Se connecter
Vie privée · Loi 25 · RGPD

Politique de confidentialité

Nous accordons une importance particulière à la protection de vos renseignements personnels. Cette politique explique de manière transparente les informations que nous collectons, pourquoi, et comment vous pouvez exercer vos droits, conformément à la Loi 25 du Québec, au RGPD européen et, le cas échéant, à la LPRPDE fédérale canadienne.

Dernière mise à jour : 18 avril 2026 Version : 1.0

01Responsable du traitement

Le responsable du traitement (ou « entreprise exploitante » au sens de la Loi 25) des renseignements personnels collectés via Quotio est Codally S.E.N.C., société en nom collectif québécoise éditrice du Service. Les coordonnées complètes sont disponibles dans les mentions légales.

Pour toute question relative à la protection des renseignements personnels : secretariat@codally.info.

02Responsable de la protection des renseignements personnels

Conformément à l'article 3.1 de la Loi 25, Codally S.E.N.C. a désigné un Responsable de la protection des renseignements personnels (RPRP) chargé de veiller à la conformité et au respect des droits des personnes concernées.

  • Nom : Ali Nayeri Poor
  • Fonction : Associé de Codally S.E.N.C.
  • Courriel : secretariat@codally.info
  • Adresse postale : 1530, avenue du Docteur-Penfield, app. 900, Montréal (Québec) H3G 1C1, Canada

Vous pouvez adresser au RPRP toute demande d'accès, de rectification, d'effacement, de portabilité, de désindexation ou de retrait du consentement. Le RPRP vous répond sous 30 jours maximum.

03Renseignements personnels collectés

Nous collectons uniquement les renseignements strictement nécessaires à la fourniture du Service, conformément au principe de minimisation :

Données d'identification utilisateur

  • Nom et prénom (si fournis via Google OAuth)
  • Adresse email
  • Photo de profil (si Google OAuth)
  • Mot de passe (stocké sous forme de hash bcrypt, jamais en clair)

Données organisationnelles

  • Nom et secteur de l'organisation
  • Logo, couleurs, configuration des générateurs
  • Membres et leurs rôles

Données des demandes (leads)

  • Réponses fournies par les prospects dans un générateur publié
  • Coordonnées de contact (nom, email, téléphone) si renseignées par le prospect
  • Estimation calculée et statut de suivi

Données techniques

  • Adresse IP (uniquement pour la sécurité et l'anti-abus, non liée à l'identité)
  • Type de navigateur et appareil (user-agent)
  • Horodatages de connexion

04Finalités & fondements légaux

Chaque traitement poursuit une finalité déterminée et un fondement légal identifié (article 12 de la Loi 25 / article 6 du RGPD) :

Finalité Fondement Loi 25 (Qc) Base RGPD (UE)
Création et gestion du compte utilisateur Nécessaire au contrat Exécution du contrat
Hébergement et diffusion des générateurs Nécessaire au contrat Exécution du contrat
Envoi des courriels transactionnels (confirmation, notification de demande) Nécessaire au contrat Exécution du contrat
Mesure d'audience anonymisée Consentement exprès Consentement
Facturation et comptabilité Obligation légale (Loi sur les impôts, TPS/TVQ) Obligation légale
Sécurité et prévention de la fraude Intérêt sérieux et légitime Intérêt légitime

05Destinataires

Vos renseignements personnels sont accessibles :

  • À vous-même et aux membres autorisés de votre organisation (selon leur rôle) ;
  • Aux équipes techniques de Codally, strictement dans le cadre de la maintenance et dans le respect du principe de nécessité ;
  • À nos sous-traitants techniques listés ci-dessous, encadrés par des ententes contractuelles de confidentialité ;
  • Aux autorités compétentes en cas d'obligation légale (autorités fiscales, judiciaires, CAI).

Nous ne vendons jamais vos renseignements et ne les communiquons à aucun tiers à des fins de prospection commerciale sans votre consentement exprès.

06Sous-traitants techniques

Prestataire Finalité Localisation
Supabase Base de données, authentification, stockage UE (Irlande)
Vercel Hébergement frontend UE / International
Google (OAuth) Authentification optionnelle International

07Transferts hors Québec

Certains de nos sous-traitants hébergent ou traitent des renseignements personnels à l'extérieur du Québec. Conformément à l'article 17 de la Loi 25, Codally a réalisé une Évaluation des Facteurs relatifs à la Vie Privée (EFVP) avant chaque transfert, afin de s'assurer que les renseignements bénéficient d'une protection adéquate.

Destination Sous-traitant concerné Mécanisme d'encadrement
Union européenne (Irlande) Supabase RGPD + DPA signé + chiffrement en transit/repos
États-Unis Vercel DPA, Clauses contractuelles types et EFVP Codally
International (Google) OAuth (facultatif) DPA Google, activation uniquement à la demande de l'utilisateur

Pour les résidents de l'Union européenne, ces transferts sont également encadrés par les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne.

08Durée de conservation

Les renseignements personnels ne sont conservés que le temps nécessaire aux finalités pour lesquelles ils ont été collectés :

  • Compte actif : renseignements conservés tant que le compte est actif ;
  • Compte supprimé : suppression définitive sous 30 jours ;
  • Demandes (leads) : conservées tant que l'organisation existe, sauf demande explicite de suppression ;
  • Facturation : 6 ans (obligations fiscales canadiennes et québécoises — Loi sur les impôts) ;
  • Journaux de sécurité : 12 mois maximum ;
  • Preuves de consentement : 3 ans après retrait.

À l'expiration de ces durées, les renseignements sont détruits ou anonymisés de manière irréversible (art. 23 de la Loi 25).

09Mesures de sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles adaptées à la sensibilité des renseignements :

  • Chiffrement en transit (HTTPS/TLS) et au repos (Postgres chiffré) ;
  • Isolation multi-locataire stricte via Row Level Security (RLS) ;
  • Mots de passe stockés sous forme de hachage bcrypt (jamais en clair) ;
  • Authentification forte disponible (OAuth Google) ;
  • Sauvegardes régulières et redondance géographique ;
  • Accès restreint selon le principe du moindre privilège et du besoin d'en connaître ;
  • Journalisation des accès aux renseignements personnels sensibles ;
  • Formation interne du personnel à la protection des renseignements personnels.

10Incidents de confidentialité

Conformément à l'article 3.5 de la Loi 25, Codally tient un registre des incidents de confidentialité et s'engage, en cas d'incident présentant un risque de préjudice sérieux :

  • À notifier la Commission d'accès à l'information du Québec (CAI) dans les meilleurs délais ;
  • À informer sans délai indu les personnes concernées et les clients affectés ;
  • À prendre sans délai les mesures raisonnables pour diminuer les risques et prévenir la récurrence.

Pour signaler un incident ou une vulnérabilité : secretariat@codally.info.

11Décisions automatisées

Conformément à l'article 12.1 de la Loi 25, nous vous informons que Quotio utilise un calcul automatisé pour produire les estimations de prix à partir des réponses du formulaire. Ce calcul repose exclusivement sur les règles configurées par l'organisation émettrice du générateur (tarifs de base, pondérations, remises).

  • Il ne s'agit pas d'une décision créant des effets juridiques ou similaires significatifs ;
  • Aucun profilage comportemental n'est effectué ;
  • L'estimation est indicative et ne constitue pas un engagement contractuel ;
  • Vous pouvez à tout moment demander une explication sur le mode de calcul en contactant l'organisation émettrice ou le RPRP de Codally.

12Vos droits

Conformément à la Loi 25 (Québec), au RGPD (UE) et à la LPRPDE (Canada), vous disposez des droits suivants :

  • Droit d'accès : obtenir une copie des renseignements que nous détenons sur vous (art. 27 Loi 25 / art. 15 RGPD) ;
  • Droit de rectification : corriger des renseignements inexacts, incomplets ou équivoques (art. 28 Loi 25) ;
  • Droit à l'effacement : demander la suppression de vos renseignements (« droit à l'oubli ») ;
  • Droit à la portabilité : recevoir vos renseignements dans un format structuré couramment utilisé (art. 27 Loi 25 / art. 20 RGPD) ;
  • Droit à la désindexation (Loi 25) : demander la cessation de la diffusion d'un renseignement ou la désindexation d'un hyperlien si cette diffusion cause un préjudice grave ou porte atteinte à la réputation ;
  • Droit d'opposition : vous opposer à certains traitements ;
  • Droit au retrait du consentement : retirer à tout moment votre consentement aux cookies non essentiels ou aux communications marketing, sans que cela n'affecte la licéité des traitements antérieurs.

Pour exercer vos droits, écrivez au RPRP à secretariat@codally.info. Nous répondons sous 30 jours maximum. Voir la section Recours & autorités en cas de réponse insatisfaisante.

13Cookies

Nous utilisons des cookies pour assurer le bon fonctionnement du site et mesurer son audience. Les cookies non essentiels ne sont activés qu'avec votre consentement exprès (art. 8.3 de la Loi 25 et art. 7 du RGPD).

Pour en savoir plus et gérer vos préférences, consultez notre politique de gestion des cookies.

14Recours & autorités

Si vous estimez que vos droits n'ont pas été respectés et qu'un désaccord persiste après échange avec notre RPRP, vous pouvez saisir l'autorité compétente :

15Nous contacter

Pour toute question sur cette politique ou l'exercice de vos droits :

Une question sur vos renseignements personnels ?

Notre Responsable de la protection des renseignements personnels répond à toute demande sous 30 jours.

Contacter le RPRP