Privacy Policy
Politique de confidentialite
Last updated / Derniere mise a jour : May 18, 2026 / 18 mai 2026 — Version 3.0
Compliant with / Conforme a : GDPR (EU) · PIPEDA (Canada) · CNDP Loi 09-08 (Morocco)
1. Data Controller
MindBridge EAP Inc. ("MindBridge", "we", "us") is the data controller responsible for your personal data. Registered address: 123 Boulevard d'Anfa, Casablanca 20000, Morocco Canadian operations: MindBridge EAP Inc., Montreal, QC, Canada Data Protection Officer (DPO): privacy@mindbridgeeap.com CNDP Declaration: No. D-MBR-2024-0042
1. Responsable du traitement
MindBridge EAP Inc. (« MindBridge », « nous ») est le responsable du traitement de vos donnees personnelles. Siege social : 123 Boulevard d'Anfa, Casablanca 20000, Maroc Operations canadiennes : MindBridge EAP Inc., Montreal, QC, Canada Delegue a la Protection des Donnees (DPO) : privacy@mindbridgeeap.com Declaration CNDP : N° D-MBR-2024-0042
2. Legal Basis for Processing
We process personal data under the following legal bases: • Consent (GDPR Art. 6(1)(a), PIPEDA Principle 3, Loi 09-08 Art. 4): You provide explicit consent during onboarding for the processing of your health data and personal information. • Contract performance (GDPR Art. 6(1)(b)): Processing necessary to provide the EAP services your employer has contracted. • Legitimate interest (GDPR Art. 6(1)(f)): Anonymized analytics (k-anonymity >= 5) for employer reporting, platform improvement, and fraud prevention. • Legal obligation (GDPR Art. 6(1)(c)): Compliance with record retention laws and regulatory requirements. Health data (mental health screening results, session notes) is classified as "sensitive data" under GDPR Art. 9, PIPEDA, and Loi 09-08. We process it only with your explicit consent and apply additional safeguards including AES-256-GCM encryption.
2. Base legale du traitement
Nous traitons les donnees personnelles sur les bases legales suivantes : • Consentement (RGPD Art. 6(1)(a), PIPEDA Principe 3, Loi 09-08 Art. 4) : Vous fournissez un consentement explicite lors de l'onboarding pour le traitement de vos donnees de sante et informations personnelles. • Execution du contrat (RGPD Art. 6(1)(b)) : Traitement necessaire a la fourniture des services EAP contractes par votre employeur. • Interet legitime (RGPD Art. 6(1)(f)) : Statistiques anonymisees (k-anonymat >= 5) pour les rapports employeur, l'amelioration de la plateforme et la prevention de la fraude. • Obligation legale (RGPD Art. 6(1)(c)) : Conformite aux lois de conservation des donnees et exigences reglementaires. Les donnees de sante (resultats de screening de sante mentale, notes de seance) sont classees comme « donnees sensibles » au titre du RGPD Art. 9, du PIPEDA et de la Loi 09-08. Nous ne les traitons qu'avec votre consentement explicite et appliquons des mesures de securite renforcees incluant le chiffrement AES-256-GCM.
3. Data Collected
We collect the following categories of personal data: Identity data: • First name, last name, professional email address • Phone number (encrypted AES-256-GCM) • Avatar/profile picture (optional) Health & clinical data (sensitive): • Screening questionnaire responses (PHQ-9, GAD-7, PSS-10, K6, CBI) — encrypted AES-256-GCM • Session notes written by psychologists — encrypted AES-256-GCM, accessible only to the psychologist and the employee concerned • Big Five personality test results — encrypted AES-256-GCM • Psychotechnical assessment results Usage data: • Login history, session timestamps • Bookings and session attendance • Resource and workshop interactions • Notification preferences Employer-aggregated data: • Anonymized psychosocial risk reports (k-anonymity >= 5) • Aggregated usage statistics — never individually identifiable Technical data: • IP address (not stored long-term), browser type • Authentication tokens (JWT) • Cookie consent preferences
3. Donnees collectees
Nous collectons les categories de donnees personnelles suivantes : Donnees d'identification : • Nom, prenom, adresse email professionnelle • Numero de telephone (chiffre AES-256-GCM) • Avatar/photo de profil (optionnel) Donnees de sante et cliniques (sensibles) : • Reponses aux questionnaires de screening (PHQ-9, GAD-7, PSS-10, K6, CBI) — chiffrees AES-256-GCM • Notes de seance redigees par les psychologues — chiffrees AES-256-GCM, accessibles uniquement au psychologue et a l'employe concerne • Resultats du test de personnalite Big Five — chiffres AES-256-GCM • Resultats des tests psychotechniques Donnees d'utilisation : • Historique de connexion, horodatage des sessions • Reservations et presence aux seances • Interactions avec les ressources et ateliers • Preferences de notification Donnees agregees employeur : • Rapports de risques psychosociaux anonymises (k-anonymat >= 5) • Statistiques d'utilisation agregees — jamais individuellement identifiables Donnees techniques : • Adresse IP (non conservee a long terme), type de navigateur • Tokens d'authentification (JWT) • Preferences de consentement aux cookies
4. Purpose of Processing
Each data category is processed for a specific purpose: • Identity data -> Provide access to the platform, authenticate users, manage accounts • Health & clinical data -> Deliver psychological support services, generate screening assessments, enable psychologist-employee communication • Usage data -> Manage bookings, send reminders, improve user experience • Employer-aggregated data -> Generate anonymized HR reports for psychosocial risk monitoring (data is always aggregated with k-anonymity >= 5) • Technical data -> Ensure platform security, prevent fraud, comply with legal obligations
4. Finalites du traitement
Chaque categorie de donnees est traitee pour une finalite specifique : • Donnees d'identification -> Fournir l'acces a la plateforme, authentifier les utilisateurs, gerer les comptes • Donnees de sante et cliniques -> Fournir les services d'accompagnement psychologique, generer les evaluations de screening, permettre la communication psychologue-employe • Donnees d'utilisation -> Gerer les reservations, envoyer les rappels, ameliorer l'experience utilisateur • Donnees agregees employeur -> Generer des rapports RH anonymises pour le suivi des risques psychosociaux (donnees toujours agregees avec k-anonymat >= 5) • Donnees techniques -> Assurer la securite de la plateforme, prevenir la fraude, respecter les obligations legales
5. Data Retention
• Session notes: 5 years (professional ethics obligation for psychologists) • Health screening results: Until user requests deletion, or 2 years after last activity • Account data: Duration of the contractual relationship + 1 year • Connection logs: 12 months • Psychotechnical assessment results: 2 years • Anonymized reports: Retained indefinitely (non-personal data) After expiration of the retention period, data is permanently deleted or irreversibly anonymized. An automated GDPR/CNDP purge process runs daily to enforce these retention periods.
5. Duree de conservation
• Notes de seance : 5 ans (obligation deontologique des psychologues) • Resultats de screening de sante : Jusqu'a la demande de suppression par l'utilisateur, ou 2 ans apres la derniere activite • Donnees de compte : Duree de la relation contractuelle + 1 an • Logs de connexion : 12 mois • Resultats des tests psychotechniques : 2 ans • Rapports anonymises : Conservation indefinie (donnees non personnelles) Apres expiration de la duree de conservation, les donnees sont definitivement supprimees ou anonymisees de maniere irreversible. Un processus automatise de purge RGPD/CNDP s'execute quotidiennement pour appliquer ces durees.
6. International Data Transfers
Your data may be processed in the following jurisdictions: • Supabase (database): AWS eu-west region (EU). Data at rest is encrypted. • Vercel (hosting & edge): Edge network with primary processing in EU/US. Vercel DPA is in place. • Daily.co (video sessions): US-based. Video streams are encrypted in transit and not stored beyond session completion. • Resend (transactional emails): US-based. Emails contain minimal PII. • Stripe (payments): US/EU. PCI-DSS Level 1 certified. • NVIDIA NIM / Groq (AI): US-based. PII is scrubbed before AI processing; no clinical data is sent to AI services. For transfers outside the EU/EEA, we rely on Standard Contractual Clauses (SCCs) approved by the European Commission, or equivalent safeguards as required by PIPEDA and Loi 09-08.
6. Transferts internationaux de donnees
Vos donnees peuvent etre traitees dans les juridictions suivantes : • Supabase (base de donnees) : Region AWS eu-west (UE). Donnees chiffrees au repos. • Vercel (hebergement & edge) : Reseau edge avec traitement principal en UE/US. DPA Vercel en place. • Daily.co (sessions video) : Base aux Etats-Unis. Les flux video sont chiffres en transit et ne sont pas conserves au-dela de la fin de la session. • Resend (emails transactionnels) : Base aux Etats-Unis. Les emails contiennent un minimum de DCP. • Stripe (paiements) : US/UE. Certifie PCI-DSS Niveau 1. • NVIDIA NIM / Groq (IA) : Base aux Etats-Unis. Les DCP sont nettoyees avant le traitement IA ; aucune donnee clinique n'est envoyee aux services d'IA. Pour les transferts hors UE/EEE, nous nous appuyons sur les Clauses Contractuelles Types (CCT) approuvees par la Commission europeenne, ou des garanties equivalentes requises par le PIPEDA et la Loi 09-08.
7. Sub-Processors
The following third-party sub-processors may access personal data in the course of providing services to MindBridge: | Sub-processor | Purpose | Location | Data processed | |---|---|---|---| | Supabase | Database & storage | EU (AWS eu-west) | All personal data (encrypted) | | Vercel | Hosting, edge functions | EU/US | Request data, IP | | Daily.co | Video conferencing | US | Video/audio streams | | Resend | Transactional email | US | Name, email | | Stripe | Payment processing | US/EU | Billing data | | NVIDIA NIM / Groq | AI services | US | Anonymized/scrubbed text only | All sub-processors are bound by Data Processing Agreements (DPAs) that meet GDPR, PIPEDA, and Loi 09-08 requirements, except NVIDIA NIM where only anonymized, non-identifiable data is transmitted and a DPA is being finalized.
7. Sous-traitants
Les sous-traitants tiers suivants peuvent acceder aux donnees personnelles dans le cadre de la fourniture de services a MindBridge : | Sous-traitant | Finalite | Localisation | Donnees traitees | |---|---|---|---| | Supabase | Base de donnees & stockage | UE (AWS eu-west) | Toutes les donnees personnelles (chiffrees) | | Vercel | Hebergement, fonctions edge | UE/US | Donnees de requete, IP | | Daily.co | Visioconference | US | Flux video/audio | | Resend | Email transactionnel | US | Nom, email | | Stripe | Traitement des paiements | US/UE | Donnees de facturation | | NVIDIA NIM / Groq | Services d'IA | US | Texte anonymise/nettoye uniquement | Tous les sous-traitants sont lies par des Accords de Traitement des Donnees (DPA) conformes aux exigences du RGPD, du PIPEDA et de la Loi 09-08, a l'exception de NVIDIA NIM ou seules des donnees anonymisees et non identifiables sont transmises et un DPA est en cours de finalisation.
8. Security Measures
MindBridge applies the following security measures to protect your data: • AES-256-GCM encryption for all sensitive data (clinical notes, screening responses, phone numbers) • HTTPS/TLS 1.3 for all communications • Secure authentication (JWT tokens, NextAuth sessions) • Role-Based Access Control (RBAC) with 6 distinct roles — psychologists only access their own patients • k-anonymity >= 5 on all aggregated HR reports — no individual can be re-identified • PII scrubbing in application logs • Rate limiting on all API endpoints • Quarterly security audits • Soft-delete architecture — data is retained for audit trail compliance
8. Mesures de securite
MindBridge applique les mesures de securite suivantes pour proteger vos donnees : • Chiffrement AES-256-GCM pour toutes les donnees sensibles (notes cliniques, reponses de screening, numeros de telephone) • HTTPS/TLS 1.3 pour toutes les communications • Authentification securisee (tokens JWT, sessions NextAuth) • Controle d'acces par role (RBAC) avec 6 roles distincts — les psychologues n'accedent qu'a leurs propres patients • k-anonymat >= 5 sur tous les rapports RH agreges — aucun individu ne peut etre re-identifie • Nettoyage des DCP dans les logs applicatifs • Limitation de debit sur tous les endpoints API • Audits de securite trimestriels • Architecture soft-delete — les donnees sont conservees pour la conformite de la piste d'audit
9. Your Rights
Under GDPR, PIPEDA, and Loi 09-08, you have the following rights: • Right of access: Obtain a copy of your personal data • Right to rectification: Correct inaccurate data • Right to erasure ("right to be forgotten"): Request deletion of your data • Right to data portability: Receive your data in a structured, machine-readable format • Right to object: Object to processing based on legitimate interest • Right to restrict processing: Request limitation of processing • Right to withdraw consent: Withdraw your consent at any time without affecting the lawfulness of prior processing To exercise any of these rights, contact: privacy@mindbridgeeap.com We will respond to your request within 30 days (GDPR/CNDP) or as required by applicable law.
9. Vos droits
En vertu du RGPD, du PIPEDA et de la Loi 09-08, vous disposez des droits suivants : • Droit d'acces : Obtenir une copie de vos donnees personnelles • Droit de rectification : Corriger des donnees inexactes • Droit a l'effacement (« droit a l'oubli ») : Demander la suppression de vos donnees • Droit a la portabilite : Recevoir vos donnees dans un format structure et lisible par machine • Droit d'opposition : Vous opposer au traitement fonde sur l'interet legitime • Droit a la limitation du traitement : Demander la limitation du traitement • Droit de retrait du consentement : Retirer votre consentement a tout moment sans affecter la licite du traitement anterieur Pour exercer l'un de ces droits, contactez : privacy@mindbridgeeap.com Nous repondrons a votre demande dans un delai de 30 jours (RGPD/CNDP) ou selon les delais prevus par la loi applicable.
10. GDPR — European Union
If you are located in the European Economic Area (EEA), the following additional rights and protections apply: • Right to lodge a complaint with your local supervisory authority (e.g., CNIL in France, BfDI in Germany) • Our DPO can be reached at: privacy@mindbridgeeap.com • We conduct Data Protection Impact Assessments (DPIAs) for high-risk processing activities, particularly health data processing • We maintain Records of Processing Activities (ROPA) as required by GDPR Art. 30 • Mental health data is classified as "special category" data under GDPR Art. 9 and is processed only with your explicit consent
10. RGPD — Union europeenne
Si vous etes situe dans l'Espace economique europeen (EEE), les droits et protections supplementaires suivants s'appliquent : • Droit de deposer une plainte aupres de votre autorite de controle locale (ex. CNIL en France, BfDI en Allemagne) • Notre DPO est joignable a : privacy@mindbridgeeap.com • Nous realisons des Analyses d'Impact relatives a la Protection des Donnees (AIPD) pour les activites de traitement a haut risque, en particulier le traitement des donnees de sante • Nous tenons un Registre des Activites de Traitement (RAT) conformement au RGPD Art. 30 • Les donnees de sante mentale sont classees comme donnees de « categorie speciale » au titre du RGPD Art. 9 et ne sont traitees qu'avec votre consentement explicite
11. PIPEDA — Canada
If you are located in Canada, the following additional provisions apply under the Personal Information Protection and Electronic Documents Act (PIPEDA): • Right to challenge compliance: You may challenge MindBridge's compliance with PIPEDA by contacting our DPO • Right to file a complaint with the Office of the Privacy Commissioner of Canada (OPC): www.priv.gc.ca • Meaningful consent: We obtain meaningful consent for the collection, use, and disclosure of personal information, particularly for sensitive health data • Accountability: Our DPO is accountable for compliance with PIPEDA principles • Health information: Mental health data is considered sensitive personal information under PIPEDA and requires express consent for collection and use
11. PIPEDA — Canada
Si vous etes situe au Canada, les dispositions supplementaires suivantes s'appliquent en vertu de la Loi sur la protection des renseignements personnels et les documents electroniques (PIPEDA) : • Droit de contester la conformite : Vous pouvez contester la conformite de MindBridge au PIPEDA en contactant notre DPO • Droit de deposer une plainte aupres du Commissariat a la protection de la vie privee du Canada (CPVP) : www.priv.gc.ca • Consentement valable : Nous obtenons un consentement valable pour la collecte, l'utilisation et la divulgation des renseignements personnels, en particulier pour les donnees de sante sensibles • Responsabilite : Notre DPO est responsable de la conformite aux principes du PIPEDA • Renseignements sur la sante : Les donnees de sante mentale sont considerees comme des renseignements personnels sensibles en vertu du PIPEDA et necessitent un consentement expres pour leur collecte et utilisation
12. CNDP Loi 09-08 — Morocco
If you are located in Morocco, the following additional provisions apply under Law 09-08 on the protection of individuals regarding the processing of personal data: • Right to file a complaint with the CNDP (Commission Nationale de controle de la protection des Donnees a caractere Personnel), Avenue Imam Malik, Hay Riad, Rabat, Morocco — www.cndp.ma • MindBridge is registered with the CNDP under Declaration No. D-MBR-2024-0042 • Health data is classified as "sensitive data" under Art. 1 of Loi 09-08 and requires explicit consent • You may exercise your rights of access, rectification, opposition, and erasure through the dedicated CNDP rights page in the application or by contacting privacy@mindbridgeeap.com
12. CNDP Loi 09-08 — Maroc
Si vous etes situe au Maroc, les dispositions supplementaires suivantes s'appliquent en vertu de la Loi 09-08 relative a la protection des personnes physiques a l'egard du traitement des donnees a caractere personnel : • Droit de deposer une plainte aupres de la CNDP (Commission Nationale de controle de la protection des Donnees a caractere Personnel), Avenue Imam Malik, Hay Riad, Rabat, Maroc — www.cndp.ma • MindBridge est declare aupres de la CNDP sous le N° D-MBR-2024-0042 • Les donnees de sante sont classees comme « donnees sensibles » au titre de l'Art. 1 de la Loi 09-08 et necessitent un consentement explicite • Vous pouvez exercer vos droits d'acces, de rectification, d'opposition et de suppression via la page dediee aux droits CNDP dans l'application ou en contactant privacy@mindbridgeeap.com
13. Mental Health Data — Special Protections
Mental health data is classified as "sensitive" or "special category" data under all three frameworks (GDPR, PIPEDA, Loi 09-08). MindBridge applies the following additional safeguards: • Explicit consent is required before any health data is collected or processed • All clinical data is encrypted with AES-256-GCM at rest — encryption keys are managed separately from the database • Session notes are accessible only to the treating psychologist and the employee concerned — employers never receive individual health data • Aggregated health reports use k-anonymity >= 5 — groups smaller than 5 are suppressed • AI services (NVIDIA NIM, Groq) never receive identifiable clinical data — PII is stripped before processing • Psychologists are bound by professional ethics and the Code of Conduct for psychologists • Health data processing can be withdrawn at any time — existing data will be deleted per retention schedule
13. Donnees de sante mentale — Protections speciales
Les donnees de sante mentale sont classees comme donnees « sensibles » ou de « categorie speciale » dans les trois cadres juridiques (RGPD, PIPEDA, Loi 09-08). MindBridge applique les mesures de securite supplementaires suivantes : • Un consentement explicite est requis avant toute collecte ou traitement de donnees de sante • Toutes les donnees cliniques sont chiffrees en AES-256-GCM au repos — les cles de chiffrement sont gerees separement de la base de donnees • Les notes de seance ne sont accessibles qu'au psychologue traitant et a l'employe concerne — les employeurs ne recoivent jamais de donnees de sante individuelles • Les rapports de sante agreges utilisent un k-anonymat >= 5 — les groupes de moins de 5 sont supprimes • Les services d'IA (NVIDIA NIM, Groq) ne recoivent jamais de donnees cliniques identifiables — les DCP sont supprimees avant le traitement • Les psychologues sont tenus par la deontologie professionnelle et le Code de conduite des psychologues • Le traitement des donnees de sante peut etre retire a tout moment — les donnees existantes seront supprimees selon le calendrier de retention
13b. Artificial Intelligence Processing (Loi 25 Art. 12.1)
MindBridge uses artificial intelligence (NVIDIA NIM, Groq) to provide chat assistance and session recaps for psychologists. • Clinical note content may be processed by external AI providers (NVIDIA NIM, Groq, Anthropic Claude) for recap generation and chat assistance • All data is anonymized before transmission — no personally identifiable information (name, email, patient ID) is sent to AI providers • Session notes are truncated and stripped of direct identifiers before AI processing • AI providers operate as stateless inference APIs — conversations are not stored by the provider • AI-generated content (recaps, chat responses) is clearly labeled as AI-generated within the application • You may opt out of AI features at any time through your account settings — opting out will disable AI chat assistance and session recap generation • Data Processing Agreements (DPAs) are in place with AI sub-processors (NVIDIA NIM: DPA being finalized, anonymized data only) This disclosure is made in compliance with Quebec's Act respecting the protection of personal information in the private sector (Loi 25), Article 12.1, which requires organizations to inform individuals when their personal information is used in automated decision-making.
13b. Traitement par intelligence artificielle (Loi 25 Art. 12.1)
MindBridge utilise l'intelligence artificielle (NVIDIA NIM, Groq) pour fournir une assistance par chat et des recapitulatifs de seance aux psychologues. • Le contenu des notes cliniques peut etre traite par des fournisseurs d'IA externes (NVIDIA NIM, Groq, Anthropic Claude) pour la generation de recapitulatifs et l'assistance par chat • Toutes les donnees sont anonymisees avant transmission — aucune information permettant d'identifier une personne (nom, email, identifiant patient) n'est envoyee aux fournisseurs d'IA • Les notes de seance sont tronquees et depourvues d'identifiants directs avant le traitement par l'IA • Les fournisseurs d'IA fonctionnent comme des API d'inference sans etat — les conversations ne sont pas conservees par le fournisseur • Le contenu genere par l'IA (recapitulatifs, reponses du chat) est clairement identifie comme genere par l'IA dans l'application • Vous pouvez desactiver les fonctionnalites d'IA a tout moment via les parametres de votre compte — la desactivation supprimera l'assistance par chat IA et la generation de recapitulatifs de seance • Des Accords de Traitement des Donnees (DPA) sont en place avec les sous-traitants d'IA (NVIDIA NIM : DPA en cours de finalisation, donnees anonymisees uniquement) Cette divulgation est faite en conformite avec la Loi sur la protection des renseignements personnels dans le secteur prive du Quebec (Loi 25), Article 12.1, qui exige que les organisations informent les individus lorsque leurs renseignements personnels sont utilises dans le cadre de decisions automatisees.
14. Data Breach Notification
In the event of a personal data breach: • GDPR: We will notify the relevant supervisory authority within 72 hours of becoming aware of a breach that is likely to result in a risk to the rights and freedoms of individuals. Affected individuals will be notified without undue delay if the breach is likely to result in a high risk. • PIPEDA: We will report breaches to the Office of the Privacy Commissioner of Canada and notify affected individuals as soon as feasible if the breach creates a real risk of significant harm. • CNDP (Loi 09-08): We will notify the CNDP and affected individuals in accordance with applicable requirements. For more details, see our Breach Notification Policy at /legal/breach-notification.
14. Notification de violation de donnees
En cas de violation de donnees personnelles : • RGPD : Nous notifierons l'autorite de controle competente dans les 72 heures suivant la prise de connaissance d'une violation susceptible d'engendrer un risque pour les droits et libertes des personnes. Les personnes concernees seront notifiees sans delai indu si la violation est susceptible d'engendrer un risque eleve. • PIPEDA : Nous signalerons les violations au Commissariat a la protection de la vie privee du Canada et notifierons les personnes concernees dans les meilleurs delais si la violation cree un risque reel de prejudice grave. • CNDP (Loi 09-08) : Nous notifierons la CNDP et les personnes concernees conformement aux exigences applicables. Pour plus de details, consultez notre Politique de notification de violation a /legal/breach-notification.
15. Cookie Policy
MindBridge uses cookies and similar technologies. For full details, see our dedicated Cookie Policy at /legal/cookies. Essential cookies (authentication, CSRF protection) are always active. Analytics and preference cookies require your explicit consent. You can manage your preferences at any time through the cookie consent banner.
15. Politique de cookies
MindBridge utilise des cookies et technologies similaires. Pour tous les details, consultez notre Politique de cookies dediee a /legal/cookies. Les cookies essentiels (authentification, protection CSRF) sont toujours actifs. Les cookies d'analyse et de preference necessitent votre consentement explicite. Vous pouvez gerer vos preferences a tout moment via la banniere de consentement aux cookies.
16. Contact — Data Protection Officer
For any question regarding your personal data or to exercise your rights: Email: privacy@mindbridgeeap.com Address: MindBridge EAP Inc., 123 Boulevard d'Anfa, Casablanca 20000, Morocco CNDP Declaration: No. D-MBR-2024-0042 You may also file complaints with: • CNDP (Morocco): www.cndp.ma — Avenue Imam Malik, Hay Riad, Rabat • CNIL (France): www.cnil.fr • OPC (Canada): www.priv.gc.ca • Your local EU supervisory authority
16. Contact — Delegue a la Protection des Donnees
Pour toute question relative a vos donnees personnelles ou pour exercer vos droits : Email : privacy@mindbridgeeap.com Adresse : MindBridge EAP Inc., 123 Boulevard d'Anfa, Casablanca 20000, Maroc Declaration CNDP : N° D-MBR-2024-0042 Vous pouvez egalement deposer une plainte aupres de : • CNDP (Maroc) : www.cndp.ma — Avenue Imam Malik, Hay Riad, Rabat • CNIL (France) : www.cnil.fr • CPVP (Canada) : www.priv.gc.ca • Votre autorite de controle locale de l'UE
Email: privacy@mindbridgeeap.com
Address: MindBridge EAP Inc., 123 Boulevard d'Anfa, Casablanca 20000, Morocco
CNDP: Declaration No. D-MBR-2024-0042
GDPR DPO: privacy@mindbridgeeap.com
PIPEDA: OPC complaint — www.priv.gc.ca