Politique de confidentialité

QreativeLab inc. (ci-après « QreativeLab », « nous » ou « notre ») s'engage à protéger la vie privée et les renseignements personnels de ses utilisateurs, clients et visiteurs. Cette politique de confidentialité explique nos pratiques concernant la collecte, l'utilisation, la communication et la protection de vos renseignements personnels, conformément à la Loi sur la protection des renseignements personnels dans le secteur privé (Loi 25) du Québec. QreativeLab est une entreprise établie au Québec, Canada, et opère le site web qreativelab.io.

Conformément à l'article 3.1 de la Loi 25, QreativeLab a désigné un responsable de la protection des renseignements personnels. Cette personne veille au respect de la loi et traite les demandes et plaintes relatives à la protection des renseignements personnels.

• Responsable: Maxime Noiseux, Fondateur et CEO
• Courriel: maxime@qreativelab.io
• Adresse: Québec, Canada
• Vous pouvez communiquer avec le responsable pour toute question, demande d'accès, rectification, suppression ou plainte.

Nous collectons uniquement les renseignements personnels nécessaires aux fins déterminées au moment de la collecte ou avant celle-ci. Les types de renseignements collectés varient selon votre interaction avec nos services:

• Informations d'identification: nom, prénom, adresse courriel (formulaire de contact et chat)
• Informations professionnelles: nom de l'entreprise, poste occupé (si fournis volontairement)
• Informations techniques collectées automatiquement: adresse IP, type et version du navigateur, système d'exploitation, appareil utilisé, résolution d'écran
• Informations d'utilisation (avec consentement uniquement): pages visitées, durée des sessions, parcours de navigation, interactions avec le site
• Informations de communication: contenu des messages envoyés via le formulaire de contact ou le chat IA
• Cookies et identifiants: identifiants de session, préférences de langue, choix de consentement (voir section Cookies)

Vos renseignements personnels sont utilisés uniquement aux fins pour lesquelles ils ont été collectés. Nous n'utilisons jamais vos données à des fins autres que celles ci-dessous sans obtenir votre consentement au préalable:

• Répondre à vos demandes de contact et de renseignements sur nos services
• Vous envoyer un courriel de confirmation suite à un message de contact
• Alimenter l'expérience de chat IA sur notre page contact (les messages sont traités par l'API Anthropic — voir section Partage)
• Mesurer et améliorer la performance de notre site (avec consentement — Vercel Analytics)
• Détecter et corriger les erreurs techniques (Sentry — rapports d'erreurs et, avec consentement, Session Replay)
• Assurer la sécurité et la disponibilité de nos systèmes
• Respecter nos obligations légales et réglementaires

Conformément à la Loi 25, nous obtenons votre consentement manifeste, libre et éclairé avant de collecter, utiliser ou communiquer vos renseignements personnels à des fins non essentielles. Lors de votre première visite, une bannière de consentement aux cookies vous présente des options claires et équivalentes pour accepter ou refuser les cookies analytiques. Les cookies strictement nécessaires au fonctionnement du site ne requièrent pas de consentement. Vous pouvez modifier vos préférences à tout moment via le bouton de gestion des cookies dans le pied de page du site.

• Cookies nécessaires: activés par défaut (fonctionnement du site, préférences de langue, choix de consentement)
• Cookies analytiques: désactivés par défaut, activés uniquement avec votre consentement explicite
• Le consentement est enregistré dans un cookie local (cookie_consent) avec une durée de 365 jours
• Vous pouvez retirer votre consentement à tout moment — les services analytiques cessent immédiatement
• Le retrait du consentement n'affecte pas la légalité du traitement effectué avant le retrait

Nous ne vendons jamais vos renseignements personnels. Nous ne les partageons qu'avec des fournisseurs de services (sous-traitants) nécessaires à l'opération de notre site. Chaque sous-traitant est lié par des obligations contractuelles de confidentialité et de sécurité. Voici la liste complète de nos sous-traitants et les données qu'ils traitent:

• Vercel Inc. (États-Unis) — Hébergement web et CDN. Données traitées: requêtes HTTP, adresse IP, pages visitées. Serveurs: CDN edge à Toronto (Canada) et origine à us-east-1 (Virginie, États-Unis). Avec consentement: analytiques de performance (Vercel Analytics, Speed Insights). Politique: vercel.com/legal/privacy-policy
• Neon Inc. (États-Unis) — Base de données PostgreSQL. Données traitées: aucune donnée personnelle d'utilisateur n'est stockée en base de données sur ce site vitrine. Serveurs: us-east-1 (Virginie, États-Unis). L'accès est chiffré via TLS 1.3 et les données au repos sont chiffrées en AES-256. Entente de traitement de données (DPA) en vigueur. Politique: neon.tech/privacy
• Resend Inc. (États-Unis) — Service d'envoi de courriels. Données traitées: adresse courriel, nom, contenu du message (formulaire de contact et courriel de bienvenue). Serveurs: us-east-1 (États-Unis). Politique: resend.com/legal/privacy-policy
• Functional Software Inc. / Sentry (États-Unis) — Surveillance des erreurs. Données traitées sans consentement (intérêt légitime): rapports d'erreurs techniques. Avec consentement analytique: Session Replay (enregistrement de session). Serveurs: us-east-1 (États-Unis). Politique: sentry.io/privacy
• Anthropic PBC (États-Unis) — Intelligence artificielle pour le chat de la page contact. Données traitées: messages de chat, prénom (si fourni). Les données ne sont pas utilisées pour entraîner les modèles d'IA. Politique: anthropic.com/privacy
• Nous pouvons également communiquer vos renseignements si requis par la loi, une ordonnance de tribunal ou une obligation légale.

Certains de nos sous-traitants sont situés aux États-Unis. Conformément à l'article 17 de la Loi 25, avant tout transfert de renseignements personnels à l'extérieur du Québec, nous effectuons une évaluation des facteurs relatifs à la vie privée (EFVP) pour nous assurer que les renseignements bénéficieront d'une protection adéquate. Les mesures suivantes sont en place:

• Ententes de traitement de données (DPA) avec chaque sous-traitant situé à l'extérieur du Québec
• Chiffrement de toutes les données en transit (TLS 1.3) et au repos (AES-256)
• Accès limité aux données selon le principe du moindre privilège
• Évaluation des cadres juridiques applicables et des certifications de sécurité (SOC 2 Type II) de chaque sous-traitant
• Les sous-traitants américains offrent une protection jugée adéquate au sens de la Loi 25, tel que déterminé par notre évaluation des facteurs relatifs à la vie privée
• Serveurs au Canada (CDN Vercel à Toronto) utilisés en priorité lorsque possible pour minimiser les transferts transfrontaliers

Nous conservons vos renseignements personnels uniquement aussi longtemps que nécessaire pour atteindre les fins pour lesquelles ils ont été collectés, ou pour respecter nos obligations légales. Voici les durées de conservation par type de donnée:

• Messages de contact (formulaire): 24 mois après le dernier échange, puis supprimés
• Courriels envoyés via Resend: selon la politique de rétention de Resend, maximum 30 jours dans leurs systèmes
• Données analytiques (Vercel Analytics): agrégées et anonymisées, conservées 12 mois
• Rapports d'erreurs (Sentry): 90 jours de rétention
• Sessions Replay (Sentry): 30 jours de rétention
• Cookies de consentement: 365 jours (renouvelé à chaque modification de préférence)
• Journaux techniques (logs serveur): 30 jours maximum
• À l'expiration de ces délais, les données sont supprimées de manière sécurisée ou anonymisées de façon irréversible

Nous mettons en œuvre des mesures de sécurité techniques et organisationnelles robustes pour protéger vos renseignements personnels. Ces mesures sont proportionnelles à la sensibilité des données et conformes aux meilleures pratiques de l'industrie:

• Chiffrement en transit: TLS 1.3 pour toutes les communications (HTTPS obligatoire, HSTS activé)
• Chiffrement au repos: AES-256 pour les données stockées en base de données (Neon.tech)
• Contrôle d'accès: principe du moindre privilège, clés API avec rotation régulière
• Infrastructure sécurisée: hébergement sur Vercel (certifié SOC 2) et base de données Neon (certifié SOC 2)
• Protection contre les attaques: rate limiting, validation des entrées, en-têtes de sécurité (CSP, X-Frame-Options, HSTS)
• Surveillance continue: détection d'erreurs en temps réel via Sentry
• Gestion des secrets: aucun secret dans le code source, variables d'environnement sécurisées
• Évaluation régulière: revue de sécurité de l'infrastructure et des dépendances

Conformément à la Loi 25, vous disposez de droits étendus concernant vos renseignements personnels. Vous pouvez exercer ces droits en tout temps en communiquant avec notre responsable de la protection des renseignements personnels:

• Droit d'accès (art. 27): obtenir la confirmation que nous détenons des renseignements vous concernant, ainsi qu'une copie de ceux-ci
• Droit de rectification (art. 28): faire corriger des renseignements inexacts, incomplets ou équivoques
• Droit à l'effacement: demander la suppression de vos renseignements lorsque la collecte ou la conservation n'est plus justifiée
• Droit à la portabilité (art. 27): recevoir vos renseignements dans un format technologique structuré et couramment utilisé
• Droit de retirer votre consentement: retirer votre consentement aux cookies analytiques via le bouton dans le pied de page, ou pour toute autre fin en nous contactant
• Droit de déposer une plainte: si vous estimez que vos droits ne sont pas respectés, vous pouvez déposer une plainte auprès de la Commission d'accès à l'information du Québec (CAI) — www.cai.gouv.qc.ca
• Nous répondons à toute demande dans un délai de 30 jours suivant la réception

Notre site utilise des cookies et technologies similaires. Nous distinguons deux catégories de cookies, conformément à la Loi 25:

• Cookies nécessaires (sans consentement requis): préférence de langue (next-locale), choix de consentement (cookie_consent), identifiant de session. Ces cookies sont essentiels au fonctionnement du site.
• Cookies analytiques (avec consentement): Vercel Analytics (mesure de performance, pages visitées, durée des sessions), Vercel Speed Insights (performance de chargement), Sentry Session Replay (enregistrement de session pour diagnostic d'erreurs). Ces cookies ne sont activés qu'avec votre consentement explicite.
• Aucun cookie publicitaire, de remarketing ou de profilage n'est utilisé sur ce site.
• Vous pouvez gérer vos préférences via la bannière de consentement affichée à votre première visite ou via le bouton de gestion des cookies dans le pied de page.
• Le refus des cookies analytiques n'affecte en rien votre expérience de navigation sur le site.

En cas d'incident de confidentialité impliquant vos renseignements personnels, nous appliquons un protocole rigoureux conformément aux articles 3.5 et suivants de la Loi 25:

• Notification à la Commission d'accès à l'information du Québec (CAI) dans les 72 heures suivant la prise de connaissance d'un incident présentant un risque de préjudice sérieux
• Notification sans délai aux personnes concernées lorsque l'incident présente un risque de préjudice sérieux
• Tenue d'un registre de tous les incidents de confidentialité, y compris ceux ne présentant pas de risque sérieux
• Évaluation du risque de préjudice basée sur la sensibilité des renseignements, les conséquences appréhendées et la probabilité d'utilisation malveillante
• Mise en œuvre de mesures correctives pour prévenir la récurrence de tout incident

Nous nous réservons le droit de modifier cette politique de confidentialité. Toute modification sera publiée sur cette page avec la date de mise à jour. Les modifications substantielles seront communiquées par courriel aux personnes concernées ou par avis bien visible sur notre site. La version en vigueur est toujours celle publiée sur cette page.

Pour toute question, demande d'accès, de rectification, de suppression, de portabilité ou plainte concernant cette politique ou vos renseignements personnels:

• Responsable: Maxime Noiseux, Fondateur et CEO
• Courriel: maxime@qreativelab.io
• Entreprise: QreativeLab inc., Québec, Canada
• Délai de réponse: 30 jours maximum suivant la réception de votre demande
• Si vous n'êtes pas satisfait de notre réponse, vous pouvez contacter la Commission d'accès à l'information du Québec (CAI): www.cai.gouv.qc.ca