Privacy Policy

Politique de confidentialite

Last updated / Derniere mise a jour : May 23, 2026 / 23 mai 2026 — Version 1.0

Compliant with / Conforme a : GDPR (EU) · PIPEDA (Canada) · CNDP Loi 09-08 (Morocco)

1. Data Controller

QuietBridge EAP Inc. ("QuietBridge", "we", "us") is the data controller responsible for your personal data. Registered address: 123 Boulevard d'Anfa, Casablanca 20000, Morocco Canadian operations: QuietBridge EAP Inc., Montreal, QC, Canada Data Protection Officer (DPO): privacy@quietbridgeeap.com CNDP Declaration: No. D-MBR-2024-0042

1. Responsable du traitement

QuietBridge EAP Inc. (« QuietBridge », « nous ») est le responsable du traitement de vos donnees personnelles. Siege social : 123 Boulevard d'Anfa, Casablanca 20000, Maroc Operations canadiennes : QuietBridge EAP Inc., Montreal, QC, Canada Delegue a la Protection des Donnees (DPO) : privacy@quietbridgeeap.com Declaration CNDP : N° D-MBR-2024-0042

2. Legal Basis for Processing

We process personal data under the following legal bases: • Consent (GDPR Art. 6(1)(a), PIPEDA Principle 3, Loi 09-08 Art. 4): You provide explicit consent during onboarding for the processing of your health data and personal information. • Contract performance (GDPR Art. 6(1)(b)): Processing necessary to provide the health services you have subscribed to. • Legitimate interest (GDPR Art. 6(1)(f)): Platform improvement and fraud prevention. • Legal obligation (GDPR Art. 6(1)(c)): Compliance with record retention laws and regulatory requirements. Health data (mental health screening results, session notes) is classified as "sensitive data" under GDPR Art. 9, PIPEDA, and Loi 09-08. We process it only with your explicit consent and apply additional safeguards including AES-256-GCM encryption.

2. Base legale du traitement

Nous traitons les donnees personnelles sur les bases legales suivantes : • Consentement (RGPD Art. 6(1)(a), PIPEDA Principe 3, Loi 09-08 Art. 4) : Vous fournissez un consentement explicite lors de l'onboarding pour le traitement de vos donnees de sante et informations personnelles. • Execution du contrat (RGPD Art. 6(1)(b)) : Traitement necessaire a la fourniture des services de sante auxquels vous avez souscrit. • Interet legitime (RGPD Art. 6(1)(f)) : Amelioration de la plateforme et prevention de la fraude. • Obligation legale (RGPD Art. 6(1)(c)) : Conformite aux lois de conservation des donnees et exigences reglementaires. Les donnees de sante (resultats de screening de sante mentale, notes de seance) sont classees comme « donnees sensibles » au titre du RGPD Art. 9, du PIPEDA et de la Loi 09-08. Nous ne les traitons qu'avec votre consentement explicite et appliquons des mesures de securite renforcees incluant le chiffrement AES-256-GCM.

3. Data Collected

We collect the following categories of personal data: Identity data: • First name (or pseudonym), email address • Phone number (encrypted AES-256-GCM) • Avatar/profile picture (optional) Health & clinical data (sensitive): • Screening questionnaire responses (WHO-5, PHQ-4, PHQ-9, GAD-7) — encrypted AES-256-GCM • Session notes written by psychologists — encrypted AES-256-GCM, accessible only to the psychologist and you • Mood journal entries Usage data: • Login history, session timestamps • Bookings and session attendance • Program progress • Notification preferences Technical data: • IP address (not stored long-term), browser type • Authentication tokens (JWT) • Cookie consent preferences

3. Donnees collectees

Nous collectons les categories de donnees personnelles suivantes : Donnees d'identification : • Prenom (ou pseudonyme), adresse email • Numero de telephone (chiffre AES-256-GCM) • Avatar/photo de profil (optionnel) Donnees de sante et cliniques (sensibles) : • Reponses aux questionnaires de screening (WHO-5, PHQ-4, PHQ-9, GAD-7) — chiffrees AES-256-GCM • Notes de seance redigees par les psychologues — chiffrees AES-256-GCM, accessibles uniquement au psychologue et a vous • Entrees du journal d'humeur Donnees d'utilisation : • Historique de connexion, horodatage des sessions • Reservations et presence aux seances • Progression des programmes • Preferences de notification Donnees techniques : • Adresse IP (non conservee a long terme), type de navigateur • Tokens d'authentification (JWT) • Preferences de consentement aux cookies

4. Data Retention

• Session notes: 5 years (professional ethics obligation for psychologists) • Health screening results: Until user requests deletion, or 2 years after last activity • Account data: Duration of the contractual relationship + 1 year • Connection logs: 12 months • Mood journal entries: Until user requests deletion After expiration of the retention period, data is permanently deleted or irreversibly anonymized.

4. Duree de conservation

• Notes de seance : 5 ans (obligation deontologique des psychologues) • Resultats de screening de sante : Jusqu'a la demande de suppression par l'utilisateur, ou 2 ans apres la derniere activite • Donnees de compte : Duree de la relation contractuelle + 1 an • Logs de connexion : 12 mois • Entrees du journal d'humeur : Jusqu'a la demande de suppression par l'utilisateur Apres expiration de la duree de conservation, les donnees sont definitivement supprimees ou anonymisees de maniere irreversible.

5. Your Rights

Under GDPR, PIPEDA, and Loi 09-08, you have the following rights: • Right of access: Obtain a copy of your personal data • Right to rectification: Correct inaccurate data • Right to erasure ("right to be forgotten"): Request deletion of your data • Right to data portability: Receive your data in a structured, machine-readable format • Right to object: Object to processing based on legitimate interest • Right to restrict processing: Request limitation of processing • Right to withdraw consent: Withdraw your consent at any time To exercise any of these rights, contact: privacy@quietbridgeeap.com We will respond to your request within 30 days.

5. Vos droits

En vertu du RGPD, du PIPEDA et de la Loi 09-08, vous disposez des droits suivants : • Droit d'acces : Obtenir une copie de vos donnees personnelles • Droit de rectification : Corriger des donnees inexactes • Droit a l'effacement (« droit a l'oubli ») : Demander la suppression de vos donnees • Droit a la portabilite : Recevoir vos donnees dans un format structure et lisible par machine • Droit d'opposition : Vous opposer au traitement fonde sur l'interet legitime • Droit a la limitation du traitement : Demander la limitation du traitement • Droit de retrait du consentement : Retirer votre consentement a tout moment Pour exercer l'un de ces droits, contactez : privacy@quietbridgeeap.com Nous repondrons a votre demande dans un delai de 30 jours.

6. Security Measures

QuietBridge applies the following security measures to protect your data: • AES-256-GCM encryption for all sensitive data (clinical notes, screening responses, phone numbers) • HTTPS/TLS 1.3 for all communications • Secure authentication (JWT tokens, NextAuth sessions) • Role-Based Access Control (RBAC) — psychologists only access their own patients • PII scrubbing in application logs • Rate limiting on all API endpoints

6. Mesures de securite

QuietBridge applique les mesures de securite suivantes pour proteger vos donnees : • Chiffrement AES-256-GCM pour toutes les donnees sensibles (notes cliniques, reponses de screening, numeros de telephone) • HTTPS/TLS 1.3 pour toutes les communications • Authentification securisee (tokens JWT, sessions NextAuth) • Controle d'acces par role (RBAC) — les psychologues n'accedent qu'a leurs propres patients • Nettoyage des DCP dans les logs applicatifs • Limitation de debit sur tous les endpoints API

7. Contact — Data Protection Officer

For any question regarding your personal data or to exercise your rights: Email: privacy@quietbridgeeap.com Address: QuietBridge EAP Inc., 123 Boulevard d'Anfa, Casablanca 20000, Morocco CNDP Declaration: No. D-MBR-2024-0042 You may also file complaints with: • CNDP (Morocco): www.cndp.ma • CNIL (France): www.cnil.fr • OPC (Canada): www.priv.gc.ca

7. Contact — Delegue a la Protection des Donnees

Pour toute question relative a vos donnees personnelles ou pour exercer vos droits : Email : privacy@quietbridgeeap.com Adresse : QuietBridge EAP Inc., 123 Boulevard d'Anfa, Casablanca 20000, Maroc Declaration CNDP : N° D-MBR-2024-0042 Vous pouvez egalement deposer une plainte aupres de : • CNDP (Maroc) : www.cndp.ma • CNIL (France) : www.cnil.fr • CPVP (Canada) : www.priv.gc.ca

Contact DPO

Email: privacy@quietbridgeeap.com
Address: QuietBridge EAP Inc., 123 Boulevard d'Anfa, Casablanca 20000, Morocco
CNDP: Declaration No. D-MBR-2024-0042

Terms / CGU Cookies CNDP Rights Breach Notification ← Home