Politique de confidentialité

Conformément à l'article 3.1 de la Loi 25, DictIA Inc. a désigné une RPRP :

Si vous estimez que vos droits n'ont pas été respectés, vous pouvez déposer une plainte auprès de la Commission d'accès à l'information du Québec (CAI) : www.cai.gouv.qc.ca — 1-888-528-7741.

• Nom et prénom, adresse courriel, numéro de téléphone ;
• Nom de l'organisation et titre professionnel ;
• Identifiants de compte (nom d'utilisateur, mot de passe haché).

Finalité : création et gestion du compte, fourniture du service, facturation. Base légale : exécution du contrat.

• Projets et mandats créés (noms, descriptions, statuts, budgets d'heures) ;
• Entrées de temps (heures travaillées, projets associés, descriptions, statuts d'approbation) ;
• Factures TPS/TVQ générées, relevés de banques d'heures, rapports exportés ;
• Dépenses professionnelles (montants, types, reçus numérisés).

Finalité : fourniture du service de gestion du temps et facturation. Base légale : exécution du contrat (art. 13 LSP).

Les paiements sont traités par Stripe Inc. (San Francisco, Californie, É.-U.), certifié PCI-DSS. DictIA Inc. ne stocke pas les numéros de cartes de crédit complets — seules les données tokenisées et l'historique des transactions sont conservés.

• Adresse IP, type de navigateur et système d'exploitation ;
• Pages consultées, date et heure de consultation ;
• Données de session, de connexion et de performance.

Finalité : sécurité du service, support technique, amélioration des fonctionnalités. Base légale : intérêt légitime.

• Créer et gérer les comptes utilisateurs ;
• Générer et livrer les factures, rapports et données demandés ;
• Assurer le support technique et la gestion des demandes clients ;
• Gérer la facturation, les abonnements et les paiements.

Analyser les tendances d'utilisation, corriger les anomalies et développer de nouvelles fonctionnalités.

Respecter les obligations fiscales et comptables, répondre aux demandes des autorités conformément à la loi, tenir les registres requis par la Loi 25.

Recueilli pour les données strictement nécessaires à la fourniture du service : données d'identification, de facturation et données techniques de connexion.

Un consentement explicite distinct est requis pour toute communication à des tiers non nécessaire à l'exécution du service, ou tout transfert hors Québec non prévu par les présentes.

Pour retirer votre consentement, communiquez avec le RPRP à rprp@dictia.ca. Le retrait est sans effet rétroactif.

DictIA Inc. ne vend, ne loue et ne commercialise pas les renseignements personnels de ses utilisateurs. DictIA Inc. ne communique les renseignements personnels à des tiers que lorsque nécessaire à l'exécution du service ou exigé par la loi.

DictIA Inc. peut communiquer des renseignements personnels sans consentement lorsque la loi l'exige : à la CAI dans le cadre d'une enquête, à un tribunal conformément à la loi, ou en cas de menace à la vie, à la santé ou à la sécurité d'une personne.

À l'expiration des durées de conservation, les données sont détruites par effacement cryptographique (suppression de la clé de chiffrement) ou écrasement sécurisé conforme à la norme NIST SP 800-88 Rev. 1.

Vous pouvez demander la suppression de votre compte à tout moment en contactant le RPRP. La suppression est effective dans un délai de 30 jours, sous réserve des obligations légales de conservation.

• Chiffrement AES-256 au repos — toutes les données stockées ;
• Chiffrement TLS 1.3 en transit — toutes les communications ;
• Mots de passe hachés (bcrypt) — jamais stockés en clair ;
• Authentification multifacteurs (MFA) disponible pour tous les comptes ;
• Contrôle d'accès par rôle (principe du moindre privilège) ;
• Journaux d'accès horodatés sur chaque action sensible ;
• Sauvegardes chiffrées régulières au Canada (AWS ca-central-1).

• Politique interne de protection des renseignements personnels ;
• Ententes de confidentialité signées par tout le personnel ayant accès aux données ;
• Formation et sensibilisation du personnel aux obligations de la Loi 25 ;
• Audits périodiques des mesures de sécurité.

DictIA Inc. tient un registre des incidents conformément à la Loi 25. En cas d'incident présentant un risque de préjudice sérieux, DictIA Inc. avise la Commission d'accès à l'information (CAI) et les personnes concernées dans les meilleurs délais, conformément au Règlement sur les incidents de confidentialité.

Connaître l'existence et la nature des renseignements personnels vous concernant détenus par DictIA Inc., les fins pour lesquelles ils sont collectés et la durée de conservation applicable (art. 27 LSP).

Faire rectifier tout renseignement inexact, incomplet ou équivoque, ou faire supprimer tout renseignement dont la collecte ou la conservation n'est pas autorisée (art. 28 LSP). DictIA Inc. vous transmet une confirmation écrite des rectifications effectuées.

Recevoir vos renseignements personnels dans un format technologique structuré (CSV, JSON ou autre format standard) et demander qu'ils soient communiqués à une autre personne exploitant une entreprise (art. 27 al. 3 LSP).

Retirer votre consentement à tout moment, sans effet rétroactif. Ce retrait peut limiter l'accès à certaines fonctionnalités du service.

Demander la cessation de la diffusion ou la désindexation de renseignements vous concernant lorsque la diffusion contrevient à la loi (art. 28.1 LSP).

L'ensemble des renseignements personnels stockés de façon persistante sont hébergés au Canada (OVH Beauharnois, Québec ou AWS ca-central-1, Ontario). Par défaut, les données personnelles ne quittent pas le Canada de manière persistante.

Les transferts hors Québec suivants s'effectuent conformément à l'article 17 de la LPRPSP, après réalisation d'une EFVP :

Aucune donnée personnelle des utilisateurs Temp$caisse n'est transférée hors du Canada par les fournisseurs d'infrastructure de manière persistante.