Politique de confidentialité

Conformément à l'article 3.1 de la Loi 25, nous avons désigné un Responsable de la protection des renseignements personnels (RPRP). Le RPRP est chargé d'assurer le respect et la mise en œuvre de la présente politique et de répondre à vos demandes en matière de protection des renseignements personnels.

Nous collectons uniquement les renseignements nécessaires aux fins décrites dans cette politique.

2.1 Renseignements que vous nous fournissez directement

• Données de compte : prénom, nom, adresse courriel, mot de passe (chiffré), numéro de téléphone (optionnel), langue de communication.
• Données d'organisation : nom de l'entreprise, plan d'abonnement.
• Données de véhicules : marque, modèle, année, plaque d'immatriculation, type, kilométrage.
• Données d'inspection (rondes) : résultats des points d'inspection, notes textuelles, photos, mémos vocaux, signatures, géolocalisation (optionnelle).
• Documents conducteurs : permis de conduire, formations, attestations médicales, dates d'expiration.
• Données de facturation : informations de carte de crédit (traitées et stockées uniquement par Stripe, jamais par nous), factures.

2.2 Renseignements collectés automatiquement

• Données techniques : adresse IP, type de navigateur, système d'exploitation, pages visitées, durée de visite.
• Témoins (cookies) : voir section 7.
• Données d'utilisation : actions effectuées dans l'application, fréquence d'usage, moments de connexion.

Nous utilisons vos renseignements personnels uniquement pour les finalités suivantes :

• Fournir le service : créer et gérer votre compte, exécuter les rondes de sécurité, générer les rapports PDF, archiver vos données conformément aux exigences SAAQ.
• Communications : vous envoyer des courriels transactionnels (rapport hebdomadaire, alertes critiques, factures, fin d'essai), répondre à vos demandes.
• Facturation : traiter les paiements, émettre les factures, gérer les abonnements.
• Amélioration du service : analyser l'usage agrégé pour améliorer les fonctionnalités (les analyses individuelles requièrent votre consentement explicite).
• Conformité légale : respecter nos obligations légales, notamment l'article 519.73 du Code de la sécurité routière du Québec et les exigences de conservation de la SAAQ.
• Sécurité : prévenir la fraude, détecter les abus, protéger vos données.

Engagement Loi 25 : nous ne collectons aucun renseignement au-delà de ces finalités sans obtenir votre consentement explicite préalable. Les paramètres par défaut de votre compte sont configurés pour offrir le plus haut niveau de confidentialité.

Nous traitons vos renseignements personnels sur les bases légales suivantes :

• Consentement : pour les communications marketing, les témoins non essentiels et toute fonctionnalité optionnelle (ex. analyse IA des rondes).
• Exécution d'un contrat : pour fournir le service que vous avez souscrit.
• Obligation légale : pour respecter nos obligations envers la SAAQ et les autorités fiscales québécoises.
• Intérêt légitime : pour la sécurité du service, la prévention de la fraude et l'amélioration du produit.

Nous conservons vos renseignements personnels uniquement le temps nécessaire à la réalisation des finalités pour lesquelles ils ont été collectés, conformément aux durées suivantes :

À l'issue de ces périodes, vos renseignements sont supprimés ou anonymisés de façon irréversible.

La Loi 25 vous accorde des droits étendus sur vos renseignements personnels. Vous pouvez exercer ces droits gratuitement en tout temps en contactant notre RPRP (voir section 1).

• Droit d'accès : obtenir une copie de tous les renseignements que nous détenons à votre sujet.
• Droit de rectification : corriger des renseignements inexacts ou incomplets.
• Droit de retrait du consentement : retirer votre consentement à tout moment pour tout traitement reposant sur le consentement.
• Droit à la cessation de la diffusion ou à la désindexation : demander que vos renseignements ne soient plus accessibles publiquement.
• Droit à la portabilité : recevoir vos renseignements dans un format structuré et lisible (JSON ou CSV).
• Droit à l'effacement : demander la suppression de vos renseignements (sous réserve de nos obligations légales de conservation).
• Droit à l'information sur les décisions automatisées : être informé lorsqu'une décision vous concernant repose uniquement sur un traitement automatisé (par exemple, l'analyse IA des rondes).

Nous nous engageons à répondre à vos demandes dans un délai maximal de 30 jours, comme l'exige la Loi 25. En cas de désaccord avec notre réponse, vous pouvez porter plainte auprès de la Commission d'accès à l'information du Québec (CAI) : cai.gouv.qc.ca.

Nous utilisons des témoins (cookies) et technologies similaires pour faire fonctionner notre service et améliorer votre expérience. Lors de votre première visite, nous vous demandons votre consentement explicite pour les témoins non essentiels.

7.1 Témoins essentiels (toujours actifs)

Indispensables au fonctionnement de la plateforme. Ils ne peuvent être désactivés.

• Authentification : maintien de votre session connectée (Clerk).
• Sécurité : protection contre les attaques CSRF.
• Préférences : mémorisation de votre choix de témoins.

7.2 Témoins analytiques (consentement requis)

Nous aident à comprendre comment vous utilisez la plateforme, sous forme agrégée et anonymisée.

• Google Analytics 4 via Google Tag Manager — statistiques de visite anonymisées.
• Microsoft Clarity — enregistrement de session anonymisé pour identifier les frictions UX.

7.3 Témoins de performance (consentement requis)

• Sentry — détection et résolution des erreurs techniques.

Vous pouvez modifier vos préférences en tout temps via le lien « Gérer mes témoins » en bas de page.

Nous ne vendons jamais vos renseignements personnels. Nous les communiquons à des tiers de confiance uniquement lorsque cela est nécessaire à la fourniture du service, et toujours dans le cadre d'ententes contractuelles strictes garantissant un niveau de protection équivalent à celui prévu au Québec.

Évaluation des facteurs relatifs à la vie privée : conformément à l'article 17 de la Loi 25, nous avons réalisé une évaluation des facteurs relatifs à la vie privée pour chacun de ces transferts hors Québec et confirmé que des mesures contractuelles, techniques et organisationnelles adéquates sont en place pour protéger vos renseignements (chiffrement en transit et au repos, ententes de traitement de données, certifications SOC 2 / ISO 27001 selon les fournisseurs).

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées :

• Chiffrement TLS 1.3 pour toutes les communications réseau.
• Chiffrement AES-256 au repos pour les bases de données.
• Authentification multi-facteur disponible pour les comptes.
• Accès restreint aux données par contrôle de rôle (RBAC).
• Sauvegardes chiffrées quotidiennes.
• Audits de sécurité réguliers et tests de pénétration annuels.
• Journalisation des accès aux données sensibles.

Conformément à la Loi 25, en cas d'incident de confidentialité présentant un risque de préjudice sérieux, nous nous engageons à :

• Vous en informer par courriel dans les meilleurs délais (généralement sous 72 heures).
• Notifier la Commission d'accès à l'information du Québec (CAI).
• Décrire la nature de l'incident, les renseignements concernés et les mesures prises pour limiter le préjudice.
• Vous indiquer les actions que vous pouvez entreprendre pour vous protéger.

Nous tenons un registre interne de tous les incidents de confidentialité, accessible sur demande à la CAI.

Nous pouvons modifier cette politique pour refléter des changements légaux, techniques ou opérationnels. Toute modification significative vous sera communiquée par courriel et / ou par avis dans la plateforme au moins 30 jours avant son entrée en vigueur. La date de dernière mise à jour figure en haut de cette page.

Pour toute question sur la présente politique ou pour exercer vos droits, contactez notre Responsable de la protection des renseignements personnels :