Privacy Policy / Politique de confidentialité

🇫🇷 Version française ci-dessous

Privacy Policy

Effective date: April 2026 Person responsible for the protection of personal information: Ben Armstrong, M.A., C.Psych. Practice: Evidence First Solutions Contact: Use the contact form or reach out by email or phone (provided at intake).

This notice describes how I collect, use, communicate, and protect your personal information in connection with my psychology practice in Ontario and Quebec. It is published in accordance with:

  • Quebec: Act Respecting the Protection of Personal Information in the Private Sector (LPRPSP), s. 3.2
  • Ontario: Personal Health Information Protection Act, 2004 (PHIPA), s. 16
  • Federal: Personal Information Protection and Electronic Documents Act (PIPEDA), Principle 4.8 (Openness)

What I collect

In the course of providing psychological services, I may collect:

  • Identification — name, date of birth, contact information
  • Health information — reason for consultation, mental and physical health history, diagnoses, session notes, psychological test results, treatment plans
  • Financial — billing details, insurance information
  • Communications — correspondence, signed consent forms

Health information is sensitive personal information under both LPRPSP (s. 12) and PHIPA (s. 4).

Why I collect it

Your information is used for:

  1. Psychological services — assessment, diagnosis, treatment, follow-up
  2. Clinical documentation — session notes, assessment reports, treatment plans
  3. Communication with other professionals — care coordination, when you authorize
  4. Billing and insurance
  5. Legal and regulatory obligations — court orders, college obligations, risk-of-harm reporting
  6. AI-assisted clinical practice — see below

Your information is never used for marketing, advertising, or any purpose unrelated to your care.

How AI is used in my practice

AI tools are used exclusively through enterprise endpoints bound by Business Associate Agreements (BAAs):

ProviderService
Microsoft Azure AI FoundryAI model endpoints for clinical documentation
GitHub EnterpriseDevelopment and integrated AI tools
Google Cloud Platform EnterpriseCloud infrastructure

What the AI does: Processes session transcripts and drafts documentation — summaries, assessment reports, progress reports.

What the AI does not do: Make clinical decisions, choose treatment approaches, or interpret your experience. All clinical judgment is mine.

Key safeguards:

  • No consumer AI — ChatGPT, Claude.ai, Gemini, etc. are never used with your data
  • No model training — your data is never used to train or improve AI models
  • Encrypted in transit (TLS 1.2+) and at rest (AES-256)
  • Signed BAAs with each provider — they are contractually bound to protect your data
  • SOC 2 Type II, ISO 27001, and HIPAA certified infrastructure
  • No automated decisions — no decision about you is ever made solely by AI (LPRPSP, s. 12.1)

Use of AI tools may constitute profiling under LPRPSP s. 8.1 when they analyse clinical content to assist in assessment. You are informed of this use.

For the full clinical detail on how AI fits into our work together, see How I Work.

Cross-border data processing

Your data may be processed on infrastructure located in the United States.

No Canadian law — federal, Ontario, or Quebec — requires that personal information be stored in Canada. Cross-border transfers are permitted under all three applicable frameworks:

  • PIPEDA (Principle 4.1.3): Transfers for processing are a “use,” not a “disclosure.” I remain accountable and must ensure comparable protection by contract. The Office of the Privacy Commissioner of Canada (OPC) has confirmed in multiple findings that transfers to the US do not violate PIPEDA when appropriate contractual safeguards are in place.
  • Ontario (PHIPA, s. 50): Disclosure outside Ontario is authorized where the individual consents or the disclosure is reasonably necessary for health care.
  • Quebec (LPRPSP, s. 17): A privacy impact assessment (PIA) was conducted and concluded that your information receives adequate protection. The PIA is available upon request.

US-specific risks — transparency: The US does not have a federal omnibus privacy law equivalent to Canadian legislation. US authorities may seek access to data through the CLOUD Act (2018) or FISA (s. 702). No contract can override a US court order. However, this risk is assessed as low given:

  • BAAs and certifications exceed the US legal baseline
  • Data is encrypted and unreadable without keys
  • Sole practitioner volume presents minimal government interest
  • Mental health clinical data has no foreseeable foreign intelligence value
  • The OPC has repeatedly validated this approach

Security safeguards

Your information is protected by:

  • Administrative: Written policies, signed BAAs, incident procedures, annual vendor review, minimum-necessary principle
  • Technical: Encryption (TLS 1.2+ / AES-256), multi-factor authentication, role-based access controls, audit logging, contractual prohibition on model training
  • Physical: Encrypted devices, secure storage, restricted physical access

Retention

Record typeMinimum retention
Clinical records — adults10 years after last contact
Clinical records — minorsUntil age 28 or 10 years, whichever is longer
Financial records7 years

Upon expiry, information is securely destroyed or anonymized (LPRPSP, s. 23; PHIPA, s. 13).

Your rights

RightReference
Access your information and obtain a copyLPRPSP s. 27; PHIPA s. 52–54
Correct inaccurate or incomplete informationLPRPSP s. 28; PHIPA s. 55
Receive your data in a structured format (Quebec)LPRPSP s. 27(3)
Withdraw consent at any time (prospective)LPRPSP s. 8; PHIPA s. 19
Be notified of a privacy breach presenting riskLPRPSP s. 3.5; PHIPA s. 12(2)
File a complaintSee below

Raw data from standardized psychological tests may be subject to professional access limitations.

Complaints

Contact me directly first. You may also file a complaint with:

Quebec — Commission d’accès à l’information (CAI) 1-888-528-7741 · www.cai.gouv.qc.ca

Ontario — Information and Privacy Commissioner (IPC) 416-326-3333 / 1-800-387-0073 · www.ipc.on.ca

Professional colleges:

  • Ordre des psychologues du Québec (OPQ) — 514-738-1881 / 1-800-363-2644 · www.ordrepsy.qc.ca
  • College of Psychologists and Behaviour Analysts of Ontario (CPBAO) · www.cpbao.on.ca

Politique de confidentialité

Date d’entrée en vigueur : Avril 2026 Responsable de la protection des renseignements personnels : Ben Armstrong, M.A., C.Psych. Cabinet : Evidence First Solutions Contact : Formulaire de contact ou par courriel ou téléphone (fournis lors de l’accueil).

Ce document décrit la manière dont je recueille, utilise, communique et protège vos renseignements personnels dans le cadre de ma pratique de psychologie en Ontario et au Québec. Il est publié conformément à :

  • Québec : Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP), art. 3.2
  • Ontario : Personal Health Information Protection Act, 2004 (PHIPA), art. 16
  • Fédéral : PIPEDA, Principe 4.8 (Transparence)

Ce que je recueille

Dans le cadre de la prestation de services psychologiques, je peux recueillir :

  • Identification — nom, date de naissance, coordonnées
  • Renseignements de santé — motif de consultation, antécédents, diagnostics, notes de séance, résultats de tests psychologiques, plans de traitement
  • Renseignements financiers — facturation, coordonnées d’assurance
  • Communications — correspondance, formulaires signés

Les renseignements de santé sont des renseignements personnels sensibles (LPRPSP, art. 12; PHIPA, art. 4).

Pourquoi je les recueille

Vos renseignements sont utilisés pour :

  1. Services psychologiques — évaluation, diagnostic, traitement, suivi
  2. Documentation clinique — notes, rapports d’évaluation, plans de traitement
  3. Communication avec d’autres professionnels — coordination des soins, lorsque vous l’autorisez
  4. Facturation et assurance
  5. Obligations légales et réglementaires — ordonnances, obligations envers les ordres, signalement de risque
  6. Assistance clinique par intelligence artificielle — voir ci-dessous

Vos renseignements ne sont jamais utilisés à des fins de marketing ou pour toute fin non liée à vos soins.

Comment l’IA est utilisée

Les outils d’IA sont utilisés exclusivement par l’intermédiaire de points d’accès d’entreprise protégés par des ententes d’entreprise associée (BAA) :

FournisseurService
Microsoft Azure AI FoundryPoints d’accès de modèles d’IA pour la documentation clinique
GitHub EnterpriseDéveloppement et outils d’IA intégrés
Google Cloud Platform EnterpriseInfrastructure infonuagique

Ce que l’IA fait : Traite les transcriptions de séances et rédige des ébauches de documentation — résumés, rapports d’évaluation, rapports de progrès.

Ce que l’IA ne fait pas : Prendre des décisions cliniques, choisir des approches de traitement ou interpréter votre expérience. Tout jugement clinique demeure le mien.

Protections clés :

  • Aucun service d’IA grand public — ChatGPT, Claude.ai, Gemini, etc. ne sont jamais utilisés avec vos données
  • Aucun entraînement de modèle — vos données ne servent jamais à entraîner ou améliorer des modèles d’IA
  • Chiffrement en transit (TLS 1.2+) et au repos (AES-256)
  • BAA signés avec chaque fournisseur
  • ✅ Infrastructure certifiée SOC 2 Type II, ISO 27001 et HIPAA
  • Aucune décision automatisée — aucune décision vous concernant n’est prise exclusivement par l’IA (LPRPSP, art. 12.1)

L’utilisation d’outils d’IA peut constituer du profilage au sens de l’article 8.1 de la LPRPSP lorsqu’ils analysent du contenu clinique. Vous en êtes informé(e).

Transferts transfrontaliers

Vos données peuvent être traitées sur une infrastructure située aux États-Unis.

Aucune loi canadienne — fédérale, ontarienne ou québécoise — n’impose la résidence des données au Canada. Les transferts transfrontaliers sont permis :

  • PIPEDA (Principe 4.1.3) : Le transfert pour traitement est une « utilisation » et non une « communication ». Je demeure responsable et dois assurer une protection comparable par contrat. Le Commissariat à la protection de la vie privée du Canada (CPVP) a confirmé que les transferts vers les É.-U. ne violent pas la PIPEDA lorsque des protections contractuelles appropriées sont en place.
  • Ontario (PHIPA, art. 50) : La communication à l’extérieur de l’Ontario est autorisée lorsque la personne y consent ou lorsqu’elle est raisonnablement nécessaire à la prestation de soins.
  • Québec (LPRPSP, art. 17) : Une évaluation des facteurs relatifs à la vie privée (EFVP) a été réalisée et a conclu que vos renseignements bénéficient d’une protection adéquate. L’EFVP est disponible sur demande.

Risques propres aux É.-U. — transparence : Les É.-U. n’ont pas de loi fédérale omnibus. Les autorités américaines peuvent demander l’accès aux données en vertu du CLOUD Act (2018) ou de la FISA (art. 702). Aucun contrat ne peut contourner une ordonnance judiciaire américaine. Toutefois, ce risque est évalué comme faible :

  • Les BAA et certifications excèdent le plancher juridique américain
  • Les données sont chiffrées et illisibles sans les clés
  • Le volume d’un praticien individuel présente un intérêt minimal pour les autorités
  • Les données cliniques en santé mentale n’ont aucun intérêt prévisible pour le renseignement étranger
  • Le CPVP a validé cette approche à de multiples reprises

Mesures de sécurité

Vos renseignements sont protégés par :

  • Mesures administratives : Politiques écrites, BAA signés, procédures d’incident, révision annuelle des fournisseurs, principe du renseignement minimal
  • Mesures techniques : Chiffrement (TLS 1.2+ / AES-256), authentification multifacteur, contrôles d’accès, journalisation vérifiable, interdiction contractuelle d’entraînement de modèle
  • Mesures physiques : Appareils chiffrés, entreposage sécurisé, accès physique restreint

Conservation

Type de dossierPériode minimale
Dossiers cliniques — adultes10 ans après la dernière consultation
Dossiers cliniques — mineursJusqu’à l’âge de 28 ans ou 10 ans, le plus long
Dossiers financiers7 ans

À l’expiration, les renseignements sont détruits de manière sécurisée ou anonymisés (LPRPSP, art. 23; PHIPA, art. 13).

Vos droits

DroitRéférence
Accéder à vos renseignements et en obtenir copieLPRPSP art. 27; PHIPA art. 52–54
Faire rectifier un renseignement inexact ou incompletLPRPSP art. 28; PHIPA art. 55
Recevoir vos données dans un format structuré (Québec)LPRPSP art. 27(3)
Retirer votre consentement à tout moment (prospectif)LPRPSP art. 8; PHIPA art. 19
Être avisé(e) d’un incident présentant un risqueLPRPSP art. 3.5; PHIPA art. 12(2)
Déposer une plainteVoir ci-dessous

Les données brutes de tests psychologiques standardisés peuvent être soumises à des limites d’accès professionnelles.

Plaintes et recours

Contactez-moi directement en premier. Vous pouvez aussi déposer une plainte auprès de :

Québec — Commission d’accès à l’information (CAI) 1-888-528-7741 · www.cai.gouv.qc.ca

Ontario — Information and Privacy Commissioner (IPC) 416-326-3333 / 1-800-387-0073 · www.ipc.on.ca

Ordres professionnels :

  • Ordre des psychologues du Québec (OPQ) — 514-738-1881 / 1-800-363-2644 · www.ordrepsy.qc.ca
  • College of Psychologists and Behaviour Analysts of Ontario (CPBAO) · www.cpbao.on.ca

This policy is reviewed and updated as practices change. The current version is always available on this page.

Cette politique est révisée et mise à jour au besoin. La version actuelle est toujours disponible sur cette page.