Comptaflowbeta

Politique de confidentialité

Dernière mise à jour : 11 février 2026

1. Introduction

Comptaflow inc. (« Comptaflow », « nous ») s'engage à protéger les renseignements personnels qu'elle recueille et détient, conformément à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (Loi 25, P-39.1), à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et à l'ensemble des lois applicables. La présente politique décrit les renseignements personnels que nous recueillons, les moyens de collecte, les fins auxquelles nous les utilisons, les catégories de personnes y ayant accès, les mesures de protection mises en place et vos droits en tant que personne concernée. Comptaflow adopte une approche de confidentialité par conception et par défaut (art. 9.1 P-39.1) : le plus haut niveau de confidentialité est appliqué par défaut, sans intervention de votre part.

2. Renseignements recueillis

Nous recueillons les catégories de renseignements personnels suivantes : • Renseignements d'identification : nom, adresse courriel, numéro de téléphone, adresse professionnelle. • Renseignements d'authentification : mot de passe (haché), facteurs d'authentification multifacteur. • Renseignements sur les clients de votre cabinet : noms, coordonnées, numéros d'assurance sociale (NAS), numéros d'entreprise du Québec (NEQ), numéros de TPS/TVQ. • Identifiants gouvernementaux : identifiants ClicSÉQUR, codes express, mots de passe de portails gouvernementaux. • Données d'utilisation : journaux d'accès, adresses IP, activité sur la plateforme. • Données de facturation : traitées par Stripe; nous ne stockons pas vos numéros de carte de crédit. Classification des données sensibles (art. 12 P-39.1) : les numéros d'assurance sociale, les identifiants gouvernementaux, les données financières des clients et les renseignements fiscaux sont considérés comme des renseignements sensibles. Un consentement exprès est requis pour toute utilisation de ces données au-delà de la finalité originale de collecte.

3. Moyens de collecte

Nous recueillons vos renseignements personnels par les moyens suivants (art. 3.2 P-39.1) : • Directement auprès de vous : lors de la création de votre compte, la saisie de données dans la plateforme (formulaires de clients, identifiants gouvernementaux, données de facturation) et vos communications avec nous. • Automatiquement lors de l'utilisation de la plateforme : journaux d'accès, adresses IP, données de navigation et d'utilisation, témoins (cookies) d'authentification. • Par l'intermédiaire de tiers : données de paiement confirmées par Stripe Payments Canada Ltd. Nous ne recueillons aucun renseignement personnel par des moyens dissimulés ou sans votre connaissance. Les témoins de navigation sont gérés conformément à notre politique relative aux témoins (cookies), accessible sur notre site web.

4. Fins de la collecte et de l'utilisation

Nous utilisons vos renseignements personnels aux fins suivantes : • Fournir et exploiter la plateforme Comptaflow. • Gérer votre compte et votre abonnement. • Stocker de manière sécurisée les identifiants gouvernementaux de vos clients pour faciliter les déclarations fiscales. • Générer et suivre les tâches fiscales et les échéances. • Communiquer avec vous concernant le service (notifications, alertes de sécurité, mises à jour). • Assurer la sécurité de la plateforme et détecter les accès non autorisés. • Respecter nos obligations légales et réglementaires. Vos renseignements personnels ne seront jamais utilisés à une fin autre que celles mentionnées ci-dessus sans obtenir votre consentement exprès au préalable.

5. Base juridique du traitement

Le traitement de vos renseignements personnels repose sur les bases juridiques suivantes : • Consentement : vous consentez au traitement en créant un compte et en utilisant la plateforme. Ce consentement est manifeste, libre, éclairé et spécifique conformément aux articles 8 et 14 de la Loi P-39.1. • Exécution du contrat : le traitement est nécessaire à la fourniture du service. • Obligation légale : certains traitements sont requis pour respecter les lois fiscales et la réglementation applicable, y compris les périodes de conservation réglementaires des ordres professionnels. • Intérêt légitime : la sécurité de la plateforme et la prévention de la fraude. Retrait du consentement : vous pouvez retirer votre consentement à tout moment depuis les paramètres de votre compte ou en contactant notre responsable de la protection des renseignements personnels. Le retrait est aussi simple que l'octroi du consentement. Veuillez noter que le retrait peut affecter votre capacité à utiliser certaines fonctionnalités de la plateforme.

6. Catégories de personnes ayant accès

Conformément à l'article 3.2 de la Loi P-39.1, les catégories de personnes suivantes ont accès à vos renseignements personnels au sein de notre organisation : • Propriétaires de cabinet : accès complet aux données de leur cabinet, y compris les renseignements de leurs clients, les identifiants gouvernementaux et les données de facturation. • Gestionnaires : accès aux données du cabinet, aux renseignements des clients et aux identifiants gouvernementaux selon les permissions accordées. • Employés : accès limité aux tâches, aux commentaires et aux renseignements de base des clients qui leur sont assignés. Aucun accès aux identifiants gouvernementaux ni aux données de facturation. • Personnel technique de Comptaflow : accès restreint et encadré, uniquement pour la maintenance et le soutien technique, avec journalisation de tous les accès. L'accès est contrôlé par des politiques de sécurité au niveau des lignes (RLS) dans la base de données, garantissant qu'aucun utilisateur ne peut accéder aux données d'un autre cabinet.

7. Rôles et responsabilités

Conformément à l'article 3.2 de la Loi P-39.1, voici les rôles et responsabilités en matière de protection des renseignements personnels tout au long de leur cycle de vie : • Responsable de la protection des renseignements personnels : supervise la conformité à la Loi 25, traite les demandes d'exercice de droits, coordonne la réponse aux incidents de confidentialité et conduit les évaluations des facteurs relatifs à la vie privée (ÉFVP). • Équipe de développement : met en œuvre les mesures de sécurité techniques (chiffrement, contrôle d'accès, journalisation), applique la confidentialité par conception dans les nouvelles fonctionnalités. • Propriétaire du cabinet (utilisateur) : responsable de la gestion des comptes au sein de son cabinet, de l'exactitude des données saisies et de la sensibilisation de ses employés. Tous les membres du personnel de Comptaflow ayant accès à des renseignements personnels sont tenus à des obligations de confidentialité.

8. Mesures de sécurité

Nous mettons en œuvre des mesures de sécurité techniques et organisationnelles conformes aux meilleures pratiques de l'industrie : • Chiffrement au repos : toutes les données sensibles (mots de passe ClicSÉQUR, NAS, codes de sécurité) sont chiffrées avec AES-256-GCM côté application. • Chiffrement en transit : toutes les communications utilisent TLS 1.2 ou supérieur. • Contrôle d'accès : isolation des données par cabinet via des politiques de sécurité au niveau des lignes (RLS). Accès aux identifiants restreint aux propriétaires et gestionnaires. • Authentification : authentification multifacteur (AMF) par TOTP disponible pour tous les utilisateurs. • Surveillance : journalisation des accès aux données sensibles avec expurgation automatique des secrets. • Limitation de débit : protection contre les attaques par force brute sur l'authentification. • En-têtes de sécurité : HSTS, CSP, X-Frame-Options et autres protections HTTP. • Purge automatique : les données dont la période de conservation est expirée sont supprimées automatiquement par des tâches planifiées. Ces mesures sont proportionnelles à la sensibilité, la quantité et le support des renseignements protégés, conformément à l'article 9.1 de la Loi P-39.1.

9. Conservation et destruction des données

Nous conservons vos renseignements personnels aussi longtemps que votre compte est actif ou que nécessaire pour fournir le service. • Données de compte : conservées pendant la durée de l'abonnement, puis supprimées 30 jours après la résiliation. • Journaux d'audit : conservés pendant 3 ans conformément aux exigences légales et fiscales. • Journaux de sécurité : conservés pendant 1 an. • Données de facturation : conservées conformément aux exigences fiscales applicables (6 ans minimum). • Notifications : supprimées automatiquement après 1 an. • Messages de clavardage : supprimés automatiquement après 3 ans. • Demandes de protection complétées : supprimées automatiquement après 3 ans. À l'expiration de la période de conservation, les données sont supprimées de manière sécurisée et irréversible. Veuillez noter que certaines périodes de conservation réglementaires des ordres professionnels et des lois fiscales peuvent prévaloir sur les demandes de suppression. Dans ces cas, nous vous en informerons.

10. Partage avec des tiers

Nous ne vendons jamais vos renseignements personnels. Nous partageons des données uniquement avec les fournisseurs de services suivants, nécessaires à l'exploitation de la plateforme : • Supabase (hébergement de la base de données) : données hébergées dans la région ca-central-1 (Montréal, Canada). • Vercel (hébergement de l'application) : déploiement dans la région yul1 (Montréal, Canada). • Stripe Payments Canada Ltd. (traitement des paiements) : reçoit uniquement les données nécessaires à la facturation. Processeur de paiement approuvé opérant au Canada. • Resend (courriels transactionnels) : reçoit les adresses courriel pour l'envoi de notifications. • Canny.io (retours utilisateurs) : recueille les suggestions et commentaires des utilisateurs. Témoin fonctionnel, activé uniquement avec votre consentement. Conformément à l'article 18.3 de la Loi P-39.1, tous nos sous-traitants sont liés par des ententes écrites de protection des données spécifiant les mesures de protection à prendre, la limitation de l'utilisation aux fins du mandat, l'interdiction de conserver les données après l'expiration du mandat et l'obligation de notification en cas d'incident. Vos données sont hébergées au Canada. Aucun transfert transfrontalier n'est effectué par ComptaFlow.

11. Témoins (cookies) et technologies de suivi

Conformément à l'article 8.1 de la Loi P-39.1, nous vous informons de l'utilisation des technologies suivantes : • Témoins d'authentification et de session : nécessaires au fonctionnement de la plateforme. Ces témoins sont exemptés de l'exigence de consentement. • Témoins fonctionnels (Canny.io) : activés uniquement avec votre consentement explicite. Nous n'utilisons pas de témoins de pistage, d'analyse comportementale ou de publicité. Aucune technologie d'identification ou de profilage n'est activée par défaut (art. 8.1 P-39.1). Pour plus de détails, consultez notre politique relative aux témoins (cookies) accessible depuis notre site web.

12. Décisions automatisées et profilage

Conformément à l'article 12.1 de la Loi P-39.1, nous vous informons que Comptaflow n'utilise aucune technologie de décision automatisée ni de profilage pour prendre des décisions vous concernant. Les fonctionnalités de la plateforme (génération automatique de tâches fiscales, calcul d'échéances) sont des outils d'aide à la décision et non des décisions automatisées au sens de la loi. Toutes les décisions finales sont prises par les professionnels comptables utilisant la plateforme. Si nous devions introduire de telles technologies à l'avenir, nous vous en informerons conformément à la loi et obtiendrons votre consentement au préalable.

13. Vos droits

Conformément à la Loi 25 du Québec (art. 27-28.1) et à la LPRPDE, vous disposez des droits suivants : • Droit d'accès : obtenir une confirmation que nous détenons des renseignements personnels vous concernant et en recevoir une copie. • Droit de rectification : faire corriger vos renseignements inexacts ou incomplets. • Droit de suppression : demander la suppression de vos renseignements personnels, sous réserve des obligations légales de conservation. • Droit à la portabilité (art. 27, en vigueur sept. 2024) : recevoir les renseignements que vous nous avez fournis dans un format technologique structuré et couramment utilisé (JSON ou CSV), ou demander leur transfert à un autre organisme. • Droit de retirer votre consentement : retirer votre consentement à tout moment; la résiliation du compte entraîne la suppression des données selon notre politique de conservation. • Droit à la désindexation : exiger la cessation de la diffusion de vos renseignements personnels ou la désindexation de tout hyperlien associé à votre nom. • Droit de déposer une plainte : auprès de la Commission d'accès à l'information du Québec (CAI). Comment exercer vos droits : • Exportation de vos données : disponible directement depuis les paramètres de votre compte (formats JSON et CSV). • Exportation du dossier client : les propriétaires et gestionnaires peuvent exporter le dossier complet d'un client depuis sa fiche. • Demandes formelles : soumettez une demande depuis la section « Protection des renseignements personnels » dans les paramètres de votre compte, ou contactez notre responsable à privacy@comptaflow.ca. • Suppression du compte : disponible depuis les paramètres de votre compte. Nous nous engageons à répondre à toute demande dans un délai de 30 jours conformément à l'article 32 de la Loi P-39.1.

14. Évaluations des facteurs relatifs à la vie privée

Conformément aux articles 3.3 et 3.4 de la Loi P-39.1, Comptaflow réalise des évaluations des facteurs relatifs à la vie privée (ÉFVP) avant tout projet impliquant la collecte, l'utilisation, la communication, la conservation ou la destruction de renseignements personnels. Le responsable de la protection des renseignements personnels est consulté dès le début de tout nouveau projet ou fonctionnalité. Ces évaluations tiennent compte de la sensibilité des données, des finalités d'utilisation, de la quantité de données et des mesures de protection à appliquer.

15. Incidents de confidentialité

Conformément aux articles 3.5 à 3.8 de la Loi P-39.1, en cas d'incident de confidentialité : • Évaluation des risques : chaque incident fait l'objet d'une évaluation du risque de préjudice sérieux, tenant compte de la sensibilité des renseignements et de la probabilité d'utilisation malveillante. • Notification à la CAI : si un risque sérieux de préjudice est identifié, la Commission d'accès à l'information du Québec (CAI) est avisée avec diligence dans les 72 heures suivant la prise de connaissance de l'incident. • Notification aux personnes : les personnes concernées sont avisées dans les meilleurs délais, avec une description des renseignements touchés, les circonstances, les mesures prises et les actions recommandées. • Registre des incidents : tous les incidents sont consignés dans un registre conservé pendant 5 ans minimum, incluant ceux n'atteignant pas le seuil de préjudice sérieux. Ce registre est mis à la disposition de la CAI sur demande. • Mesures correctives : des mesures sont mises en œuvre pour prévenir la récurrence de l'incident.

16. Secret professionnel

Comptaflow reconnaît que certains cabinets comptables utilisant la plateforme peuvent être liés par le secret professionnel en vertu du Code des professions du Québec (C-26) et des règles de leur ordre professionnel. La plateforme est conçue pour respecter cette double obligation (Loi 25 et secret professionnel). L'isolation des données par cabinet (RLS) et le chiffrement des données sensibles (AES-256-GCM) assurent que les renseignements des clients du cabinet ne peuvent être accessibles par des personnes non autorisées. Conformément à l'article 21.1 de la Loi P-39.1, aucune communication de renseignements ne permet l'identification de la personne à qui un service professionnel a été rendu.

17. Responsable de la protection des renseignements personnels

Conformément à l'article 3.1 de la Loi P-39.1, Comptaflow a désigné un responsable de la protection des renseignements personnels. Pour toute question, demande d'exercice de droits ou préoccupation concernant vos renseignements personnels, veuillez nous contacter : Comptaflow inc. Courriel : privacy@comptaflow.ca Vous pouvez également déposer une plainte auprès de la Commission d'accès à l'information du Québec (CAI) : www.cai.gouv.qc.ca

18. Modifications à la politique

Nous pouvons modifier la présente politique de temps à autre. Toute modification importante sera communiquée par courriel ou par un avis sur la plateforme au moins 30 jours avant son entrée en vigueur. La date de dernière mise à jour est indiquée en haut de cette page. Nous conservons un historique des versions de cette politique. Vous pouvez demander une copie de toute version antérieure en contactant notre responsable de la protection des renseignements personnels.