Comment Therapy withVR se positionne par rapport aux lois, normes et cadres

En un coup d'oeil

Note sur la structure. Les sections ci-dessous reprennent les neuf categories de notre Technology Checklist for SLPs publique - le meme cadre que nous recommandons aux cliniciens pour evaluer toute technologie, y compris la notre. Cette page en est l'exemple applique a notre propre produit.

1. Protection des donnees et conformite

GDPR et UK GDPR

withVR BV est le responsable de traitement des donnees a caractere personnel traitees via Therapy withVR. Toutes les donnees de la plateforme sont hebergees sur Google Cloud / Firebase a Francfort, Allemagne (europe-west1) - au sein de l'EEE. Les donnees a caractere personnel sont traitees licitement au titre de l'article 6 du GDPR, sur les fondements de l'execution du contrat, de l'interet legitime, de l'obligation legale et du consentement (pour les communications marketing). Les donnees personnelles britanniques sont traitees au titre du UK GDPR avec des bases juridiques equivalentes. Les transferts depuis le Royaume-Uni vers des pays tiers sont regis par le UK IDTA ou l'UK Addendum to EU SCCs, selon le cas. Les personnes concernees disposent de l'ensemble des droits d'acces, de rectification, d'effacement, de limitation, de portabilite, d'opposition et de retrait du consentement au titre des articles 15 a 22 du GDPR.

Source : Privacy Policy §3, §7, §9 · Terms of Service §11

HIPAA - hors champ par conception

Therapy withVR n'est pas une HIPAA covered entity et ne fonctionne pas comme Business Associate au sens de HIPAA. La plateforme est concue pour que les Protected Health Information (PHI) n'entrent pas dans le systeme - aucun dossier clinique, diagnostic, identifiant patient ou dossier medical n'est stocke. Pour les contextes de soins aux Etats-Unis, la plateforme se situe par conception hors du champ d'application des exigences de Business Associate Agreement. L'absence de BAA chez un fournisseur ne signifie pas necessairement une non-conformite ; dans notre cas, cela signifie que l'architecture evite les PHI des le depart. Les utilisateurs en milieu de soins americain sont responsables de veiller a ce qu'aucune PHI ne soit saisie dans la plateforme.

Source : Privacy Policy §12 · ToS §11.1

FERPA - hors champ par conception

Les obligations decoulant de FERPA pesent sur les etablissements scolaires, et non sur les fournisseurs. Therapy withVR n'est pas directement assujetti a FERPA. La plateforme est concue pour que les dossiers scolaires des eleves n'aient pas a entrer dans le systeme - les donnees de session se limitent a des reglages de configuration et a des etiquettes textuelles, qui ne constituent pas des dossiers scolaires au sens de FERPA. Le professionnel superviseur est charge de veiller a ce qu'aucune donnee protegee par FERPA ne soit saisie. Pour les districts scolaires americains, withVR BV examinera l'accord FERPA standard de votre etablissement ou la SDPC National DPA et travaillera avec vous pour trouver une voie appropriee : signature en l'etat lorsque les conditions sont praticables, propositions d'amendements si necessaire, ou modele withVR a la place. Contactez legal@withvr.app pour engager la conversation.

Source : Educational Use Policy §3.1, §7 · Privacy Policy §13

COPPA

COPPA s'applique aux services en ligne qui collectent des informations personnelles aupres d'enfants de moins de 13 ans. Therapy withVR ne s'adresse pas aux enfants et ne collecte aucune information personnelle directement aupres d'un utilisateur, enfant compris. Lorsque la plateforme est utilisee avec des enfants de moins de 13 ans en contexte scolaire, l'ecole agit en tant que titulaire du compte au titre de la school official exception de COPPA - les eleves n'interagissent pas directement avec la plateforme en tant qu'utilisateurs. Les etablissements scolaires sont responsables des procedures de consentement parental adaptees a leur juridiction.

Source : Educational Use Policy §3.2

Lois sur la confidentialite des eleves au niveau des Etats et regions

Plusieurs Etats americains ont adopte des lois sur la confidentialite des eleves au-dela de FERPA - notamment la Californie (SOPIPA), New York (Education Law 2-d), le Colorado, le Texas, et d'autres. Les choix architecturaux ci-dessus (pas de collecte de PII, pas de publicite aux eleves, pas de vente de donnees, pas de suivi comportemental, pas de profilage) sont concus pour soutenir la conformite a ces cadres. Les etablissements situes dans des juridictions ayant des exigences specifiques au-dela de ce qui est decrit ici peuvent demander des accords supplementaires a legal@withvr.app.

Source : Educational Use Policy §3.4

Hebergement, transferts et sous-traitants

Toutes les donnees de la plateforme sont hebergees sur Google Cloud / Firebase a Francfort, Allemagne. Les transferts vers OpenAI (Etats-Unis, fonctionnalites IA optionnelles uniquement) sont regis par les EU Standard Contractual Clauses 2021 au titre de l'article 46(2)(c) du GDPR. Les transferts vers Stripe operent sous SCCs et, le cas echeant, dans le cadre du EU-US Data Privacy Framework. La liste complete des sous-traitants, avec le role, la localisation et le mecanisme de transfert de chacun, est publiee sur withvr.app/sub-processor-list ; un preavis d'au moins 30 jours est donne avant l'ajout de tout nouveau sous-traitant.

Source : Privacy Policy §5, §7 · Sub-Processor List

Donnees que nous ne collectons pas

Pas d'enregistrements audio ou video des sessions. Pas d'echantillons vocaux de la personne en VR. Pas de donnees biometriques issues des capteurs des casques VR. Pas de PHI. Pas de dossiers scolaires. Pas de donnees de localisation precise. Pas de donnees de paiement (Stripe gere les cartes). Pas de donnees de categorie particuliere au sens de l'article 9 du GDPR. Les noms de profil sont chiffres au niveau applicatif via AES-256 avec des vecteurs d'initialisation uniques par enregistrement.

Source : Privacy Policy §2.6, §8

Conservation

Donnees de compte et d'abonnement : 5 ans apres la fin de l'abonnement (delai de prescription commerciale belge). Donnees de session et de profil : 3 ans apres la fin de l'abonnement. Donnees de recherche sous Research Agreement : 24 mois apres la fin du projet. Pieces comptables : 7 ans (loi comptable belge). Une suppression anticipee peut etre demandee a tout moment a legal@withvr.app et est executee dans un delai de 30 jours, sauf lorsque la loi impose une conservation plus longue.

Source : Privacy Policy §6

2. IA et transparence

Classification au titre de l'EU AI Act

Therapy withVR a fait l'objet d'une evaluation formelle au titre de l'EU AI Act et n'est pas classe comme systeme d'IA a haut risque au sens de l'Article 6 ou de l'Annex III. La plateforme n'evalue pas les acquis d'apprentissage, ne surveille pas le comportement des eleves, ne note pas d'evaluations, ne realise pas de prises de decision cliniques et n'assiste pas de fonctions de dispositif medical. Meme si une fonctionnalite venait a etre consideree comme touchant une categorie de l'Annex III, les exemptions de l'Article 6(3) s'appliqueraient (taches procedurales etroites, amelioration du resultat d'une activite humaine prealablement realisee, sans remplacer l'evaluation humaine). Aucune evaluation de conformite, inscription au registre EU ou marquage CE n'est requis.

Source : EU AI Act Statement §2

Article 5 - pratiques interdites

Examine et confirme : aucune pratique interdite au titre de l'Article 5 n'est presente. Pas de techniques subliminales, pas d'exploitation de vulnerabilites, pas de notation sociale, pas d'identification biometrique a distance en temps reel, pas de reconnaissance d'emotions en contexte d'emploi ou d'education.

Source : EU AI Act Statement §2.4

Article 4 - culture en matiere d'IA

En vigueur depuis fevrier 2025. Conforme. withVR BV dispense des formations d'onboarding en direct a l'ensemble des utilisateurs, couvrant l'usage des fonctionnalites IA, leurs limites et leur emploi responsable. La documentation des fonctionnalites IA est integree a la documentation de la plateforme. Les etablissements sont responsables de garantir un niveau suffisant de culture en matiere d'IA au sein de leurs equipes ; notre onboarding accompagne cette obligation.

Source : EU AI Act Statement §3

Article 50 - transparence pour les voix synthetisees par IA et les textes generes par IA

Applicable a partir du 2 aout 2026. En preparation. La divulgation est deja presente dans l'EULA, les ToS, la Privacy Policy et l'EU AI Act Compliance Statement. La divulgation in-app sera confirmee conforme avant l'echeance du 2 aout 2026. Les voix des avatars dans chaque session sont synthetisees par IA via Google Text-to-Speech ; lorsque les fonctionnalites OpenAI optionnelles sont activees, le texte saisi dans les champs IA est traite par un systeme d'IA. Les professionnels superviseurs sont responsables d'informer les personnes avec lesquelles ils travaillent lorsque leurs obligations professionnelles ou institutionnelles l'exigent.

Source : EU AI Act Statement §5

Fonctionnalites IA : fournisseur, donnees, position sur l'entrainement

Toujours actives : synthese vocale des avatars (Google Text-to-Speech). Seul le texte de la parole de l'avatar est envoye pour la synthese vocale ; aucune donnee d'utilisateur, de client ou de participant. Optionnelles, desactivees par defaut : traduction de phrases, generation de texte, autocorrection, reconnaissance vocale Whisper, grammaire du locuteur, ajustement de la formalite, parole emotionnelle (toutes via OpenAI API). En vertu de la politique d'utilisation des donnees API d'OpenAI, les entrees API ne sont pas utilisees par defaut pour entrainer les modeles d'OpenAI. Aucun nom de client, aucun enregistrement de session ni aucune PII concernant les personnes avec lesquelles vous travaillez n'est envoye a l'un ou l'autre des fournisseurs en operation normale. Les utilisateurs sont expressement invites a ne pas saisir de PII dans les champs de texte alimentes par IA.

Source : Privacy Policy §4 · Sub-Processor List

3. Consentement eclaire

Le professionnel superviseur est responsable d'obtenir le consentement eclaire des personnes avec lesquelles il travaille, conformement a son code deontologique, a la politique de l'etablissement et au droit applicable. Pour l'accompagner, withVR met a disposition gratuitement un VR Informed Consent Template, une brochure VR en langage clair pour les patients et les familles, ainsi que l'EU AI Act Compliance Statement avec des formulations de divulgation pretes a integrer dans vos propres documents de consentement. L'implication de l'IA (voix synthetiques et fonctionnalites OpenAI eventuellement activees) doit etre divulguee lorsque vos standards professionnels ou la loi applicable l'exigent.

Source : Acceptable Use Policy §2 · EU AI Act Statement

4. Langue et accessibilite

WCAG 2.2 niveau AA

Site marketing (withvr.app) : auto-evaluation par rapport a WCAG 2.2 AA achevee en avril 2026. Lighthouse Accessibility 100/100 sur desktop et mobile pour les pages prioritaires. Les analyses automatisees pa11y et axe-core montrent que toutes les defaillances dures sont resolues. Web App : en cours par rapport a WCAG 2.2 AA, avec des ecarts partiels connus documentes honnetement dans l'Accessibility Statement (zoom navigateur, test formel par lecteur d'ecran, audit formel de contraste). VR App : hand tracking pris en charge en alternative aux manettes ; l'accessibilite physique de la VR releve d'une decision clinique du professionnel superviseur.

Source : Accessibility Statement §1, §4, §5

VPAT / ACR

VPAT v2.5 (International Edition) realise en mars 2026, couvrant WCAG 2.0/2.1/2.2, Section 508 et EN 301 549 pour la plateforme v4.0.0. Disponible sur demande aupres de legal@withvr.app.

European Accessibility Act, EN 301 549, Section 508

EAA en vigueur depuis juin 2025. Therapy withVR est avant tout une plateforme professionnelle B2B ; l'applicabilite de l'EAA aux outils B2B est suivie a mesure que les orientations belges de transposition se precisent. Les ameliorations d'accessibilite visent EN 301 549 / WCAG 2.2 AA independamment de l'applicabilite de l'EAA. Section 508 : alignement partiel via le travail WCAG 2.2 AA ; aucune evaluation formelle Section 508 realisee.

Source : Accessibility Statement §3, §7

Langues

Interface de la Web App disponible en 59 langues. 52 combinaisons langue-region pour les voix d'avatar. Site marketing disponible en 11 locales (anglais plus neerlandais, francais, allemand, norvegien, italien, tcheque, espagnol, portugais, grec, arabe, turc), avec attribut lang correct et prise en charge RTL pour l'arabe.

5. Adequation culturelle et clinique

Tous les scenarios, phrases et contenus de conversation sont configurables par le professionnel superviseur - la pertinence culturelle et contextuelle est determinee par l'utilisateur, pas par nous. Les environnements de parole personnalisables et une piece vide librement configurable soutiennent une pratique qui reflete le contexte reel de la personne. Les etudes evaluees par les pairs utilisant Therapy withVR ou des scenarios developpes par withVR sont catalogues dans l'Evidence Hub avec citation complete, resume en langage clair et appreciation de la certitude pour chacune. La plateforme n'avance aucune revendication d'efficacite clinique propre ; les preuves proviennent de la litterature.

Source : Evidence Hub · Scenarios

6. Securite et notification de violation

Chiffrement et stockage

Toutes les donnees au repos dans Google Cloud Firestore sont chiffrees via AES-256 (chiffrement d'infrastructure par defaut Google Cloud). Les noms de profil sont en outre chiffres au niveau applicatif via AES-256 avec des vecteurs d'initialisation uniques par enregistrement. Toutes les donnees en transit sont chiffrees via TLS 1.2 ou superieur. Les mots de passe sont entierement geres par Firebase Authentication - withVR BV n'a jamais acces aux mots de passe utilisateurs.

Source : Privacy Policy §8 · DPA §6 (sur demande)

Gestion des correctifs

Correctifs critiques (CVSS 9.0+, zero-days, vulnerabilites affectant Firebase auth ou storage) : sous 48 heures. Eleve (CVSS 7.0-8.9) : sous 7 jours. Moyen (CVSS 4.0-6.9) : sous 30 jours ou a la version suivante. Identification via les bulletins fournisseurs, NVD/CVE et GitHub Dependabot. Aligne avec les obligations de l'article 32 du GDPR et la transposition belge de NIS2.

Source : Patch Management Policy §4 (sur demande)

Notification de violation

Notification d'une violation de donnees a caractere personnel a l'Autorite belge de protection des donnees (APD) sous 72 heures apres en avoir pris connaissance (Article 33 du GDPR). Notification a l'ICO du Royaume-Uni au titre de l'UK GDPR. Les utilisateurs concernes sont informes sans retard injustifie lorsque la violation est susceptible d'engendrer un risque eleve. Les clients institutionnels ayant signe un DPA sont notifies sous 72 heures conformement aux termes du DPA.

Source : Privacy Policy §10 · ToS §11.3 · DPA §11 (sur demande)

Disponibilite et resilience du service

Hebergement sur Google Cloud Firebase (Francfort) sous SLA de disponibilite a 99,95 % de Google. Replication multi-zone des donnees au sein de la region UE. Firestore point-in-time recovery avec une fenetre de 7 jours. Sauvegardes quotidiennes conservees 30 jours, sauvegardes hebdomadaires conservees 98 jours. Priorites de reponse aux incidents (P1 panne complete / violation de donnees sous 2 heures ; P2 panne partielle sous 4 heures ; P3 degradation mineure le jour ouvre suivant). La Web App fonctionne independamment du site marketing, et la VR App fonctionne independamment du canal de distribution Meta Quest Store apres installation.

Source : Business Continuity & Disaster Recovery Summary (sur demande)

Certifications de securite independantes

Position honnete : withVR BV ne detient pas a ce jour de certifications independantes SOC 2 Type II ou ISO 27001. L'infrastructure de la plateforme herite de ces certifications de Google Cloud / Firebase, qui les maintient toutes deux. Des certifications independantes seront envisagees a mesure que la plateforme gagnera en maturite. Des tests d'intrusion programmes ne sont pas en place a l'heure actuelle ; cela sera egalement envisage a mesure que la plateforme gagnera en maturite.

Source : Patch Management Policy §9 · BCDR §8.2 (sur demande)

Acces administratif

Position honnete : withVR BV est exploitee par une seule personne (le fondateur). L'acces administratif au projet Firebase est limite a cette personne. Aucun autre personnel ni tiers n'a d'acces direct a la base de donnees de production ou a l'infrastructure. L'authentification multifacteur sur les comptes administratifs est planifiee. L'infrastructure sous-jacente de la plateforme s'execute sur des services Google Cloud manages qui fonctionnent independamment de l'intervention quotidienne de withVR BV, ce qui attenue la dependance a une seule personne au niveau de l'infrastructure. Les scenarios d'indisponibilite du fondateur sont traites dans le Business Continuity Summary.

Source : Privacy Policy §8 · BCDR §5 (sur demande)

Journalisation d'audit

Les Google Cloud Audit Logs sont actives sur l'ensemble du projet de production et fournissent une piste inviolable de chaque action administrative et de chaque operation sur les donnees client. Les journaux Admin Activity toujours actifs capturent chaque modification de configuration. Les journaux Admin Read, Data Read et Data Write sont actives pour Cloud Firestore (ou se trouvent les donnees client), l'API Cloud Storage for Firebase (regles et configuration) et Google Cloud Storage (operations sur fichiers - chargement, telechargement, suppression). Les journaux sont conserves conformement a la politique de retention par defaut de Google Cloud (400 jours pour les data access logs, 400 jours pour les admin activity) et sont utilises uniquement pour l'investigation d'incidents de securite et la verification de la conformite. Cela fait partie des mesures techniques et organisationnelles de withVR BV au titre de GDPR Article 32.

Source : Google Cloud Audit Logs (projet Firebase) · BCDR §6 (sur demande)

Exigences reseau (pour l'IT institutionnel)

L'ensemble du trafic withVR BV utilise HTTPS sur le port 443. La Web App necessite withvr.app, firestore.googleapis.com, firebasestorage.googleapis.com, texttospeech.googleapis.com et (uniquement lorsque les fonctionnalites IA sont activees) api.openai.com. La VR App ne se connecte pas a OpenAI. Le materiel Meta Quest necessite en outre les domaines de la plateforme Meta - les etablissements operant des reseaux restreints (en particulier les ecoles) doivent s'assurer que ceux-ci ne sont pas bloques. La liste complete des domaines, ports, navigateurs et systemes d'exploitation se trouve sur la page Compatibility.

Source : page Compatibility · BCDR §8.1 (sur demande)

7. Travailler avec des enfants et en milieu scolaire

Les titulaires de compte doivent avoir 18 ans ou plus. La plateforme ne peut etre utilisee avec des mineurs que sous la supervision et le controle directs d'un professionnel adulte qualifie. Les eleves ne creent jamais de compte, ne se connectent jamais et ne soumettent jamais directement de donnees personnelles a la plateforme. Aucun nom d'eleve, identifiant ou PII ne peut etre saisi dans la plateforme. Le materiel Meta Quest dispose d'un age minimum distinct de 10 ans fixe par Meta - il s'agit de la politique de Meta, pas de la notre, et elle s'applique independamment de la supervision professionnelle.

Trois seuils peuvent s'appliquer simultanement : la politique d'age de la plateforme, le droit applicable a la confidentialite (par ex. les 13 ans de COPPA, les 13 a 16 ans de l'article 8 du GDPR selon l'Etat membre) et le consentement clinique (en general moins de 18 ans). Le seuil le plus eleve l'emporte. Le professionnel superviseur est responsable du consentement parental ou du tuteur dans sa juridiction.

Pour les ecoles americaines, un accord FERPA, une Student Data Privacy Agreement ou la SDPC National DPA sont disponibles - voir la section 8 (Accords disponibles) ci-dessous.

Source : Educational Use Policy §1, §3 · EULA §8

8. Maturite organisationnelle

Certification de dispositif medical

Therapy withVR n'est pas un dispositif medical. Pas de marquage CE au titre de l'EU MDR. Pas de regulation FDA. Pas de marquage UKCA. La plateforme ne diagnostique pas, ne traite pas, ne note pas, ne mesure pas et ne prend pas de decisions cliniques. Toutes les decisions cliniques restent l'entiere responsabilite du professionnel superviseur. Les fonctionnalites IA generent uniquement des suggestions de contenu et ne constituent ni un avis ni une evaluation clinique.

Source : EULA §1 · AUP §1 · EU AI Act Statement §2

SLA et disponibilite

withVR BV ne propose pas de garantie de disponibilite distincte, mais la plateforme herite du SLA de disponibilite a 99,95 % de Google Cloud pour l'infrastructure sous-jacente. Les maintenances planifiees sont communiquees a l'avance lorsque cela est possible. Les indisponibilites non planifiees sont communiquees par e-mail et sur le site.

Source : ToS §12.2 · EULA §11

Tarifs et TVA

Abonnement standard 49 EUR/mois par siege (hors TVA, en facturation annuelle). Remises pluriannuelles disponibles, jusqu'a 5 ans. Autant de sieges que necessaire. Devis sur papier a en-tete, facturation sur bon de commande et documentation supplementaire pour les achats disponibles sur demande. Nous pouvons echanger directement avec les equipes IT, achats ou protection des donnees pour lever les exigences de vendor onboarding.

Source : ToS §6 · Refund Policy

Protection des consommateurs (UE)

Droit legal de retractation de 14 jours au titre de la directive 2011/83/UE relative aux droits des consommateurs et de la loi belge de transposition. Droit belge / juridiction de Gand. Les consommateurs de l'UE conservent le droit d'engager une procedure devant les juridictions de leur lieu de residence habituelle ; la plateforme europeenne de reglement en ligne des litiges est disponible sur ec.europa.eu/consumers/odr (s'ouvre dans un nouvel onglet).

Source : ToS §6.4, §16 · Refund Policy §2, §9

9. Validation par les pairs

Therapy withVR est utilise dans des recherches actives evaluees par les pairs au sein d'universites et d'hopitaux dans de nombreux pays. L'Evidence Hub catalogue chaque etude publiee, avec citation complete, resume en langage clair et niveau de certitude. Universites, NHS trusts et districts scolaires ayant deja mene leurs propres processus d'approbation institutionnelle acceptent volontiers d'etre approches comme references - demande via hello@withvr.app.

Accords disponibles

Sur demande aupres de legal@withvr.app: DPA, accord FERPA / SDPC National DPA, Research Agreement, accord supplementaire personnalise, documentation DPIA, VPAT v2.5, resume BCDR, Patch Management Policy.

Documents

Tous les documents juridiques publics sont accessibles depuis withvr.app/fr/legal :

• Privacy Policy (Anglais)
• Terms of Service (Anglais)
• End User License Agreement (Anglais)
• Acceptable Use Policy (Anglais)
• Educational Use Policy (Anglais)
• EU AI Act Compliance Statement (Anglais)
• Accessibility Statement (Anglais)
• Cookie Policy (Anglais)
• Refund and Return Policy (Anglais)
• Sub-Processor List (Anglais)

Ce que nous ne pretendons pas

La transparence sur les limites fait partie integrante de la conception :

• Nous ne pretendons en aucune maniere etre un dispositif medical.
• Nous ne pretendons pas etre conformes a HIPAA - nous sommes hors du champ d'application de HIPAA par conception.
• Nous ne pretendons pas detenir de certifications independantes SOC 2 Type II ou ISO 27001. Nous heritons des deux de Google Cloud au niveau infrastructure ; des certifications independantes seront envisagees a mesure que la plateforme gagnera en maturite.
• Nous ne pretendons pas avoir realise un audit WCAG independant. Nous disposons d'une auto-evaluation, d'analyses automatisees, du VPAT v2.5 et d'un score Lighthouse de 100/100 sur le site marketing. Un audit formel commande est prevu lorsque le financement le permettra.
• Nous ne pretendons pas etre conformes a NIS2 - nous revendiquons un alignement avec la transposition belge de NIS2 via la Patch Management Policy.
• Nous ne pretendons pas que l'IA remplace le jugement clinique. Chaque fonctionnalite IA est optionnelle, desactivee par defaut et controlable. Les voix d'avatar sont toujours signalees comme synthetisees par IA.

Contact

Achats, questionnaires fournisseurs, revues de securite et demandes d'accord : legal@withvr.app. Notre Technology Checklist for SLPs public est le cadre autour duquel cette page est structuree - utilisez-le sur nous, ou sur tout autre outil que vous evaluez.

withVR BV · Jozef Hebbelynckstraat 21, Merelbeke 9820, Belgium · BE-0790.909.294 · Derniere revision 2026-04-26