Politique de confidentialité
Dernière mise à jour : 1er février 2025
1. Introduction
Comptaflow inc. (« Comptaflow », « nous ») s'engage à protéger les renseignements personnels qu'elle recueille et détient, conformément à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (Loi 25), à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et à l'ensemble des lois applicables. La présente politique décrit les renseignements personnels que nous recueillons, les fins auxquelles nous les utilisons, les mesures de protection mises en place et vos droits en tant que personne concernée.
2. Renseignements recueillis
Nous recueillons les catégories de renseignements personnels suivantes : • Renseignements d'identification : nom, adresse courriel, numéro de téléphone, adresse professionnelle. • Renseignements d'authentification : mot de passe (haché), facteurs d'authentification multifacteur. • Renseignements sur les clients de votre cabinet : noms, coordonnées, numéros d'assurance sociale (NAS), numéros d'entreprise du Québec (NEQ), numéros de TPS/TVQ. • Identifiants gouvernementaux : identifiants ClicSÉQUR, codes express, mots de passe de portails gouvernementaux. • Données d'utilisation : journaux d'accès, adresses IP, activité sur la plateforme. • Données de facturation : traitées par Stripe; nous ne stockons pas vos numéros de carte de crédit.
3. Fins de la collecte et de l'utilisation
Nous utilisons vos renseignements personnels aux fins suivantes : • Fournir et exploiter la plateforme Comptaflow. • Gérer votre compte et votre abonnement. • Stocker de manière sécurisée les identifiants gouvernementaux de vos clients pour faciliter les déclarations fiscales. • Générer et suivre les tâches fiscales et les échéances. • Communiquer avec vous concernant le service (notifications, alertes de sécurité, mises à jour). • Assurer la sécurité de la plateforme et détecter les accès non autorisés. • Respecter nos obligations légales et réglementaires.
4. Base juridique du traitement
Le traitement de vos renseignements personnels repose sur les bases juridiques suivantes : • Consentement : vous consentez au traitement en créant un compte et en utilisant la plateforme. • Exécution du contrat : le traitement est nécessaire à la fourniture du service. • Obligation légale : certains traitements sont requis pour respecter les lois fiscales et la réglementation applicable. • Intérêt légitime : la sécurité de la plateforme et la prévention de la fraude.
5. Mesures de sécurité
Nous mettons en œuvre des mesures de sécurité techniques et organisationnelles conformes aux meilleures pratiques de l'industrie : • Chiffrement au repos : toutes les données sensibles (mots de passe ClicSÉQUR, NAS, codes de sécurité) sont chiffrées avec AES-256-GCM côté application. • Chiffrement en transit : toutes les communications utilisent TLS 1.2 ou supérieur. • Contrôle d'accès : isolation des données par cabinet via des politiques de sécurité au niveau des lignes (RLS). Accès aux identifiants restreint aux propriétaires et gestionnaires. • Authentification : authentification multifacteur (AMF) par TOTP disponible pour tous les utilisateurs. • Surveillance : journalisation des accès aux données sensibles avec expurgation automatique des secrets. • Limitation de débit : protection contre les attaques par force brute sur l'authentification. • En-têtes de sécurité : HSTS, CSP, X-Frame-Options et autres protections HTTP.
6. Conservation des données
Nous conservons vos renseignements personnels aussi longtemps que votre compte est actif ou que nécessaire pour fournir le service. • Données de compte : conservées pendant la durée de l'abonnement, puis supprimées 30 jours après la résiliation. • Journaux d'audit : conservés pendant 3 ans conformément aux exigences légales et fiscales. • Journaux de sécurité : conservés pendant 1 an. • Données de facturation : conservées conformément aux exigences fiscales applicables (6 ans minimum). À l'expiration de la période de conservation, les données sont supprimées de manière sécurisée.
7. Partage avec des tiers
Nous ne vendons jamais vos renseignements personnels. Nous partageons des données uniquement avec les fournisseurs de services suivants, nécessaires à l'exploitation de la plateforme : • Supabase (hébergement de la base de données) : données hébergées dans la région ca-central-1 (Montréal, Canada). • Vercel (hébergement de l'application) : déploiement dans la région yul1 (Montréal, Canada). • Stripe (traitement des paiements) : reçoit uniquement les données nécessaires à la facturation. • Resend (courriels transactionnels) : reçoit les adresses courriel pour l'envoi de notifications. Tous nos sous-traitants sont liés par des ententes de protection des données. Vos données sont hébergées au Canada.
8. Vos droits
Conformément à la Loi 25 du Québec et à la LPRPDE, vous disposez des droits suivants : • Droit d'accès : obtenir une copie de vos renseignements personnels que nous détenons. • Droit de rectification : faire corriger vos renseignements inexacts ou incomplets. • Droit de suppression : demander la suppression de vos renseignements personnels, sous réserve des obligations légales de conservation. • Droit à la portabilité : recevoir vos données dans un format structuré et couramment utilisé. • Droit de retirer votre consentement : retirer votre consentement à tout moment; la résiliation du compte entraîne la suppression des données selon notre politique de conservation. • Droit de déposer une plainte : auprès de la Commission d'accès à l'information du Québec (CAI). Pour exercer vos droits, contactez notre responsable de la protection des renseignements personnels à l'adresse indiquée ci-dessous.
9. Incidents de confidentialité
En cas d'incident de confidentialité présentant un risque sérieux de préjudice, Comptaflow s'engage à : • Aviser la Commission d'accès à l'information du Québec (CAI) dans les 72 heures suivant la prise de connaissance de l'incident. • Aviser les personnes concernées dans les meilleurs délais. • Tenir un registre de tous les incidents de confidentialité conformément à la Loi 25. • Mettre en œuvre des mesures correctives pour prévenir la récurrence de l'incident.
10. Responsable de la protection des renseignements personnels
Conformément à la Loi 25, Comptaflow a désigné un responsable de la protection des renseignements personnels. Pour toute question ou demande concernant vos renseignements personnels, veuillez nous contacter : Comptaflow inc. Courriel : privacy@comptaflow.ca Vous pouvez également déposer une plainte auprès de la Commission d'accès à l'information du Québec (CAI) : www.cai.gouv.qc.ca
11. Modifications à la politique
Nous pouvons modifier la présente politique de temps à autre. Toute modification importante sera communiquée par courriel ou par un avis sur la plateforme au moins 30 jours avant son entrée en vigueur. La date de dernière mise à jour est indiquée en haut de cette page.