Ligne nationale canadienne de prévention du suicide : 1 833 456-4566, 24h/24, 7j/7.

1. Objet et champ d'application

La présente politique décrit comment Application SafeSpace (9528-5896 Québec inc.) (ci-après « SafeSpace » ou « nous ») collecte, utilise, communique, conserve et protège les renseignements personnels dans le cadre de l'exploitation de l'application mobile SafeSpace, conformément à :

  • La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25, L.R.Q., c. P-39.1) ;
  • La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE, L.C. 2000, ch. 5) ;
  • Les lignes directrices de la Commission d'accès à l'information du Québec (CAI).

SafeSpace est une application mobile canadienne, constituée au Québec, dédiée à la création de groupes restreints de soutien par les pairs en santé mentale et bien-être global. Elle est accessible aux résidents du Canada âgés de 16 ans et plus. En raison de la nature hautement sensible des renseignements traités, nous appliquons les plus hauts standards de protection de la vie privée. La Loi 25 et le droit québécois constituent le cadre de référence principal ; la LPRPDE s'applique subsidiairement aux résidents des autres provinces canadiennes.

Principe de confidentialité dès la conception (Privacy by Design — art. 91 Loi 25)

SafeSpace intègre la protection de la vie privée dès la conception de ses fonctionnalités, et non comme mesure corrective après coup. Chaque nouvelle fonctionnalité fait l'objet d'une évaluation des facteurs relatifs à la vie privée (EFVP) avant son déploiement.

2. Responsable de la protection des renseignements personnels

Conformément à l'article 3.1 de la Loi 25, SafeSpace désigne un responsable de la protection des renseignements personnels :

Nom
Mathis Grenier
Fonction
Président
Courriel dédié
privacy@appsafespace.com
Courriel général
admin@appsafespace.com

Cette personne est responsable de :

  • Veiller au respect de la Loi 25 et des présentes politiques ;
  • Traiter les demandes d'accès, de rectification et de suppression ;
  • Gérer les incidents de confidentialité et tenir le registre requis ;
  • Superviser les évaluations des facteurs relatifs à la vie privée (EFVP) ;
  • Assurer la sensibilisation interne du personnel (art. 3.1 Loi 25).

Délai de réponse aux demandes

SafeSpace s'engage à répondre à toute demande relative à l'exercice de vos droits dans un délai maximum de 30 jours civils suivant sa réception, conformément à la Loi 25.

3. Âge minimal, consentement et protection des mineurs

SafeSpace est accessible aux personnes âgées de 16 ans et plus. Aucune personne de moins de 16 ans ne peut s'inscrire sur la plateforme.

3.1 Mécanisme de vérification de l'âge

Lors de l'inscription, les mesures suivantes sont appliquées :

  • Confirmation obligatoire de la date de naissance ;
  • Blocage technique automatique des inscriptions pour les personnes de moins de 16 ans ;
  • Suppression immédiate du compte si une fausse déclaration d'âge est découverte.

3.2 Mesures renforcées pour les 16 et 17 ans

En raison de la nature sensible des données traitées, les utilisateurs de 16 et 17 ans sont soumis aux mesures additionnelles suivantes :

  • Confirmation explicite de leur âge à l'inscription ;
  • Recommandation forte d'informer un parent ou un adulte responsable ;
  • Rappels périodiques dans l'application recommandant la consultation d'un professionnel en cas de détresse.

3.3 Intervention en cas de risque imminent

En cas de risque sérieux ou imminent pour la sécurité d'un utilisateur, mineur ou majeur, SafeSpace peut :

  • Contacter les services d'urgence compétents ;
  • Transmettre les renseignements minimaux nécessaires aux autorités, conformément à la loi ;
  • Suspendre ou restreindre temporairement l'accès au compte concerné.

Ces interventions sont documentées dans notre registre interne et font l'objet d'un suivi par le responsable de la protection des renseignements personnels.

3.4 Procédure de retrait du consentement pour les mineurs

Un utilisateur mineur (16 ou 17 ans) peut retirer son consentement en tout temps via :

  • Le paramètre « Supprimer mon compte » dans l'application ;
  • Une demande écrite adressée à privacy@appsafespace.com.

Suite au retrait, toutes les données sont effacées dans un délai de 15 jours ouvrables, à l'exception des journaux de sécurité conservés conformément aux obligations légales.

4. Collecte de renseignements personnels

SafeSpace applique le principe de minimisation des données : seuls les renseignements strictement nécessaires à chaque finalité sont collectés.

Nous recueillons des renseignements dans les contextes suivants :

  • Lors de la création et de la gestion de votre compte ;
  • Lorsque vous utilisez les fonctionnalités de l'application ;
  • Lors de vos communications avec notre équipe de soutien ;
  • Automatiquement lors de l'utilisation technique de l'application.

4.1 Données d'inscription

Lors de l'inscription, nous collectons uniquement les données suivantes :

  • Adresse courriel: requise (pour l'authentification et les communications essentielles);
  • Nom d'utilisateur: pseudonyme autorisé et encouragé (requis);
  • Mot de passe: chiffré, jamais accessible en clair;
  • Date de naissance: requise uniquement pour la vérification de l'âge;
  • Photo de profil: strictement facultative.

4.2 Contenus partagés volontairement

En utilisant SafeSpace, vous partagez volontairement des données sensibles. Ces données ne sont jamais exigées et vous conservez le contrôle total sur leur contenu et leur suppression :

  • Publications et commentaires dans les SafeSpaces (groupes de soutien);
  • Messages privés via la fonctionnalité Reach Out;
  • Contenu du Journal personnel : visible uniquement par vous;
  • Émotions sélectionnées via la roue des émotions;
  • Description personnelle, objectifs ou habitudes de bien-être.

Contrôle de vos données sensibles

Vous pouvez supprimer individuellement toute publication, tout commentaire ou tout contenu de journal à tout moment. La suppression est effective dans un délai raisonnable sur nos serveurs actifs, et au plus tard dans les 30 jours civils, conformément à notre tableau de conservation (section 9).

4.3 Données collectées automatiquement

Des données techniques minimales sont collectées automatiquement pour assurer la sécurité et la stabilité du service :

  • Type d'appareil et version du système d'exploitation;
  • Adresse IP approximative (non précise, utilisée pour la sécurité uniquement);
  • Journaux d'erreurs techniques (crash logs : anonymisés);
  • Statistiques d'utilisation agrégées et anonymisées.

Ces données ne sont jamais utilisées pour vous identifier, vous profiler ou vous cibler à des fins commerciales. Aucun profilage publicitaire n'est effectué sur SafeSpace.

5. Renseignements personnels sensibles et consentement granulaire

SafeSpace traite des renseignements personnels sensibles au sens de la Loi 25, pouvant révéler :

  • L'état émotionnel et le bien-être psychologique ;
  • Des difficultés de santé mentale, des vulnérabilités ou des crises personnelles ;
  • Des expériences traumatiques ou des situations de vie difficiles ;
  • Des informations sur l'identité de genre et l'orientation affective.

5.1 Niveaux de consentement

SafeSpace applique un système de consentement granulaire. Vous pouvez accepter ou refuser indépendamment chaque catégorie de traitement :

  • Niveau 1 — Fonctionnement essentiel (non optionnel) : données minimales requises pour la création du compte et la sécurité de la plateforme.
  • Niveau 2 — Participation communautaire (optionnel) : publications dans les SafeSpaces, commentaires, messages privés. Vous pouvez participer en lecture seule sans partager de contenu.
  • Niveau 3 — Outils de bien-être personnel (optionnel) : Journal, roue des émotions, objectifs. Ces données restent privées et ne sont jamais partagées avec d'autres utilisateurs.
  • Niveau 4 — Amélioration du service (optionnel) : statistiques d'utilisation agrégées et anonymisées pour améliorer les fonctionnalités.

Vous pouvez modifier vos préférences de consentement à tout moment dans les paramètres de votre compte, sous la section « Confidentialité ».

5.2 Traitement des données sensibles

Les renseignements personnels sensibles font l’objet des protections suivantes :

  • Chiffrement renforcé au repos et en transit ;
  • Accès restreint. Seules les personnes strictement habilitées y accèdent ;
  • Séparation logique entre les données sensibles et les données d'identification ;
  • Pseudonymisation automatique pour les analyses internes ;
  • Aucune utilisation à des fins publicitaires, commerciales ou de recherche sans consentement explicite supplémentaire.

6. Finalités et bases légales du traitement

Chaque traitement de données repose sur une finalité explicite et une base légale définie :

  • Fourniture du service : création et gestion de compte, gestion des SafeSpaces, messagerie, notifications. Base légale : exécution du contrat de service (conditions d’utilisation).
  • Sécurité et protection des utilisateurs : modération, prévention du harcèlement, traitement des signalements, intervention en cas de risque sérieux. Base légale : intérêt légitime et prévention de préjudice.
  • Amélioration du service : analyse d'utilisation agrégée et anonymisée, correction de bogues. Base légale : consentement.
  • Obligations légales : conservation des journaux d'incidents, coopération avec les autorités. Base légale : obligation légale.

SafeSpace ne procède à aucun traitement secondaire incompatible avec les finalités initiales pour lesquelles les données ont été collectées.

7. Infrastructure technologique, sécurité et privacy by design

7.1 Mesures de sécurité techniques

SafeSpace utilise Convex comme infrastructure principale de backend en temps réel. Les mesures de sécurité déployées comprennent :

  • Chiffrement des données en transit : TLS 1.3 minimum (HTTPS obligatoire) ;
  • Chiffrement des données au repos : AES-256 ;
  • Authentification sécurisée des utilisateurs, avec des mesures additionnelles selon les fonctionnalités disponibles ;
  • Gestion des permissions basée sur les rôles (RBAC : Role-Based Access Control) ;
  • Séparation des environnements de développement, test et production ;
  • Sauvegardes chiffrées régulières avec rétention limitée ;
  • Journaux d'accès conservés 90 jours à des fins de sécurité.

7.2 Évaluation des risques et audits

SafeSpace s'engage à maintenir un programme de sécurité proactif :

  • Évaluation des facteurs relatifs à la vie privée (EFVP) avant tout nouveau traitement ou fonctionnalité impliquant des données sensibles, conformément à l'art. 3.3 de la Loi 25 ;
  • Révision annuelle des mesures de sécurité ;
  • Tests de vulnérabilité périodiques de l'infrastructure ;
  • Révision des accès des membres du personnel et des partenaires à fréquence annuelle.

7.3 Transfert de données à l'extérieur du Canada

Certains fournisseurs technologiques peuvent être situés à l'extérieur du Canada. Avant tout transfert, SafeSpace s'assure que :

  • Une EFVP est réalisée conformément à l'art. 17 de la Loi 25 ;
  • Des protections contractuelles équivalentes à celles de la Loi 25 sont en place ;
  • Le niveau de protection du pays destinataire est jugé adéquat ou suppléé par des clauses contractuelles types.

7.4 Gestion des incidents de confidentialité

SafeSpace dispose d'une procédure formelle de gestion des incidents :

  • Un registre interne des incidents est maintenu et conservé pendant cinq (5) ans (art. 3.5 Loi 25) ;
  • Tout incident présentant un risque sérieux de préjudice est signalé à la CAI sans délai raisonnable, conformément à l'art. 3.5 de la Loi 25 ;
  • Les personnes dont les renseignements sont concernés sont avisées sans délai raisonnable, conformément à la Loi 25 ;
  • Un bilan post-incident est réalisé pour prévenir la récurrence.

Signalement d'un incident par les utilisateurs

Si vous constatez une utilisation non autorisée de vos renseignements ou une atteinte à votre vie privée sur SafeSpace, signalez-le à privacy@appsafespace.com. Nous ferons notre possible pour accuser réception rapidement.

8. Communication et partage des renseignements

SafeSpace ne vend, ne loue et ne monnaie aucun renseignement personnel. Nous ne les communiquons à des tiers que dans les cas strictement limités suivants :

  • Avec votre consentement explicite : pour tout partage non prévu par la présente politique.
  • Fournisseurs de services essentiels : hébergement, infrastructure (Convex), sécurité, soumis à des obligations contractuelles strictes de confidentialité et de sécurité.
  • Obligation légale : lorsqu'une loi, une ordonnance judiciaire ou une autorité compétente l'exige.
  • Prévention d'un danger imminent : aux services d'urgence ou aux autorités compétentes en cas de risque sérieux et imminent pour la sécurité d'une personne.
  • Transaction corporative : en cas de fusion ou acquisition, les obligations de la présente politique suivent les données. SafeSpace s'engage à informer les utilisateurs concernés avant tout transfert de leurs renseignements à un acquéreur, dans la mesure permise par la loi applicable.

8.1 Accès interne et rôle des facilitateurs

L'accès aux renseignements personnels est limité aux membres de l'équipe dont les fonctions le nécessitent :

  • Équipe de modération : accès au contenu public et signalé uniquement, en cas de violation des règles ou de risque sérieux.
  • Facilitateurs des SafeSpaces : accès uniquement au contenu des SafeSpaces qu'ils encadrent, et non aux données du journal personnel, aux messages privés ni aux données de profil détaillées. Les facilitateurs sont soumis à une entente de confidentialité formelle.
  • Équipe technique : accès aux logs techniques anonymisés pour la maintenance et la sécurité, sans accès au contenu des échanges.
  • Direction : pour les obligations légales, administratives et réglementaires uniquement.

Tous les membres ayant accès à des renseignements personnels reçoivent une sensibilisation aux principes de confidentialité, conformément à l'art. 3.1 de la Loi 25, et signent une entente de confidentialité.

9. Conservation et destruction des renseignements

SafeSpace applique des durées de conservation précises pour chaque catégorie de données, en accord avec le principe de minimisation. Les durées sont les suivantes :

Catégorie de donnéesDurée de conservationMéthode de destruction
Données d'inscription (courriel, pseudonyme, date de naissance)Durée du compte actif + 12 moisEffacement sécurisé
Données de profil (genre, photo)Durée du compte actifEffacement immédiat sur demande
Publications, commentaires dans les SafeSpacesDurée du compte actifEffacement sous 30 jours
Messages privés (Reach Out)24 mois après le dernier messageEffacement sécurisé
Journal personnelDurée du compte actifEffacement immédiat sur demande
Émotions et données de bien-être12 mois glissantsAnonymisation ou effacement
Données techniques (logs, IP)90 joursPurge automatique
Journaux de sécurité (incidents)5 ans (obligation légale)Archivage sécurisé
Données relatives aux mineursDurée du compte actif + 6 moisEffacement prioritaire

Délai de suppression après fermeture du compte : Les données personnelles sont effacées des serveurs actifs dans un délai maximum de 30 jours civils suivant la suppression du compte. Certains contenus déjà reçus par d'autres utilisateurs peuvent demeurer visibles dans leur historique ; ces utilisateurs peuvent les supprimer de leur côté.

Les renseignements sont détruits de manière sécuritaire selon la catégorie :

  • Données numériques : effacement sécurisé selon les meilleures pratiques reconnues en matière de destruction de données ;
  • Données en sauvegarde : purge lors du prochain cycle de rotation des sauvegardes (maximum 90 jours supplémentaires) ;
  • Journaux légaux : archivage chiffré avec contrôle d'accès strict.

10. Droits des personnes concernées

Conformément à la Loi 25, vous bénéficiez des droits suivants, avec les délais de réponse garantis :

DroitDescriptionDélai de réponse
AccèsObtenir une copie de tous vos renseignements détenus par SafeSpace30 jours
RectificationCorriger des renseignements inexacts ou incomplets30 jours
SuppressionEffacement de vos données, sous réserve d'obligations légales30 jours
Retrait du consentementCesser tout traitement non essentiel, sans effet rétroactifImmédiat
PortabilitéRecevoir vos données dans un format technologique structuré et couramment utilisé (ex. : JSON ou CSV), conformément à l'art. 27 de la Loi 2530 jours
OppositionS'opposer à certains traitements (ex. analyse agrégée)30 jours

10.1 Comment exercer vos droits

Pour exercer vos droits, vous disposez de deux canaux :

  • Directement dans l'application : Paramètres; Confidentialité;Gérer mes données (pour la suppression, rectification et export).
  • Par courriel : privacy@appsafespace.com en précisant votre nom d'utilisateur, le droit exercé et, le cas échéant, les données visées.

Nous pouvons vous demander de confirmer votre identité avant de traiter votre demande, afin de protéger vos renseignements contre tout accès non autorisé.

10.2 Recours auprès de la CAI

Si vous estimez que vos droits n'ont pas été respectés, vous pouvez déposer une plainte auprès de la Commission d'accès à l'information du Québec (CAI) : www.cai.gouv.qc.ca

11. Suppression du compte

Vous pouvez supprimer votre compte à tout moment via Paramètres → Compte → Supprimer mon compte. Avant la suppression définitive, vous avez la possibilité de :

  • Télécharger une copie de vos données (export) ;
  • Supprimer individuellement vos publications, commentaires et messages privés ;
  • Désactiver temporairement votre compte sans suppression des données.

La suppression est définitive et irréversible. Suite à la confirmation, le compte est désactivé immédiatement et les données sont effacées dans un délai de 30 jours civils, conformément au tableau de la section 9.

12. Pseudonymisation et participation anonyme

SafeSpace encourage et supporte la participation pseudonyme :

  • L'utilisation d'un pseudonyme est autorisée et encouragée pour protéger votre identité réelle ;
  • Votre adresse courriel n'est jamais visible par les autres utilisateurs ;
  • Les données analytiques internes sont systématiquement pseudonymisées ou anonymisées avant traitement ;
  • Aucun lien n'est établi entre votre pseudonyme et votre identité réelle dans les rapports internes.

La pseudonymisation ne vous dispense pas de vos obligations envers la communauté (règles de conduite). En cas de violation grave, SafeSpace peut être tenu de divulguer des informations d'identification aux autorités compétentes.

13. Limitation de responsabilité

SafeSpace est un outil de soutien communautaire par les pairs. Il ne constitue pas un service de santé mentale professionnel, une ligne de crise ou un service d'urgence. SafeSpace n'est pas responsable :

  • Des conseils, opinions ou informations partagés par d'autres utilisateurs ;
  • Des décisions personnelles prises à la suite d'échanges sur la plateforme ;
  • Des interactions ou rencontres organisées entre utilisateurs en dehors de l'application ;
  • Des contenus publiés par des tiers avant modération.

14. Modifications de la politique

Nous pourrions mettre à jour périodiquement la présente politique. En cas de modification importante notamment touchant la nature des données collectées, leurs finalités ou les droits des utilisateurs :

  • Une notification en application sera envoyée à tous les utilisateurs actifs ;
  • La date de dernière mise à jour sera actualisée en haut du document ;
  • Pour les modifications substantielles impliquant des données sensibles, un nouveau consentement explicite sera demandé avant la poursuite de l'utilisation.

L'utilisation continue de l'application après la période de notification (minimum 30 jours) implique l'acceptation de la politique révisée pour les modifications non substantielles.

15. Contact

Pour toute question relative à la présente politique, à vos renseignements personnels ou pour exercer vos droits :

Responsable de la protection des renseignements personnels
privacy@appsafespace.com
Administration
admin@appsafespace.com
Adresse postale
6595 rue St-Urbain. Montréal QC H2S 3G6, Canada

Application SafeSpace (9528-5896 Québec inc.), Québec, Canada

16. Glossaire

Les termes suivants sont utilisés dans la présente politique :

Renseignement personnel
Toute information qui concerne une personne physique et permet de l’identifier directement ou indirectement (Loi 25, art. 2).
Renseignement personnel sensible
Renseignement dont la divulgation est susceptible de causer un préjudice sérieux à la personne concernée, notamment des informations relatives à la santé, la vie privée, l'état psychologique ou émotionnel.
Consentement
Manifestation de volonté libre, éclairée et spécifique par laquelle une personne accepte le traitement de ses renseignements personnels pour une finalité déterminée (Loi 25, art. 12).
Évaluation des facteurs relatifs à la vie privée (EFVP)
Analyse obligatoire menée avant tout nouveau traitement de données sensibles, visant à identifier et réduire les risques d'atteinte à la vie privée (Loi 25, art. 3.3).
Pseudonymisation
Traitement qui remplace les identifiants directs (nom, courriel) par un identifiant artificiel, de sorte que les données ne peuvent plus être attribuées à une personne sans information supplémentaire contrôlée séparément.
Anonymisation
Traitement irréversible rendant impossible toute identification de la personne, y compris par recoupement. Les données anonymisées ne sont plus des renseignements personnels au sens de la Loi 25.
Incident de confidentialité
Accès, utilisation, communication, modification ou destruction non autorisé de renseignements personnels, ou perte de contrôle sur ceux-ci (Loi 25, art. 3.5).
Confidentialité dès la conception (Privacy by Design)
Principe selon lequel la protection de la vie privée est intégrée dans la conception même des systèmes et des pratiques, et non ajoutée après coup (Loi 25, art. 91).
Portabilité
Droit pour une personne de recevoir ses renseignements personnels dans un format technologique structuré et couramment utilisé, afin de pouvoir les transmettre à un autre responsable du traitement (Loi 25, art. 27).
RBAC (contrôle d’accès basé sur les rôles)
Mécanisme de sécurité informatique limitant l'accès aux systèmes et aux données en fonction du rôle et des responsabilités de chaque membre du personnel.

17. Entrée en vigueur

La présente politique est en vigueur depuis le 19/03/2026 et remplace toute version antérieure.

Télécharger