Gestion des données et HIPAA

En bref

Therapy Resources est conçu pour que vous n'ayez pas à téléverser d'Informations de Santé Protégées (PHI). Vous décrivez les supports souhaités, l'IA les illustre et vous les imprimez. Les noms de clients, diagnostics et notes de cas n'entrent jamais dans le système. Comme nous ne traitons pas de PHI, le cadre des Business Associate Agreements (BAA) du HIPAA ne s'applique pas — mais les normes qu'il définit (chiffrement, contrôle d'accès, conservation, suppression) guident tout de même notre fonctionnement.

Aucune PHI requise

Rien dans le flux de création ne demande d'informations permettant d'identifier un client. Vous n'avez pas besoin de partager :

• Noms, âges ou détails identifiants de clients
• Diagnostics ou notes cliniques
• Contenu de séances ou historiques de cas
• Photos, enregistrements ou citations de clients

Si vous conservez déjà des PHI dans votre dossier patient informatisé ou sur papier, laissez-les là. Therapy Resources travaille au niveau de concepts thérapeutiques génériques — une carte d'émotion étiquetée « frustré », une fiche sur les stratégies d'adaptation, un jeu de société sur les compétences sociales — et non sur du matériel spécifique à un cas.

À propos de HIPAA en particulier

Therapy Resources n'est pas certifié HIPAA et nous ne signons pas de Business Associate Agreements. HIPAA régit les Informations de Santé Protégées — noms de patients, diagnostics, notes de traitement et données similaires liées à des personnes identifiables. Comme Therapy Resources est conçu autour de supports thérapeutiques génériques plutôt que de dossiers spécifiques à chaque client, il n'y a généralement pas de PHI à protéger.

Si un flux de travail particulier exige de créer des supports incluant des PHI (par exemple, une histoire sociale personnalisée nommant un enfant spécifique), ce matériel devrait être créé et conservé dans votre dossier patient conforme HIPAA ou dans des fichiers locaux — pas ici.

Chiffrement, localisation et conservation

Tout le trafic entre votre navigateur et Therapy Resources passe par HTTPS (TLS 1.2+). Les données sont stockées chez Convex (région US-East) avec chiffrement au repos. Les mots de passe sont hachés avec bcrypt — nous ne voyons ni ne stockons jamais de mots de passe en clair. Les identifiants de paiement sont gérés exclusivement par Dodo Payments (conforme PCI-DSS) et ne touchent jamais nos serveurs.

La génération d'images repose sur Google Gemini. Les prompts et images de référence sont envoyés à l'API Google pour traitement, mais Gemini ne conserve pas vos prompts. Nous ne transférons pas vos données vers des réseaux publicitaires ou des courtiers analytiques.

Lorsque vous supprimez votre compte, nous supprimons définitivement vos styles, personnages, ressources, images générées et historique de prompts. La suppression est généralement effective sous 7 jours, les sauvegardes expirant sous 30 jours. Vous pouvez exporter ou supprimer des éléments individuels à tout moment depuis les Paramètres.

Sous-traitants

Nous partageons des données opérationnelles avec les services suivants :

• Convex (États-Unis) — Base de données et stockage de fichiers. Héberge les données de compte, les contenus et les images générées.
• Google Gemini — Génération d'images par IA. Reçoit les descriptions de style et les prompts de personnages ; ne les conserve pas.
• Dodo Payments (États-Unis) — Traitement des paiements en tant que merchant of record. Reçoit nom, e-mail et détails de paiement pour la facturation.
• AhaSend — E-mail transactionnel. Reçoit les adresses e-mail pour les réinitialisations de mot de passe et les notifications de compte.

Nous ne vendons pas vos données. L'inventaire complet des données et vos droits sur chaque catégorie figurent dans la Politique de confidentialité.