Politique de confidentialité
AlloTech.AI respecte votre vie privée et s'engage à protéger vos renseignements personnels conformément à la Loi 25 et à la LPRPDE.
Date d'entrée en vigueur: 17 avril 2026
1. Informations que nous collectons
1.1 Informations que vous fournissez directement
- Coordonnées : nom, adresse courriel, numéro de téléphone
- Informations professionnelles : nom de l'entreprise, secteur, taille, description du projet
- Données de compte : identifiants de connexion si vous accédez à un portail client
- Communications : messages, demandes de support, soumissions de formulaires, courriels
- Informations de facturation : nom et adresse (les paiements sont traités par des tiers — nous ne stockons pas les numéros de carte)
1.2 Informations collectées automatiquement
- Données d'utilisation : pages visitées, temps passé, comportement de navigation, source de référence
- Données d'appareil et de navigateur : adresse IP, type de navigateur, système d'exploitation
- Témoins et technologies similaires (voir section 6)
- Données analytiques : via des outils d'analyse respectueux de la vie privée
1.3 Informations provenant de tiers
- Informations autorisées via des plateformes sociales ou intégrations CRM
- Informations de référence provenant de partenaires
2. Comment nous utilisons vos informations
Nous utilisons vos informations strictement aux fins suivantes :
- Prestation de services : fournir, configurer et exploiter les systèmes IA, workflows et services
- Communication client : répondre aux demandes, envoyer des mises à jour de projet
- Facturation et contrats : traiter les paiements, émettre des factures, gérer les accords
- Amélioration des systèmes : analyser l'utilisation pour améliorer la plateforme
- Communications marketing : newsletters et promotions — uniquement avec votre consentement explicite
- Conformité légale : respecter la Loi 25, la LPRPDE et le droit applicable
- Sécurité : détecter, enquêter et prévenir la fraude ou les accès non autorisés
3. Base légale du traitement
- Consentement : pour les courriels marketing, bulletins et témoins (retirable à tout moment)
- Exécution d'un contrat : pour fournir les services demandés
- Intérêt légitime : analytique, surveillance de sécurité, amélioration des services
- Obligation légale : conformité aux lois canadiennes et québécoises
4. Stockage et sécurité des données
Toutes les données sont stockées sur une infrastructure sécurisée et chiffrée. Nous mettons en œuvre des mesures techniques et organisationnelles conformes aux standards de l'industrie, incluant :
- Chiffrement TLS/HTTPS en transit ; AES-256 au repos
- Contrôles d'accès et permissions basées sur les rôles (principe du moindre privilège)
- Évaluations de vulnérabilités régulières avec des outils open source (OpenVAS, Wazuh, Lynis)
- Détection d'intrusion et surveillance 24/7 via Suricata / SIEM
- Plan de réponse aux incidents avec procédures de notification en cas de violation
5. Partage des données et tiers
Nous ne vendons, ne louons ni n'échangeons jamais vos renseignements personnels. Nous pouvons partager les données uniquement avec :
- Prestataires de services : hébergement cloud, analytique, plateformes courriel — sous des ententes de traitement de données strictes
- Processeurs de paiement : Helcim (entreprise canadienne, certifiée PCI-DSS niveau 1) — conformes à la norme PCI-DSS
- Autorités légales : lorsque requis par la loi, une ordonnance ou une réglementation
- Transferts d'entreprise : en cas de fusion ou acquisition — vous serez notifié(e)
6. Témoins (cookies) et suivi
Types de témoins utilisés
- Témoins essentiels : nécessaires au fonctionnement du site — aucun consentement requis
- Témoins analytiques : mesure du trafic et du comportement — consentement requis
- Témoins de préférences : langue et paramètres d'affichage — consentement requis
- Témoins marketing : uniquement si applicable, avec consentement explicite
Vous pouvez gérer ou retirer votre consentement aux témoins à tout moment via les paramètres de votre navigateur. La désactivation des témoins analytiques n'affecte pas votre accès aux services.
7. Systèmes IA et traitement des données
- Isolation des données client : les données de chaque client sont traitées dans des environnements isolés
- Pas d'entraînement de modèle sur vos données : vos données ne servent pas à entraîner des modèles IA tiers
- Outils open source : nous privilégions les modèles IA open source (LLaMA, Mistral) sur infrastructure privée
- Supervision humaine : les sorties IA affectant les décisions client sont soumises à une révision humaine
- Minimisation des données : les systèmes IA traitent uniquement les données minimales requises
8. Décisions automatisées et profilage
Conformément à la Loi 25, nous devons vous informer si vos renseignements personnels sont utilisés pour rendre une décision fondée exclusivement sur un traitement automatisé ou si nous utilisons une technologie permettant de vous identifier, vous localiser ou vous profiler.
- Aucune décision automatisée : Nous n'utilisons pas vos données pour rendre des décisions fondées exclusivement sur un traitement automatisé produisant des effets juridiques. Toute décision critique implique une supervision humaine.
- Aucun profilage : Nous ne construisons pas de profils exhaustifs de votre comportement sur des sites tiers pour évaluer vos caractéristiques personnelles sans votre consentement explicite (opt-in).
Vous avez le droit de vous opposer à tout profilage ou traitement automatisé. Veuillez consulter la Section 11 pour exercer vos droits.
9. Politique de conservation des données
Nous conservons vos renseignements personnels uniquement le temps nécessaire aux fins initiales ou tel que requis par la loi. Le tableau ci-dessous indique nos durées de conservation précises :
| Type de données | Durée de conservation | Raison légale ou d'affaires |
|---|---|---|
| Données de projet client | Durée du contrat + 3 ans | Contrats et suivi client |
| Formulaires de contact | 12 mois | Suivi et CRM |
| Données analytiques | 13 mois glissants | Analyse de performance |
| Registres de consentement marketing | Jusqu'au retrait + 3 ans | Preuve de conformité (LCAP) |
| Factures et données de facturation | 7 ans | Exigence fiscale canadienne (ARC) |
| Journaux de sécurité et d'audit | 12 mois | Enquête sur les incidents |
| Données d'entraînement IA (client) | Durée du contrat uniquement | Confidentialité dès la conception |
| Communications de support | 24 mois | Qualité et résolution de litiges |
À l'expiration des périodes de conservation, les données sont supprimées de façon sécurisée avec des méthodes de l'industrie ou anonymisées pour qu'elles ne puissent plus être liées à une personne. Les copies de sauvegarde sont purgées dans les 90 jours suivant la suppression active.
10. Processus de réponse aux incidents
AlloTech.AI maintient un Plan de réponse aux incidents (PRI) documenté pour gérer les incidents de confidentialité conformément aux exigences de la Loi 25 et de la LPRPDE.
Processus étape par étape
Détection
Les systèmes de surveillance détectent les anomalies en temps réel. Le personnel peut également signaler des incidents suspects.
Confinement (dans l'heure)
Isolement des systèmes affectés pour bloquer les accès non autorisés. Préservation des preuves. Activation de l'équipe de réponse.
Évaluation (dans les 24h)
Détermination de la nature et de l'ampleur de l'incident. Identification des données touchées.
Notification (dans les 72h)
Avis à la Commission d'accès à l'information (CAI) si l'incident présente un risque de préjudice sérieux. Avis aux personnes touchées.
Remédiation
Application de correctifs, réinitialisation des mots de passe, et correction de la vulnérabilité.
Révision post-incident
Analyse des causes fondamentales sous 30 jours et inscription au registre interne des incidents.
11. Vos droits (Loi 25 / LPRPDE)
En vertu de la Loi 25 du Québec et de la LPRPDE du Canada, vous avez le droit de :
- Accès : demander une copie de vos renseignements personnels
- Correction : demander la correction d'informations inexactes ou incomplètes
- Suppression : demander l'effacement de vos données (sous réserve des obligations légales)
- Désindexation : exiger la cessation de la diffusion de vos renseignements personnels ou la désindexation de tout hyperlien rattaché à votre nom
- Portabilité : recevoir vos données informatisées dans un format technologique structuré et couramment utilisé
- Retrait du consentement : vous désister de tout traitement basé sur le consentement à tout moment
- Opposition au profilage : vous opposer à ce que vos données soient utilisées à des fins de profilage ou de décisions automatisées
- Plainte : déposer une plainte auprès de la Commission d'accès à l'information (CAI)
Pour exercer ces droits, contactez notre Responsable de la protection des renseignements personnels (Section 14). Nous répondrons dans les 30 jours.
12. Protection des mineurs
Nos services sont destinés aux entreprises et ne s'adressent pas aux personnes de moins de 14 ans. Nous ne collectons pas sciemment de renseignements personnels de mineurs. Si nous apprenons qu'un mineur a soumis des données personnelles, nous les supprimerons sans délai.
13. Consentement par courriel
Nous respectons la Loi canadienne anti-pourriel (LCAP). Tous les messages électroniques commerciaux incluent un mécanisme de désabonnement. Les registres de consentement sont conservés avec horodatage, source et langue. Aucun formulaire sur ce site n'a de cases pré-cochées.
14. Responsable de la protection des renseignements personnels (RPRP)
Conformément à la Loi 25 du Québec, AlloTech.AI a désigné Salim Boudehb (Président / PDG) à titre de Responsable de la protection des renseignements personnels (RPRP). Cette personne est chargée de veiller au respect de la Loi 25, de gérer le registre des incidents de confidentialité et de traiter les demandes d'accès ou de désindexation.
Salim Boudehb — Responsable de la protection des renseignements personnels (RPRP)
Responsabilités : Conformité Loi 25 et LPRPDE, gestion des demandes d'accès, registre des incidents de confidentialité.
Délai de réponse : dans les 30 jours civils suivant la réception.
Le RPRP maintient également notre registre interne d'Évaluation des facteurs relatifs à la vie privée (ÉFVP) et révise les nouveaux projets avant leur déploiement.
15. Mises à jour de la politique
Nous pouvons mettre à jour cette Politique de confidentialité pour refléter les changements de nos pratiques, de la technologie ou des exigences légales. Les modifications importantes seront publiées sur cette page avec une nouvelle date d'entrée en vigueur. Pour les changements significatifs affectant vos droits, nous vous informerons par courriel ou via un avis visible sur notre site.
L'utilisation continue de nos services après la date d'entrée en vigueur constitue une acceptation de la politique mise à jour.