Comment Therapy withVR se positionne par rapport aux lois, normes et cadres

En un coup d'œil

Note sur la structure. Les sections ci-dessous reprennent les neuf catégories de notre Technology Checklist for SLPs publique - le même cadre que nous recommandons aux cliniciens pour évaluer toute technologie, y compris la nôtre. Cette page en est l'exemple appliqué à notre propre produit.

1. Protection des données et conformité

GDPR et UK GDPR

withVR BV est le responsable de traitement des données à caractère personnel traitées via Therapy withVR. Toutes les données de la plateforme sont hébergées sur Google Cloud / Firebase à Francfort, Allemagne (europe-west1) - au sein de l'EEE. Les données à caractère personnel sont traitées licitement au titre de l'article 6 du GDPR, sur les fondements de l'exécution du contrat, de l'intérêt légitime, de l'obligation légale et du consentement (pour les communications marketing). Les données personnelles britanniques sont traitées au titre du UK GDPR avec des bases juridiques équivalentes. Les transferts depuis le Royaume-Uni vers des pays tiers sont régis par le UK IDTA ou l'UK Addendum to EU SCCs, selon le cas. Les personnes concernées disposent de l'ensemble des droits d'accès, de rectification, d'effacement, de limitation, de portabilité, d'opposition et de retrait du consentement au titre des articles 15 à 22 du GDPR.

Source : Privacy Policy §3, §7, §9 · Terms of Service §11

HIPAA - hors champ par conception

Therapy withVR n'est pas une HIPAA covered entity et ne fonctionne pas comme Business Associate au sens de HIPAA. La plateforme est conçue pour que les Protected Health Information (PHI) n'entrent pas dans le système - aucun dossier clinique, diagnostic, identifiant patient ou dossier médical n'est stocké. Pour les contextes de soins aux États-Unis, la plateforme se situe par conception hors du champ d'application des exigences de Business Associate Agreement. L'absence de BAA chez un fournisseur ne signifie pas nécessairement une non-conformité ; dans notre cas, cela signifie que l'architecture évite les PHI dès le départ. Les utilisateurs en milieu de soins américain sont responsables de veiller à ce qu'aucune PHI ne soit saisie dans la plateforme.

Source : Privacy Policy §12 · ToS §11.1

FERPA - hors champ par conception

Les obligations découlant de FERPA pèsent sur les établissements scolaires, et non sur les fournisseurs. Therapy withVR n'est pas directement assujetti à FERPA. La plateforme est conçue pour que les dossiers scolaires des élèves n'aient pas à entrer dans le système - les données de session se limitent à des réglages de configuration et à des étiquettes textuelles, qui ne constituent pas des dossiers scolaires au sens de FERPA. Le professionnel superviseur est chargé de veiller à ce qu'aucune donnée protégée par FERPA ne soit saisie. Pour les districts scolaires américains, withVR BV examinera l'accord FERPA standard de votre établissement ou la SDPC National DPA et travaillera avec vous pour trouver une voie appropriée : signature en l'état lorsque les conditions sont praticables, propositions d'amendements si nécessaire, ou modèle withVR à la place. Contactez legal@withvr.app pour engager la conversation.

Source : Educational Use Policy §3.1, §7 · Privacy Policy §13

COPPA

COPPA s'applique aux services en ligne qui collectent des informations personnelles auprès d'enfants de moins de 13 ans. Therapy withVR ne s'adresse pas aux enfants et ne collecte aucune information personnelle directement auprès d'un utilisateur, enfant compris. Lorsque la plateforme est utilisée avec des enfants de moins de 13 ans en contexte scolaire, l'école agit en tant que titulaire du compte au titre de la school official exception de COPPA - les élèves n'interagissent pas directement avec la plateforme en tant qu'utilisateurs. Les établissements scolaires sont responsables des procédures de consentement parental adaptées à leur juridiction.

Source : Educational Use Policy §3.2

Lois sur la confidentialité des élèves au niveau des États et régions

Plusieurs États américains ont adopté des lois sur la confidentialité des élèves au-delà de FERPA - notamment la Californie (SOPIPA), New York (Education Law 2-d), le Colorado, le Texas, et d'autres. Les choix architecturaux ci-dessus (pas de collecte de PII, pas de publicité aux élèves, pas de vente de données, pas de suivi comportemental, pas de profilage) sont conçus pour soutenir la conformité à ces cadres. Les établissements situés dans des juridictions ayant des exigences spécifiques au-delà de ce qui est décrit ici peuvent demander des accords supplémentaires à legal@withvr.app.

Source : Educational Use Policy §3.4

Hébergement, transferts et sous-traitants

Toutes les données de la plateforme sont hébergées sur Google Cloud / Firebase à Francfort, Allemagne. Les transferts vers OpenAI (États-Unis, fonctionnalités IA optionnelles uniquement) sont régis par les EU Standard Contractual Clauses 2021 au titre de l'article 46(2)(c) du GDPR. Les transferts vers Stripe opèrent sous SCCs et, le cas échéant, dans le cadre du EU-US Data Privacy Framework. La liste complète des sous-traitants, avec le rôle, la localisation et le mécanisme de transfert de chacun, est publiée sur withvr.app/sub-processor-list ; un préavis d'au moins 30 jours est donné avant l'ajout de tout nouveau sous-traitant.

Source : Privacy Policy §5, §7 · Sub-Processor List

Données que nous ne collectons pas

Pas d'enregistrements audio ou vidéo des sessions. Pas d'échantillons vocaux de la personne en VR. Pas de données biométriques issues des capteurs des casques VR. Pas de PHI. Pas de dossiers scolaires. Pas de données de localisation précise. Pas de données de paiement (Stripe gère les cartes). Pas de données de catégorie particulière au sens de l'article 9 du GDPR. Les noms de profil sont chiffrés au niveau applicatif via AES-256 avec des vecteurs d'initialisation uniques par enregistrement.

Source : Privacy Policy §2.6, §8

Conservation

Données de compte et d'abonnement : 5 ans après la fin de l'abonnement (délai de prescription commerciale belge). Données de session et de profil : 3 ans après la fin de l'abonnement. Données de recherche sous Research Agreement : 24 mois après la fin du projet. Pièces comptables : 7 ans (loi comptable belge). Une suppression anticipée peut être demandée à tout moment à legal@withvr.app et est exécutée dans un délai de 30 jours, sauf lorsque la loi impose une conservation plus longue.

Source : Privacy Policy §6

2. IA et transparence

Classification au titre de l'EU AI Act

Therapy withVR a fait l'objet d'une évaluation formelle au titre de l'EU AI Act et n'est pas classé comme système d'IA à haut risque au sens de l'Article 6 ou de l'Annex III. La plateforme n'évalue pas les acquis d'apprentissage, ne surveille pas le comportement des élèves, ne note pas d'évaluations, ne réalise pas de prises de décision cliniques et n'assiste pas de fonctions de dispositif médical. Même si une fonctionnalité venait à être considérée comme touchant une catégorie de l'Annex III, les exemptions de l'Article 6(3) s'appliqueraient (tâches procédurales étroites, amélioration du résultat d'une activité humaine préalablement réalisée, sans remplacer l'évaluation humaine). Aucune évaluation de conformité, inscription au registre EU ou marquage CE n'est requis.

Source : EU AI Act Statement §2

Article 5 - pratiques interdites

Examiné et confirmé : aucune pratique interdite au titre de l'Article 5 n'est présente. Pas de techniques subliminales, pas d'exploitation de vulnérabilités, pas de notation sociale, pas d'identification biométrique à distance en temps réel, pas de reconnaissance d'émotions en contexte d'emploi ou d'éducation.

Source : EU AI Act Statement §2.4

Article 4 - culture en matière d'IA

En vigueur depuis février 2025. Conforme. withVR BV dispense des formations d'onboarding en direct à l'ensemble des utilisateurs, couvrant l'usage des fonctionnalités IA, leurs limites et leur emploi responsable. La documentation des fonctionnalités IA est intégrée à la documentation de la plateforme. Les établissements sont responsables de garantir un niveau suffisant de culture en matière d'IA au sein de leurs équipes ; notre onboarding accompagne cette obligation.

Source : EU AI Act Statement §3

Article 50 - transparence pour les voix synthétisées par IA et les textes générés par IA

Applicable à partir du 2 août 2026. En préparation. La divulgation est déjà présente dans l'EULA, les ToS, la Privacy Policy et l'EU AI Act Compliance Statement. La divulgation in-app sera confirmée conforme avant l'échéance du 2 août 2026. Les voix des avatars dans chaque session sont synthétisées par IA via Google Text-to-Speech ; lorsque les fonctionnalités OpenAI optionnelles sont activées, le texte saisi dans les champs IA est traité par un système d'IA. Les professionnels superviseurs sont responsables d'informer les personnes avec lesquelles ils travaillent lorsque leurs obligations professionnelles ou institutionnelles l'exigent.

Source : EU AI Act Statement §5

Fonctionnalités IA : fournisseur, données, position sur l'entraînement

Toujours actives : synthèse vocale des avatars (Google Text-to-Speech). Seul le texte de la parole de l'avatar est envoyé pour la synthèse vocale ; aucune donnée d'utilisateur, de client ou de participant. Optionnelles, désactivées par défaut : traduction de phrases, génération de texte, autocorrection, reconnaissance vocale Whisper, grammaire du locuteur, ajustement de la formalité, parole émotionnelle (toutes via OpenAI API). En vertu de la politique d'utilisation des données API d'OpenAI, les entrées API ne sont pas utilisées par défaut pour entraîner les modèles d'OpenAI. Aucun nom de client, aucun enregistrement de session ni aucune PII concernant les personnes avec lesquelles vous travaillez n'est envoyé à l'un ou l'autre des fournisseurs en opération normale. Les utilisateurs sont expressément invités à ne pas saisir de PII dans les champs de texte alimentés par IA.

Source : Privacy Policy §4 · Sub-Processor List

3. Consentement éclairé

Le professionnel superviseur est responsable d'obtenir le consentement éclairé des personnes avec lesquelles il travaille, conformément à son code déontologique, à la politique de l'établissement et au droit applicable. Pour l'accompagner, withVR met à disposition gratuitement un VR Informed Consent Template, une brochure VR en langage clair pour les patients et les familles, ainsi que l'EU AI Act Compliance Statement avec des formulations de divulgation prêtes à intégrer dans vos propres documents de consentement. L'implication de l'IA (voix synthétiques et fonctionnalités OpenAI éventuellement activées) doit être divulguée lorsque vos standards professionnels ou la loi applicable l'exigent.

Source : Acceptable Use Policy §2 · EU AI Act Statement

4. Langue et accessibilité

WCAG 2.2 niveau AA

Site marketing (withvr.app) : auto-évaluation par rapport à WCAG 2.2 AA achevée en avril 2026. Lighthouse Accessibility 100/100 sur desktop et mobile pour les pages prioritaires. Les analyses automatisées pa11y et axe-core montrent que toutes les défaillances dures sont résolues. Web App : en cours par rapport à WCAG 2.2 AA, avec des écarts partiels connus documentés honnêtement dans l'Accessibility Statement (zoom navigateur, test formel par lecteur d'écran, audit formel de contraste). VR App : hand tracking pris en charge en alternative aux manettes ; l'accessibilité physique de la VR relève d'une décision clinique du professionnel superviseur.

Source : Accessibility Statement §1, §4, §5

VPAT / ACR

VPAT v2.5 (International Edition) réalisé en mars 2026, couvrant WCAG 2.0/2.1/2.2, Section 508 et EN 301 549 pour la plateforme v4.0.0. Disponible sur demande auprès de legal@withvr.app.

European Accessibility Act, EN 301 549, Section 508

EAA en vigueur depuis juin 2025. Therapy withVR est avant tout une plateforme professionnelle B2B ; l'applicabilité de l'EAA aux outils B2B est suivie à mesure que les orientations belges de transposition se précisent. Les améliorations d'accessibilité visent EN 301 549 / WCAG 2.2 AA indépendamment de l'applicabilité de l'EAA. Section 508 : alignement partiel via le travail WCAG 2.2 AA ; aucune évaluation formelle Section 508 réalisée.

Source : Accessibility Statement §3, §7

Langues

Interface de la Web App disponible en 59 langues. 52 combinaisons langue-région pour les voix d'avatar. Site marketing disponible en 11 locales (anglais plus néerlandais, français, allemand, norvégien, italien, tchèque, espagnol, portugais, grec, arabe, turc), avec attribut lang correct et prise en charge RTL pour l'arabe.

5. Adéquation culturelle et clinique

Tous les scénarios, phrases et contenus de conversation sont configurables par le professionnel superviseur - la pertinence culturelle et contextuelle est déterminée par l'utilisateur, pas par nous. Les environnements de parole personnalisables et une pièce vide librement configurable soutiennent une pratique qui reflète le contexte réel de la personne. Les études évaluées par les pairs utilisant Therapy withVR ou des scénarios développés par withVR sont cataloguées dans l'Evidence Hub avec citation complète, résumé en langage clair et appréciation de la certitude pour chacune. La plateforme n'avance aucune revendication d'efficacité clinique propre ; les preuves proviennent de la littérature.

Source : Evidence Hub · Scenarios

6. Sécurité et notification de violation

Chiffrement et stockage

Toutes les données au repos dans Google Cloud Firestore sont chiffrées via AES-256 (chiffrement d'infrastructure par défaut Google Cloud). Les noms de profil sont en outre chiffrés au niveau applicatif via AES-256 avec des vecteurs d'initialisation uniques par enregistrement. Toutes les données en transit sont chiffrées via TLS 1.2 ou supérieur. Les mots de passe sont entièrement gérés par Firebase Authentication - withVR BV n'a jamais accès aux mots de passe utilisateurs.

Source : Privacy Policy §8 · DPA §6 (sur demande)

Gestion des correctifs

Correctifs critiques (CVSS 9.0+, zero-days, vulnérabilités affectant Firebase auth ou storage) : sous 48 heures. Élevé (CVSS 7.0-8.9) : sous 7 jours. Moyen (CVSS 4.0-6.9) : sous 30 jours ou à la version suivante. Identification via les bulletins fournisseurs, NVD/CVE et GitHub Dependabot. Aligné avec les obligations de l'article 32 du GDPR et la transposition belge de NIS2.

Source : Patch Management Policy §4 (sur demande)

Notification de violation

Notification d'une violation de données à caractère personnel à l'Autorité belge de protection des données (APD) sous 72 heures après en avoir pris connaissance (Article 33 du GDPR). Notification à l'ICO du Royaume-Uni au titre de l'UK GDPR. Les utilisateurs concernés sont informés sans retard injustifié lorsque la violation est susceptible d'engendrer un risque élevé. Les clients institutionnels ayant signé un DPA sont notifiés sous 72 heures conformément aux termes du DPA.

Source : Privacy Policy §10 · ToS §11.3 · DPA §11 (sur demande)

Disponibilité et résilience du service

Hébergement sur Google Cloud Firebase (Francfort) sous SLA de disponibilité à 99,95 % de Google. Réplication multi-zone des données au sein de la région UE. Firestore point-in-time recovery avec une fenêtre de 7 jours. Sauvegardes quotidiennes conservées 30 jours, sauvegardes hebdomadaires conservées 98 jours. Priorités de réponse aux incidents (P1 panne complète / violation de données sous 2 heures ; P2 panne partielle sous 4 heures ; P3 dégradation mineure le jour ouvré suivant). La Web App fonctionne indépendamment du site marketing, et la VR App fonctionne indépendamment du canal de distribution Meta Quest Store après installation.

Source : Business Continuity & Disaster Recovery Summary (sur demande)

Certifications de sécurité indépendantes

Position honnête : withVR BV ne détient pas à ce jour de certifications indépendantes SOC 2 Type II ou ISO 27001. L'infrastructure de la plateforme hérite de ces certifications de Google Cloud / Firebase, qui les maintient toutes deux. Des certifications indépendantes seront envisagées à mesure que la plateforme gagnera en maturité. Des tests d'intrusion programmés ne sont pas en place à l'heure actuelle ; cela sera également envisagé à mesure que la plateforme gagnera en maturité.

Source : Patch Management Policy §9 · BCDR §8.2 (sur demande)

Accès administratif

Position honnête : withVR BV est exploitée par une seule personne (le fondateur). L'accès administratif au projet Firebase est limité à cette personne. Aucun autre personnel ni tiers n'a d'accès direct à la base de données de production ou à l'infrastructure. L'authentification multifacteur sur les comptes administratifs est planifiée. L'infrastructure sous-jacente de la plateforme s'exécute sur des services Google Cloud managés qui fonctionnent indépendamment de l'intervention quotidienne de withVR BV, ce qui atténue la dépendance à une seule personne au niveau de l'infrastructure. Les scénarios d'indisponibilité du fondateur sont traités dans le Business Continuity Summary.

Source : Privacy Policy §8 · BCDR §5 (sur demande)

Journalisation d'audit

Les Google Cloud Audit Logs sont activés sur l'ensemble du projet de production et fournissent une piste inviolable de chaque action administrative et de chaque opération sur les données client. Les journaux Admin Activity toujours actifs capturent chaque modification de configuration. Les journaux Admin Read, Data Read et Data Write sont activés pour Cloud Firestore (où se trouvent les données client), l'API Cloud Storage for Firebase (règles et configuration) et Google Cloud Storage (opérations sur fichiers - chargement, téléchargement, suppression). Les journaux sont conservés conformément à la politique de rétention par défaut de Google Cloud (400 jours pour les data access logs, 400 jours pour les admin activity) et sont utilisés uniquement pour l'investigation d'incidents de sécurité et la vérification de la conformité. Cela fait partie des mesures techniques et organisationnelles de withVR BV au titre de l'article 32 du GDPR.

Source : Google Cloud Audit Logs (projet Firebase) · BCDR §6 (sur demande)

Exigences réseau (pour l'IT institutionnel)

L'ensemble du trafic withVR BV utilise HTTPS sur le port 443. La Web App nécessite withvr.app, firestore.googleapis.com, firebasestorage.googleapis.com, texttospeech.googleapis.com et (uniquement lorsque les fonctionnalités IA sont activées) api.openai.com. La VR App ne se connecte pas à OpenAI. Le matériel Meta Quest nécessite en outre les domaines de la plateforme Meta - les établissements opérant des réseaux restreints (en particulier les écoles) doivent s'assurer que ceux-ci ne sont pas bloqués. La liste complète des domaines, ports, navigateurs et systèmes d'exploitation se trouve sur la page Compatibility.

Source : page Compatibility · BCDR §8.1 (sur demande)

7. Travailler avec des enfants et en milieu scolaire

Les titulaires de compte doivent avoir 18 ans ou plus. La plateforme ne peut être utilisée avec des mineurs que sous la supervision et le contrôle directs d'un professionnel adulte qualifié. Les élèves ne créent jamais de compte, ne se connectent jamais et ne soumettent jamais directement de données personnelles à la plateforme. Aucun nom d'élève, identifiant ou PII ne peut être saisi dans la plateforme. Le matériel Meta Quest est soumis à un âge minimum distinct de 10 ans fixé par Meta - il s'agit de la politique de Meta, pas de la nôtre, et elle s'applique indépendamment de la supervision professionnelle.

Trois seuils peuvent s'appliquer simultanément : la politique d'âge de la plateforme, le droit applicable à la confidentialité (par ex. les 13 ans de COPPA, les 13 à 16 ans de l'article 8 du GDPR selon l'État membre) et le consentement clinique (en général moins de 18 ans). Le seuil le plus élevé l'emporte. Le professionnel superviseur est responsable du consentement parental ou du tuteur dans sa juridiction.

Pour les écoles américaines, un accord FERPA, une Student Data Privacy Agreement ou la SDPC National DPA sont disponibles - voir la section 8 (Accords disponibles) ci-dessous.

Source : Educational Use Policy §1, §3 · EULA §8

8. Maturité organisationnelle

Certification de dispositif médical

Therapy withVR n'est pas un dispositif médical. Pas de marquage CE au titre de l'EU MDR. Pas de régulation FDA. Pas de marquage UKCA. La plateforme ne diagnostique pas, ne traite pas, ne note pas, ne mesure pas et ne prend pas de décisions cliniques. Toutes les décisions cliniques restent l'entière responsabilité du professionnel superviseur. Les fonctionnalités IA génèrent uniquement des suggestions de contenu et ne constituent ni un avis ni une évaluation clinique.

Source : EULA §1 · AUP §1 · EU AI Act Statement §2

SLA et disponibilité

withVR BV ne propose pas de garantie de disponibilité distincte, mais la plateforme hérite du SLA de disponibilité à 99,95 % de Google Cloud pour l'infrastructure sous-jacente. Les maintenances planifiées sont communiquées à l'avance lorsque cela est possible. Les indisponibilités non planifiées sont communiquées par e-mail et sur le site.

Source : ToS §12.2 · EULA §11

Tarifs et TVA

Abonnement standard 49 EUR/mois par siège (hors TVA, en facturation annuelle). Remises pluriannuelles disponibles, jusqu'à 5 ans. Autant de sièges que nécessaire. Devis sur papier à en-tête, facturation sur bon de commande et documentation supplémentaire pour les achats disponibles sur demande. Nous pouvons échanger directement avec les équipes IT, achats ou protection des données pour répondre aux exigences de référencement fournisseur.

Source : ToS §6 · Refund Policy

Protection des consommateurs (UE)

Droit légal de rétractation de 14 jours au titre de la directive 2011/83/UE relative aux droits des consommateurs et de la loi belge de transposition. Droit belge / juridiction de Gand. Les consommateurs de l'UE conservent le droit d'engager une procédure devant les juridictions de leur lieu de résidence habituelle ; la plateforme européenne de règlement en ligne des litiges est disponible sur ec.europa.eu/consumers/odr (s'ouvre dans un nouvel onglet).

Source : ToS §6.4, §16 · Refund Policy §2, §9

9. Validation par les pairs

Therapy withVR est utilisé dans des recherches actives évaluées par les pairs au sein d'universités et d'hôpitaux dans de nombreux pays. L'Evidence Hub catalogue chaque étude publiée, avec citation complète, résumé en langage clair et niveau de certitude. Universités, NHS trusts et districts scolaires ayant déjà mené leurs propres processus d'approbation institutionnelle acceptent volontiers d'être approchés comme références - demande via hello@withvr.app.

Accords disponibles

Sur demande auprès de legal@withvr.app: DPA, accord FERPA / SDPC National DPA, Research Agreement, accord supplémentaire personnalisé, documentation DPIA, VPAT v2.5, résumé BCDR, Patch Management Policy.

Documents

Tous les documents juridiques publics sont accessibles depuis withvr.app/fr/legal :

• Privacy Policy (Anglais)
• Terms of Service (Anglais)
• End User License Agreement (Anglais)
• Acceptable Use Policy (Anglais)
• Educational Use Policy (Anglais)
• EU AI Act Compliance Statement (Anglais)
• Accessibility Statement (Anglais)
• Cookie Policy (Anglais)
• Refund and Return Policy (Anglais)
• Sub-Processor List (Anglais)

Ce que nous ne prétendons pas

La transparence sur les limites fait partie intégrante de la conception :

• Nous ne prétendons en aucune manière être un dispositif médical.
• Nous ne prétendons pas être conformes à HIPAA - nous sommes hors du champ d'application de HIPAA par conception.
• Nous ne prétendons pas détenir de certifications indépendantes SOC 2 Type II ou ISO 27001. Nous héritons des deux de Google Cloud au niveau infrastructure ; des certifications indépendantes seront envisagées à mesure que la plateforme gagnera en maturité.
• Nous ne prétendons pas avoir réalisé un audit WCAG indépendant. Nous disposons d'une auto-évaluation, d'analyses automatisées, du VPAT v2.5 et d'un score Lighthouse de 100/100 sur le site marketing. Un audit formel commandé est prévu lorsque le financement le permettra.
• Nous ne prétendons pas être conformes à NIS2 - nous revendiquons un alignement avec la transposition belge de NIS2 via la Patch Management Policy.
• Nous ne prétendons pas que l'IA remplace le jugement clinique. Chaque fonctionnalité IA est optionnelle, désactivée par défaut et contrôlable. Les voix d'avatar sont toujours signalées comme synthétisées par IA.

Contact

Achats, questionnaires fournisseurs, revues de sécurité et demandes d'accord : legal@withvr.app. Notre Technology Checklist for SLPs public est le cadre autour duquel cette page est structurée - utilisez-le sur nous, ou sur tout autre outil que vous évaluez.

withVR BV · Jozef Hebbelynckstraat 21, Merelbeke 9820, Belgium · BE-0790.909.294 · Dernière révision 2026-04-26