Politique de confidentialité

1. À propos de cette politique

Exora est une plateforme de données de santé personnelle qui vous aide à organiser vos dossiers médicaux grâce à l’intelligence artificielle. Vous téléchargez vos documents médicaux et notre IA extrait et structure les informations de santé pour votre usage personnel.

Cette politique de confidentialité explique comment Exora Health Pty Ltd (“Exora”, “nous”, “notre”) collecte, utilise, stocke et protège vos informations personnelles lorsque vous visitez notre site web marketing (exora.au) ou utilisez la plateforme Exora (notre application mobile et application web à app.exora.au).

exora est construit selon la loi australienne sur la protection de la vie privée (Privacy Act 1988) et les 13 principes australiens de protection de la vie privée (APPs). Les informations de santé sont classées comme informations sensibles en vertu de la loi, et nous les traitons avec un soin supplémentaire.

Exora n’est pas un dispositif médical, un prestataire de soins de santé ni un système d’aide à la décision clinique. Les informations fournies par Exora, y compris les résumés générés par l’IA et les dossiers médicaux structurés, sont destinées à votre référence personnelle uniquement et ne constituent pas un avis médical, un diagnostic ou un traitement. Consultez toujours un professionnel de santé qualifié pour les décisions médicales.

2. Ce que nous collectons

Informations de compte : Votre nom, adresse email ou numéro de téléphone, date de naissance et champs optionnels tels que le sexe biologique et l’identité de genre. Votre code PIN est stocké sous forme de hachage sécurisé uniquement - nous ne voyons ni ne stockons jamais le code PIN brut. Si vous vérifiez votre identité via ConnectID, nous recevons votre nom légal vérifié et votre date de naissance de votre banque.

Informations de santé : Les documents médicaux que vous téléchargez (PDF, images, numérisations) et les données cliniques que notre IA en extrait, y compris les pathologies, médicaments, allergies, signes vitaux, résultats de laboratoire, interventions et vaccinations. Il s’agit d’informations sensibles au sens du Privacy Act et elles ne sont collectées qu’avec votre consentement explicite.

Données de chat : Les messages que vous envoyez à notre assistant de santé IA et les photos que vous partagez dans le chat pour analyse. Les photos partagées dans le chat sont stockées sur nos serveurs avec votre historique de chat et sont supprimées lorsque vous supprimez la session de chat ou votre compte.

Entrée vocale en texte (microphone du compositeur de chat) : Lorsque vous appuyez sur le microphone dans le compositeur de chat, votre clip vocal enregistré est transcrit en texte par le service de reconnaissance vocale de Google. L’audio est transcrit et immédiatement supprimé ; nous ne conservons pas les clips vocaux sur nos serveurs.

Conversations vocales IA (Fonctionnalités Beta) : Lorsque vous activez les conversations vocales IA dans Paramètres -> Fonctionnalités Beta et acceptez explicitement la boîte de dialogue de consentement lors de la première utilisation, vous pouvez tenir une conversation parlée avec notre assistant IA. Votre audio de microphone est diffusé en temps réel vers le service Gemini Live AI de Google pendant toute la durée de la conversation. Les fragments audio ne sont pas stockés en tant qu’audio ; seules les métadonnées structurées de la session et la transcription textuelle de la conversation sont conservées (voir Section 8). Voir Section 9 pour la description complète du fonctionnement.

Informations sur l’appareil : Un identifiant unique généré par l’application (pas un identifiant matériel), le nom de votre appareil, la plateforme (iOS ou Android), la version de l’application et le jeton de notification push si vous activez les notifications.

Informations de contact marketing : Si vous soumettez un formulaire sur notre site web (formulaire de contact, inscription “suivez-nous” du blog, demande d’historique familial, futures surfaces d’EOI), nous collectons votre adresse email, le formulaire soumis et des métadonnées de soumission limitées (URL de la page, paramètres UTM, pays et langue au moment de la soumission, adresse IP et le texte exact de consentement que vous avez vu). Ces données sont stockées dans notre base de données Supabase hébergée à Sydney (voir Section 6) et utilisées comme décrit dans la Section 4.

Ce que nous ne collectons pas : Données de localisation, contacts, historique de navigation, identifiants publicitaires, données biométriques (Face ID et Touch ID sont traités entièrement sur votre appareil) ou informations de paiement.

3. Comment nous le collectons

Directement de votre part : Lorsque vous créez un compte, configurez des profils, téléchargez des documents, envoyez des messages dans le chat, prenez des photos ou utilisez la saisie vocale.

Automatiquement depuis votre appareil : Les identifiants d’appareil, les informations de plateforme et les jetons de notification push sont collectés lorsque vous utilisez l’application.

À partir de vos documents via le traitement par IA : Lorsque vous téléchargez un document médical, notre IA le lit et extrait les informations de santé structurées. Ce traitement est initié par vous et sert l’objectif principal d’organiser vos données de santé.

Auprès des fournisseurs de vérification d’identité : Si vous choisissez de vérifier votre identité, ConnectID renvoie votre nom vérifié et votre date de naissance de votre banque. Cela ne se produit que lorsque vous initiez le processus.

À partir de sources externes de données de santé : À l’avenir, nous pourrons vous permettre de connecter Exora à des sources externes de données de santé telles que des dossiers de santé gouvernementaux ou des fournisseurs de pathologie. Si nous le faisons, vous initierez et autoriserez vous-même chaque connexion, et vous pourrez vous déconnecter à tout moment. Nous mettrons à jour cette politique avant de lancer une telle intégration.

4. Pourquoi nous l’utilisons

Nous collectons vos informations pour vous fournir une plateforme personnelle de données de santé propulsée par l’IA. Plus précisément :

• Fourniture du service : Stockage, organisation et affichage de vos dossiers médicaux ; traitement de vos documents par notre processus IA ; fonctionnement de l’assistant de santé IA
• Gestion du compte : Authentification, gestion des appareils, notifications push (avec votre autorisation)
• Partage : Vous permettre de partager vos données de santé avec les personnes et prestataires de santé de votre choix
• Vérification d’identité : Vérification de votre identité lorsque vous choisissez d’utiliser ConnectID
• Amélioration du service : Utilisation de données d’usage agrégées et désidentifiées pour améliorer la plateforme (nous n’utilisons pas les données de santé individuelles à cette fin)
• Communications marketing : Constituer une liste de personnes ayant soumis un formulaire exprimant leur intérêt pour Exora, afin de leur envoyer des codes d’invitation lorsqu’ils seront disponibles, des mises à jour produit et une newsletter occasionnelle. Chaque email marketing inclut un lien de désabonnement en un clic. Vous pouvez révoquer à tout moment sur exora.au/unsubscribe (utilisez le lien de tout email que nous vous avons envoyé) ou en écrivant à hello@exora.au.
• Conformité légale : Respect de nos obligations en vertu du droit australien

Ce pour quoi nous n’utilisons jamais vos données : Publicité, vente à des tiers, entraînement de modèles IA, exploration de données ou profilage commercial. Nous n’envoyons pas de messages marketing sauf si vous y consentez explicitement.

Lorsque vous téléchargez un document médical, vous consentez à son traitement par nos systèmes IA pour extraire, structurer et organiser vos données de santé. Nous envoyons également les communications de service nécessaires (codes d’authentification, alertes de sécurité, mises à jour de politique) par email ou SMS - ce ne sont pas des communications marketing.

5. Avec qui nous le partageons

Les personnes que vous choisissez : Vous contrôlez qui voit vos données de santé. Vous pouvez partager des dossiers spécifiques avec des membres de votre famille, des aidants ou des prestataires de santé via les fonctionnalités de partage d’Exora. Vous choisissez le niveau d’autorisation et pouvez révoquer l’accès à tout moment. Toutes les actions de partage sont journalisées.

Fournisseurs de services : Nous utilisons les fournisseurs suivants pour exploiter Exora :

• Supabase - base de données et stockage de fichiers (données hébergées à Sydney, Australie)
• Google Cloud Platform - infrastructure (calcul du worker, OCR, stockage à Sydney, Australie)
• Google Cloud Gemini Enterprise (Vertex AI) - inférence IA pour la compréhension de documents, le chat (texte), la génération de récits et la transcription voix-vers-texte. Routée via l’endpoint global de Google Cloud sous notre Cloud Data Processing Addendum signé, avec la mise en cache des données au niveau du projet désactivée et exclusion demandée du journal de revue d’abus. Les entrées et les sorties ne sont pas conservées par Google après la fin d’une requête.
• Google AI Studio (Gemini Live API) - inférence IA pour les conversations vocales IA en temps réel (Beta). C’est un produit Google différent de Gemini Enterprise mentionné ci-dessus. L’audio est diffusé vers l’infrastructure globale de Google (actuellement basée aux États-Unis pour le modèle que nous utilisons) ; le Cloud Data Processing Addendum qui couvre notre usage de Gemini Enterprise ne s’étend pas ici. Son utilisation est limitée par activation explicite par profil et consentement éclairé (voir Section 9). Nous évaluons la migration de ce flux vers Vertex AI Sydney une fois que Google y publiera la variante du modèle audio en direct ; cette politique sera mise à jour lorsque cela se produira.
• Anthropic (Claude) - traite le texte de vos documents et messages de chat
• OpenAI - traite le texte de vos documents et messages de chat
• Vercel - héberge notre site web marketing et nos routes API (couche de transit sans état pour les données de l’application ; les données de l’application sont stockées en Australie). Fournit également une analyse agrégée sans cookies pour le site web marketing (voir Section 12)
• ConnectID - vérification d’identité (Australie uniquement)
• Expo - routage de livraison des notifications push
• Resend - livraison d’emails pour les messages d’authentification et les emails marketing (reçoit uniquement votre adresse email ; ne reçoit jamais de données de santé)
• Twilio - livraison de SMS pour les messages d’authentification (reçoit uniquement votre numéro de téléphone)

Les fournisseurs de livraison d’authentification (Resend, Twilio) ne reçoivent que votre email ou numéro de téléphone pour la livraison des codes de connexion. Ils ne reçoivent pas de données de santé.

Qui ne peut pas accéder à vos données : Les autres utilisateurs d’Exora (sauf si vous partagez avec eux), les annonceurs, les courtiers en données, les compagnies d’assurance ou les employeurs. Nous pouvons divulguer vos informations personnelles si la loi ou une procédure judiciaire l’exige (comme une ordonnance du tribunal). Si nous recevons une demande légale concernant vos données, nous vous en informerons avant de les divulguer, sauf si la loi nous l’interdit.

6. Où vos données sont stockées et traitées

Stockées en Australie. Vos dossiers médicaux, documents et données de compte sont stockés à Sydney, en Australie, via Supabase (sur AWS ap-southeast-2) et Google Cloud Platform (australia-southeast1).

Le traitement par IA peut impliquer des services à l’étranger. Lorsque notre IA traite vos documents, vos messages de chat ou vos conversations vocales, le contenu est envoyé à des fournisseurs IA tiers. Notre fournisseur principal pour les documents et le chat IA est Google Cloud Gemini Enterprise. Pour les conversations vocales IA en temps réel (une fonctionnalité Beta limitée par votre consentement explicite), nous utilisons en plus l’API Gemini Live de Google AI Studio. Nous pouvons également utiliser Anthropic (API Claude) et OpenAI pour des fonctionnalités spécifiques. Ces entreprises ont leur siège aux États-Unis. Nous pouvons changer, ajouter ou supprimer des fournisseurs IA en fonction de la qualité, de la fiabilité et du coût. Conditions par fournisseur :

• Google Cloud Gemini Enterprise (notre fournisseur principal) : traité dans le cadre de notre Cloud Data Processing Addendum signé. La mise en cache des données côté serveur est explicitement désactivée au niveau du projet. Les entrées et les sorties ne sont pas conservées par Google après la fin d’une requête. Nous avons en outre demandé une exclusion du journal de revue de sécurité et d’abus de Google.
• Google AI Studio - Gemini Live API (conversations vocales uniquement) : L’audio en temps réel est diffusé depuis notre serveur proxy de Sydney vers l’endpoint global Gemini Live de Google, qui route actuellement vers une infrastructure basée aux États-Unis pour le modèle audio que nous utilisons. À ce jour, ce flux n’est pas couvert par notre Cloud Data Processing Addendum Gemini Enterprise. Selon les conditions d’AI Studio de Google pour le niveau gratuit, Google peut utiliser les invites et réponses soumises pour améliorer ses produits et services. Tant que la voix est en Beta interne (uniquement tests Wave 2), nous opérons en connaissance de cause sur le niveau gratuit. Avant qu’un utilisateur non Wave-2 ne reçoive l’accès à la voix, nous allons soit (a) migrer vers un niveau payant d’AI Studio ou un équivalent Vertex AI qui interdit contractuellement cette utilisation pour l’entraînement, soit (b) mettre à jour cette politique avec une divulgation claire de la position d’utilisation des données alors en vigueur. Vous pouvez désactiver la voix pour tout profil dans Paramètres -> Fonctionnalités Beta.
• OpenAI et Anthropic (lorsqu’utilisés) : traités dans le cadre de leurs conditions API commerciales ; les données ne sont pas utilisées pour l’entraînement de modèles IA ; les fournisseurs peuvent conserver les données API jusqu’à 30 jours pour la surveillance de la sécurité et la prévention des abus.
• Tous les fournisseurs : les données sont traitées et nous sont renvoyées ; non utilisées pour entraîner des modèles IA ; non stockées à long terme.

Nous nous appuyons sur des protections contractuelles signées (Cloud Data Processing Addendum avec Google ; conditions de service commerciales avec OpenAI et Anthropic) comme garantie au titre de l’APP 8 du Privacy Act. Si un fournisseur enfreint les APPs dans le traitement de vos données, Exora reste responsable en vertu de la section 16C du Privacy Act.

Nos routes API sont hébergées sur Vercel, qui peut traiter les requêtes via des serveurs dans plusieurs régions pendant le transit. Toutes les données sont stockées en Australie - Vercel agit comme une couche de transit sans état uniquement.

Tous les fournisseurs d’infrastructure maintiennent des journaux opérationnels standard (y compris les adresses IP et les métadonnées de requêtes) pour la surveillance de la sécurité et le débogage, sous réserve de leurs propres politiques de conservation.

7. Comment nous protégeons vos informations

Nous employons les mesures suivantes pour protéger vos informations :

• Chiffrement : Toutes les données sont chiffrées en transit (TLS) et au repos par nos fournisseurs d’infrastructure
• Contrôles d’accès : La sécurité au niveau des lignes sur toutes les tables cliniques de la base de données garantit que vous ne pouvez accéder qu’à vos propres données
• Stockage isolé par utilisateur : Les documents de chaque utilisateur sont stockés dans leur propre dossier
• Authentification : Connexion via des codes à usage unique envoyés à votre email ou téléphone - aucun mot de passe à compromettre
• Déverrouillage biométrique : Face ID et Touch ID sont traités sur votre appareil ; les données biométriques ne quittent jamais votre appareil
• Sécurité des sessions : Les jetons d’authentification sont renouvelés à chaque utilisation
• Journalisation d’audit : Tous les accès et modifications de données sont journalisés
• Certification de l’infrastructure : Notre fournisseur de base de données (Supabase) maintient la certification SOC 2 Type II

Aucun système n’est complètement sécurisé. Si nous subissons un jour une violation de données affectant vos informations personnelles, nous vous en informerons ainsi que le Bureau du Commissaire australien à l’information, conformément au régime de notification des violations de données (Notifiable Data Breaches scheme).

8. Combien de temps nous les conservons

Tant que votre compte est actif : Vos données de santé, documents et historique de chat sont conservés tant que votre compte existe. Vous pouvez supprimer des dossiers individuels à tout moment.

Lorsque vous supprimez votre compte : Toutes les données sont supprimées des systèmes actifs immédiatement et deviennent inaccessibles. Votre compte entre dans une fenêtre de récupération de 30 jours pendant laquelle vous pouvez le réactiver en vous reconnectant. Après 30 jours, un processus automatisé supprime définitivement toutes vos données, y compris les dossiers médicaux, documents, données de traitement, historique de chat et fichiers de stockage.

Ce qui survit à la suppression : Les entrées du journal d’audit sont conservées pendant 7 ans après la suppression du compte à des fins de conformité. Ces journaux contiennent des identifiants d’utilisateurs, des horodatages et des enregistrements de modifications de données. Ils ne sont pas anonymisés. Les métriques de traitement agrégées (qui ne contiennent pas de données de santé) sont également conservées.

Conservation des sauvegardes : Les sauvegardes automatiques de la base de données sont conservées pendant 7 jours sur une base glissante. Les documents téléchargés sont stockés dans le système de fichiers et conservés tant que votre compte est actif. Ils ne sont pas inclus dans les sauvegardes de la base de données et sont définitivement supprimés lorsque votre compte est supprimé.

Informations de contact marketing : Conservées tant que vous restez abonné. Lorsque vous vous désabonnez (un clic depuis tout email marketing ou sur exora.au/unsubscribe), nous conservons la ligne marquée comme désabonnée afin d’avoir la preuve de la révocation de votre consentement et pour ne jamais vous réabonner accidentellement. Pour demander la suppression complète de la ligne, écrivez à hello@exora.au ; nous traiterons votre demande dans les 30 jours.

Conservation par les fournisseurs IA : Google Cloud Gemini Enterprise (notre fournisseur principal) ne conserve pas les données API - la mise en cache côté serveur est désactivée au niveau du projet dans le cadre de notre Cloud Data Processing Addendum. OpenAI et Anthropic (lorsqu’utilisés) peuvent conserver les données API jusqu’à 30 jours pour la surveillance de la sécurité dans le cadre de leurs conditions API commerciales.

Données locales de l’appareil : Les enregistrements vocaux stockés sur votre appareil sont automatiquement supprimés après 7 jours. Les données de session mises en cache sont effacées lorsque vous vous déconnectez.

Journaux de conversations vocales IA : Lorsque vous avez une conversation vocale en temps réel avec l’assistant IA, nous enregistrons les métadonnées de session (heure de début, heure de fin, motif de fin, comptage d’octets, états d’erreur) dans notre journal d’audit voice_sessions à des fins de sécurité et de détection d’abus. Nous stockons également la transcription textuelle de la conversation dans votre historique de chat pour que vous puissiez revoir ce qui a été dit. L’audio n’est pas conservé - uniquement les métadonnées structurées et le texte de la transcription. Les journaux de session sont conservés pendant toute la durée de vie de votre compte et supprimés avec votre compte ; les transcriptions suivent la même rétention que votre historique de chat.

9. Intelligence artificielle

Ce que fait notre IA. Lorsque vous téléchargez un document médical, notre IA lit l’intégralité du contenu de ce document - y compris les noms, dates et autres détails personnels qu’il contient - pour identifier les informations de santé (pathologies, médicaments, allergies, signes vitaux, résultats de laboratoire, interventions, vaccinations) et les organiser dans votre dossier médical structuré. Notre assistant de chat IA peut répondre à des questions sur vos données de santé. Vous pouvez également envoyer des photos pour analyse par l’IA et utiliser la saisie vocale qui est transcrite par l’IA.

Fournisseurs IA. La compréhension de documents (extraction d’entités, structuration, génération de récits), le chat et la transcription vocale fonctionnent principalement sur Google Cloud Gemini Enterprise avec des modèles Gemini. La numérisation OCR de documents fonctionne sur Google Cloud Vision. Nous pouvons également utiliser OpenAI et Anthropic pour des fonctionnalités spécifiques. Nous pouvons changer, ajouter ou supprimer des fournisseurs en fonction de la qualité, de la fiabilité et du coût. La liste actuelle des fournisseurs et les données que chacun reçoit se trouvent dans la Section 5.

Vos données et l’entraînement IA. Vos données de santé ne sont pas utilisées pour entraîner des modèles IA. Nos fournisseurs IA traitent vos données uniquement pour vous renvoyer des résultats, dans le cadre de leurs conditions API commerciales. Les fournisseurs peuvent temporairement conserver les données pour la surveillance de la sécurité (voir Section 8). Nous n’utilisons pas actuellement vos données pour entraîner ou améliorer les propres systèmes IA d’Exora. À l’avenir, nous pourrons vous offrir la possibilité de contribuer des données désidentifiées pour améliorer nos systèmes. Toute utilisation de ce type nécessiterait votre consentement séparé et explicite.

Précision de l’IA. Les informations extraites par l’IA peuvent contenir des erreurs, des omissions ou des interprétations erronées. Les indicateurs de qualité des données affichés dans l’application reflètent la confiance du traitement et ne constituent pas une validation clinique. Les codes médicaux sont attribués par l’IA et n’ont pas été vérifiés par un professionnel de santé. Vérifiez toujours les informations de santé importantes auprès de votre prestataire de santé et par rapport à vos documents originaux.

Aucune décision automatisée. Notre IA organise et résume vos informations de santé. Elle ne prend pas de décisions médicales, de diagnostics ni de recommandations de traitement. Aucune décision automatisée n’est prise par nos systèmes qui affecterait vos droits ou intérêts juridiques. L’utilisation d’Exora ne crée pas de relation médecin-patient ni de relation de prestataire de soins de santé.

Urgences. Exora n’est pas conçu pour les urgences médicales. Si vous vivez une urgence médicale, appelez le 000 (Australie) ou votre numéro d’urgence local immédiatement.

Conversations vocales IA (Beta). Une fonctionnalité Beta distincte vous permet de tenir une conversation vocale en temps réel avec notre assistant IA sur les dossiers de santé d’un profil spécifique. C’est structurellement différent de l’entrée vocale en texte du chat (où un seul clip est transcrit et supprimé). Ici, votre audio de microphone est diffusé en continu, la réponse vocale de l’IA est diffusée en retour, et la conversation peut inclure plusieurs échanges aller-retour.

Le flux : votre iPhone ouvre un WebSocket authentifié vers notre serveur Cloud Run de Sydney, qui détient la clé API Google AI Studio en votre nom. Votre audio micro est envoyé via le serveur de Sydney à l’API Gemini Live de Google. L’audio de réponse de l’IA revient par le même chemin. Nous journalisons les métadonnées au niveau session (heure de début, durée, motif de fin, comptage d’octets) et la transcription textuelle pour audit et détection d’abus, mais nous ne conservons pas l’audio lui-même.

Activation par profil. Les conversations vocales sont DÉSACTIVÉES par défaut pour chaque profil. Pour les activer, le propriétaire du profil navigue vers Paramètres -> Fonctionnalités Beta et active “Conversations vocales IA”. Le paramètre suit le profil, pas le titulaire du compte - si vous partagez un profil avec quelqu’un d’autre, la disponibilité de la voix sur ce profil est le choix du propriétaire.

Consentement éclairé avant la première utilisation. La première fois que vous démarrez réellement une conversation vocale pour un profil, vous verrez une boîte de dialogue de consentement résumant les données envoyées, où elles sont traitées, ce qui est conservé, et que vous pouvez retirer la fonctionnalité à tout moment dans les Paramètres. Vous devez appuyer sur “Je comprends et je consens” avant qu’un audio ne quitte votre appareil. L’acceptation est enregistrée avec un horodatage.

Retrait de l’accès vocal. Désactivez la fonctionnalité dans Paramètres -> Fonctionnalités Beta à tout moment. Les journaux de session et les transcriptions existants restent dans votre journal d’audit et votre historique de chat sous votre contrôle (vous pouvez supprimer des sessions de chat individuelles). Désactiver la voix ne supprime pas les enregistrements passés ; nous recommandons de revoir la section pertinente de cette politique pour nos détails de rétention.

Région de traitement. À partir de cette version de la politique, les conversations vocales en temps réel sont traitées par l’API Gemini Live de Google dans leur infrastructure globale, routant actuellement vers des serveurs basés aux États-Unis pour le modèle audio que nous utilisons. Nous évaluons la migration vers Vertex AI à Sydney une fois que le modèle audio en direct sera publié dans la région australienne. Cette politique sera mise à jour lorsque ce changement aura lieu.

Pourquoi cela est traité différemment du chat texte. La compréhension de documents et le chat texte fonctionnent sur Google Cloud Gemini Enterprise (Vertex AI) sous notre Cloud Data Processing Addendum signé. Ce contrat ne s’étend pas à l’API Gemini Live sur Google AI Studio. Nous avons choisi d’activer la fonctionnalité voix en direct en état Beta pendant que nous évaluons les options de résidence des données et contractuelles. L’activation, la boîte de dialogue de consentement et la journalisation d’audit sont toutes en place pour vous donner un choix clairement éclairé pendant que nous travaillons sur cela.

L’assistant vocal n’est pas un professionnel médical. Tout dans cette section s’applique également à la voix : l’IA organise et résume vos informations ; elle ne fournit pas de conseil médical, de diagnostic ou de recommandations de traitement. Ne vous fiez pas à l’assistant vocal en cas d’urgence médicale - appelez le 000 (ou votre numéro d’urgence local) à la place.

10. Vos droits

En vertu des principes australiens de protection de la vie privée, vous avez le droit de :

Accéder à vos données. Vous pouvez consulter toutes vos données de santé dans l’application. Pour demander une copie complète de vos informations personnelles, contactez-nous à hello@exora.au. Nous répondrons sous 30 jours.

Corriger vos données. Vous pouvez modifier les informations de votre profil dans l’application. Pour les dossiers médicaux extraits par l’IA, vous pouvez ajouter des notes, supprimer des dossiers inexacts ou télécharger à nouveau des documents corrigés. Si vous estimez que d’autres informations que nous détenons sont inexactes, contactez-nous et nous les corrigerons.

Supprimer vos données. Vous pouvez supprimer des dossiers individuels dans l’application, ou supprimer l’intégralité de votre compte depuis les Paramètres. La suppression du compte entraîne la suppression de toutes vos données (voir Section 8 pour plus de détails).

Contrôler le partage. Vous choisissez avec qui partager vos données de santé, ce que vous partagez et pour combien de temps. Vous pouvez révoquer l’accès à tout moment.

Retirer votre consentement. Vous pouvez retirer votre consentement au traitement des données de santé à tout moment en supprimant vos données ou votre compte.

Réclamer. Voir Section 14.

11. Enfants et jeunes

Exora exige un âge minimum de 14 ans pour créer un compte indépendant en Australie. Cela correspond à l’âge auquel les individus prennent le contrôle de leur propre My Health Record.

Les parents et tuteurs peuvent gérer les dossiers médicaux d’enfants de tout âge via des profils de personnes à charge sur leur compte. Le parent ou tuteur déclare son autorité lors de la création d’un profil de personne à charge et contrôle toutes les données et le partage pour ce profil.

Nous n’autorisons pas sciemment les enfants en dessous de l’âge minimum pour leur région à créer des comptes indépendants. Si nous découvrons qu’un compte a été créé par une personne en dessous de l’âge minimum, nous travaillerons avec le parent ou tuteur de l’enfant pour résoudre la situation, ce qui peut inclure la fermeture du compte ou la migration des données vers un profil de personne à charge géré par un parent.

12. Cookies et suivi

Nous n’utilisons pas de cookies publicitaires, de pixels de suivi ni de suivi inter-sites.

Notre application web utilise uniquement des cookies essentiels pour l’authentification et la gestion des sessions. Ceux-ci sont nécessaires au fonctionnement de l’application et ne vous suivent pas sur d’autres sites web.

Analyse du site web marketing. Notre site web marketing à exora.au utilise Vercel Web Analytics et Speed Insights pour mesurer le trafic des visiteurs et la performance des pages de manière agrégée. Ces outils sont sans cookies et ne vous identifient pas individuellement. Ils collectent : l’URL de la page visitée, le site web référent, votre pays approximatif (dérivé de votre adresse IP, qui est ensuite supprimée et non stockée), le type d’appareil, le navigateur, le système d’exploitation et les indicateurs de performance Core Web Vitals. Les données sont agrégées et utilisées uniquement pour comprendre comment notre site marketing fonctionne et pour l’améliorer. Vercel agit en tant que sous-traitant des données.

Cette analyse du site web n’est pas active dans nos applications authentifiées (l’application mobile ni l’application web à app.exora.au). Nous n’utilisons pas actuellement d’outils d’analyse ou de signalement de plantages dans les applications. Si nous en ajoutons à l’avenir, nous mettrons à jour cette politique.

13. Modifications de cette politique

Nous pouvons mettre à jour cette politique pour refléter les changements dans nos pratiques ou les exigences légales.

Modifications substantielles (changements concernant les données que nous collectons, comment nous les utilisons ou avec qui nous les partageons) : Nous vous donnerons un préavis d’au moins 14 jours via une notification dans l’application et/ou par email avant l’entrée en vigueur des changements.

Modifications mineures (clarifications, mise en forme, correction d’erreurs) : Nous pouvons mettre à jour la politique sans préavis.

La date en haut de cette politique indique quand elle a été mise à jour pour la dernière fois. Les versions précédentes sont disponibles sur demande en contactant hello@exora.au. L’utilisation continue d’Exora après l’entrée en vigueur des modifications vaut acceptation de la politique mise à jour. Si vous n’êtes pas d’accord avec les modifications, vous pouvez supprimer votre compte avant leur entrée en vigueur.

14. Réclamations

Si vous avez une préoccupation concernant la manière dont nous traitons vos informations personnelles :

Étape 1 - Contactez-nous. Envoyez un email à notre Responsable de la confidentialité à hello@exora.au. Nous accuserons réception de votre réclamation sous 5 jours ouvrables.

Étape 2 - Enquête. Nous enquêterons sur votre réclamation et fournirons une réponse substantielle sous 30 jours. Si nous avons besoin de plus de temps, nous vous en informerons.

Étape 3 - Escalade. Si vous n’êtes pas satisfait de notre réponse, vous pouvez déposer une plainte auprès du Bureau du Commissaire australien à l’information (OAIC) :

• Site web : www.oaic.gov.au
• Téléphone : 1300 363 992
• Formulaire de plainte en ligne : www.oaic.gov.au/privacy/privacy-complaints
• Courrier : GPO Box 5288, Sydney NSW 2001

15. Nous contacter

Exora Health Pty Ltd
ABN 16 690 025 462

Responsable de la confidentialité : hello@exora.au

Pour toute question concernant cette politique de confidentialité, la manière dont nous traitons vos données ou pour exercer vos droits, contactez-nous à l’adresse email ci-dessus.

Consultez également nos Conditions d’utilisation pour les règles régissant votre utilisation d’Exora.

Cette politique de confidentialité est régie par le droit australien.