Politique de confidentialité

This policy is written in French to comply with Quebec’s Bill 96 and Law 25. The French version below is legally binding. An English summary is available on request — please contact our Privacy Officer at ftherrien@adocrat.ca.

11913824 Canada inc., faisant affaire sous les noms commerciaux Adocrat Technologies (clientèle corporative et MSP) et Code18 Informatique (clientèle résidentielle), s'engage à protéger vos renseignements personnels conformément à la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP, RLRQ c. P-39.1), telle que modifiée par la Loi 25 (L.Q. 2021, c. 25).

Version 2.0 · Dernière mise à jour :

1. Responsable de la protection des renseignements personnels

Conformément à l'article 3.1 de la LPRPSP, nous avons désigné un Responsable de la protection des renseignements personnels (RPRP). Toute question, demande d'exercice de vos droits ou plainte peut lui être adressée :

  • Frédéric Therrien — Propriétaire / RPRP
  • 11913824 Canada inc. (Adocrat Technologies │ Code18 Informatique)
  • 155-2 route Marie-Victorin, Lévis (QC)
  • Courriel : ftherrien@adocrat.ca
  • Téléphone : 418 476-0289

2. Champ d'application

La présente politique s'applique aux renseignements personnels que nous recueillons et traitons concernant :

  • Les clients particuliers de Code18 Informatique (services résidentiels, boutique en ligne).
  • Les clients corporatifs d'Adocrat Technologies (services-conseils, MSP, intégration).
  • Les candidats qui nous transmettent leur candidature.
  • Les visiteurs de nos sites web www.adocrat.ca et www.code18.net.

3. Principes directeurs

Notre traitement des renseignements personnels repose sur les principes suivants :

  • Collecte limitée et finalité déterminée — nous ne recueillons que les renseignements nécessaires à des fins explicites, légitimes et préalablement déterminées.
  • Exactitude — nous prenons les mesures raisonnables pour que les renseignements détenus soient exacts, complets et à jour.
  • Durée de conservation minimale — les renseignements ne sont conservés que pour la durée nécessaire aux finalités, ou pour la durée minimale exigée par la loi.
  • Sécurité — nous appliquons des mesures techniques, organisationnelles et physiques proportionnelles à la sensibilité des données (voir section 9).
  • Transparence — nous vous informons de la collecte, des finalités, des destinataires et de vos droits.
  • Responsabilisation — le RPRP est responsable de la mise en œuvre, du maintien et de la révision de la présente politique. Une trace documentaire (registre des renseignements personnels, évaluations des facteurs relatifs à la vie privée, journal des incidents) est tenue et conservée.

4. Catégories de renseignements que nous recueillons

Selon votre relation avec nous, nous pouvons recueillir les catégories de renseignements suivantes :

Clients particuliers (Code18)

  • Identification : nom, prénom, courriel, téléphone, code postal, adresse civique au besoin.
  • Historique de service : description des interventions, dates, factures.
  • Données de paiement : recueillies et traitées exclusivement par Square (voir section 7).

Clients corporatifs (Adocrat — MSP)

  • Coordonnées d'affaires : nom des contacts, courriel, téléphone, adresse de l'entreprise.
  • Documentation d'infrastructure : inventaires d'équipements, configurations réseau, schémas (protégés par sensitivity labels).
  • Billets de support : description des incidents, communications, contenu technique.
  • Mots de passe et secrets clients : identifiants administratifs, clés API, certificats — stockés dans un coffre Keeper Security à chiffrement zero-knowledge avec MFA obligatoire.

Candidats à l'emploi

  • CV, lettre de motivation, courriel, téléphone, expérience, formation, références.

Visiteurs des sites web

  • Adresse IP, type de navigateur, pages consultées, dates et heures de visite (témoins techniques uniquement — voir section 13).

5. Finalités de la collecte

Vos renseignements personnels sont utilisés uniquement aux fins suivantes :

  • Fournir les services informatiques demandés (consultation, support, intégration, vente, MSP).
  • Établir et maintenir la relation d'affaires (devis, contrats, facturation, communication).
  • Évaluer les candidatures à l'emploi et constituer une banque de candidats (avec votre autorisation).
  • Respecter nos obligations légales, comptables et fiscales.
  • Améliorer la qualité de nos services et de nos sites web.

Nous ne vendons jamais vos renseignements personnels et ne les utilisons pas à des fins de marketing tiers.

6. Consentement

Le consentement au traitement de vos renseignements doit être :

  • Libre — donné sans pression ni contrainte.
  • Éclairé — vous avez reçu toute l'information nécessaire (finalités, destinataires, droits).
  • Spécifique — donné pour des fins identifiées.
  • Manifeste — pour les renseignements sensibles (numéro d'assurance sociale, données financières, données de santé), un consentement explicite est requis.

Selon votre situation, le consentement est obtenu :

  • Clients particuliers (Code18) : lors de la création d'un compte ou d'une transaction sur la plateforme Square, par acceptation des conditions d'utilisation et de la présente politique.
  • Clients corporatifs (Adocrat) : par signature du contrat de services. Une entente de confidentialité distincte est signée par les sous-traitants accédant à des données client.
  • Candidats : lors de l'envoi de la candidature, vous êtes informé que vos renseignements seront utilisés pour évaluer votre candidature et conservés pendant 2 ans dans une banque de candidats si vous l'autorisez.

Vous pouvez retirer votre consentement en tout temps en contactant le RPRP, sous réserve des obligations légales de conservation (notamment l'obligation fiscale de 7 ans).

7. Boutique en ligne et paiements (Square)

Notre boutique en ligne est exploitée à l'adresse code18-informatique.square.site, une plateforme fournie par Square. Lorsque vous effectuez un achat :

  • Vos renseignements de paiement (numéro de carte, date d'expiration, code de vérification) sont recueillis et traités directement par Square selon leur propre politique de confidentialité : squareup.com/ca/fr/legal/general/privacy ↗
  • Nous n'avons jamais accès aux données complètes de votre carte. Square nous transmet seulement les informations nécessaires à l'exécution de la commande (nom, adresse de livraison, articles achetés).
  • La communication de ces renseignements à Square (États-Unis) est encadrée par la Privacy Policy et le DPA de Square (PCI DSS, RGPD). Une évaluation des facteurs relatifs à la vie privée (EFVP) est documentée à l'interne.

8. Communications hors Québec (art. 17 LPRPSP)

Avant de communiquer vos renseignements personnels à un sous-traitant situé hors du Québec, nous effectuons une évaluation des facteurs relatifs à la vie privée (EFVP) et nous nous assurons que le niveau de protection accordé est équivalent à celui prévu par la LPRPSP. Voici les principaux fournisseurs avec lesquels nous travaillons :

  • Microsoft 365 (Canada — datacenters au sol canadien) — courriels, fichiers, contacts. Encadré par le DPA Microsoft, ISO 27001/27018, SOC 2.
  • Square Inc. (États-Unis) — nom, courriel, téléphone des clients. PCI DSS, RGPD.
  • ADP Canada (Canada / É.-U.) — données de paie des employés uniquement.
  • Autotask / Datto (Canada) — système de billets de support. SOC 2.
  • Keeper Security (États-Unis) — coffre de mots de passe à chiffrement zero-knowledge. SOC 2 Type II, ISO 27001, FedRAMP. Keeper ne peut techniquement pas accéder aux secrets stockés.
  • Anthropic Claude (États-Unis) — assistance IA, avec anonymisation préalable obligatoire (voir section 9). SOC 2 Type II.
  • Datto SaaS Backup (Canada) — sauvegardes Microsoft 365.
  • Kaseya RMM (Canada) — sauvegardes des postes de travail d'entreprise.

9. Usage de l'intelligence artificielle générative

Nous utilisons l'IA générative (Anthropic Claude) pour assister la résolution de billets de support, l'analyse technique et l'automatisation. L'usage de l'IA est strictement encadré :

  • Anonymisation préalable obligatoire : aucun renseignement personnel identifiant (nom, courriel, téléphone, adresse, IP publique, identifiant client) n'est envoyé à l'IA sans avoir été anonymisé ou pseudonymisé au préalable. Une procédure documentée est appliquée systématiquement.
  • Aucune décision automatisée à effet juridique n'est prise sur la seule base d'une réponse de l'IA. Une validation humaine du RPRP ou d'un employé qualifié est toujours requise.
  • Aucun usage de l'IA pour traiter des données de paie, des données de santé ou des données financières sensibles.
  • Anthropic conserve les logs d'API pendant 30 jours et n'utilise pas vos données pour l'entraînement de ses modèles.

10. Mesures de sécurité

Nous mettons en œuvre des mesures de sécurité techniques, organisationnelles et physiques proportionnelles à la sensibilité des renseignements traités. Les mesures principales sont :

Mesures techniques

  • Authentification multifacteur (MFA) universelle sur tous les systèmes le permettant — incluant Keeper Security avec clés passkeys.
  • Chiffrement — BitLocker activé sur tous les laptops d'entreprise. Communications chiffrées (TLS).
  • Sensitivity labels Microsoft Purview appliqués sur les documents (Public, Interne, Confidentiel, Confidentiel - RH, Confidentiel - Client) avec chiffrement automatique pour les niveaux Confidentiel.
  • Microsoft Intune (MDM) — les données de l'entreprise ne sont accessibles que depuis les laptops et cellulaires d'entreprise gérés. Aucun accès depuis des appareils personnels non gérés.
  • Conditional Access M365 — blocage de l'authentification héritée, exigence de conformité de l'appareil, MFA obligatoire.
  • Antivirus et solution EDR sur tous les postes de travail et serveurs.
  • Sauvegardes — Datto SaaS Backup pour Microsoft 365 et Kaseya pour les postes de travail, tous deux au sol canadien.

Mesures organisationnelles

  • Politique de confidentialité interne signée par tous les employés et sous-traitants.
  • Procédure formelle de gestion des incidents de confidentialité (voir section 12).
  • EFVP documentée pour chaque communication hors Québec.
  • Principe du moindre privilège — accès aux renseignements limité aux personnes ayant un besoin opérationnel.
  • Formation à l'embauche et révision annuelle pour tous les employés.
  • Révocation immédiate des accès à la cessation d'emploi.

11. Durées de conservation

Vos renseignements personnels sont conservés uniquement le temps nécessaire à la réalisation des finalités :

  • Clients particuliers (Code18) : durée de la relation + 7 ans (obligations fiscales).
  • Clients corporatifs (Adocrat) : durée du contrat + 7 ans pour la facturation. Documentation d'infrastructure : durée du contrat + 1 an.
  • Mots de passe et secrets clients (MSP) : durée du mandat seulement.
  • Candidats non retenus : 2 ans après la fin du processus de sélection (avec votre autorisation pour la banque de candidats), sinon supprimés à la fin du processus.
  • Sauvegardes des postes de travail : 90 jours (versions).

Une fois ces délais écoulés, les renseignements sont détruits ou anonymisés de manière sécurisée.

12. Vos droits

Conformément à la Loi 25, vous disposez des droits suivants à l'égard de vos renseignements personnels. Pour les exercer, contactez notre RPRP par courriel à ftherrien@adocrat.ca :

  • Droit d'accès — obtenir une copie des renseignements que nous détenons à votre sujet (art. 27 LPRPSP).
  • Droit de rectification — faire corriger des renseignements inexacts, incomplets ou équivoques (art. 28 LPRPSP).
  • Droit à la portabilité — recevoir vos renseignements informatisés dans un format technologique structuré et couramment utilisé.
  • Droit à la désindexation ou cessation de la diffusion dans les cas prévus par la loi (art. 28.1 LPRPSP).
  • Droit de retirer votre consentement au traitement, sous réserve des obligations légales ou contractuelles de conservation (art. 14 LPRPSP).
  • Droit de porter plainte auprès de la Commission d'accès à l'information du Québec si vous estimez que vos droits ne sont pas respectés (1-888-528-7741).

Nous disposons d'un délai de trente (30) jours pour répondre à votre demande, conformément à l'art. 32 LPRPSP. Ce délai peut être prolongé de 30 jours supplémentaires sur préavis écrit motivé.

13. Incidents de confidentialité

Conformément aux articles 3.5 et suivants de la LPRPSP, nous avons mis en place une procédure formelle de gestion des incidents de confidentialité :

  • Tout incident détecté est évalué dans les 72 heures par le RPRP pour en déterminer la portée et la gravité.
  • En cas de risque sérieux de préjudice, nous nous engageons à :
    • Déclarer l'incident à la Commission d'accès à l'information (CAI) dans les meilleurs délais (cible interne : 5 jours ouvrables).
    • Notifier les personnes concernées en français (et en anglais si demandé), en décrivant la nature de l'incident, les renseignements concernés, les mesures prises et les actions recommandées pour vous protéger.
  • Un registre de tous les incidents (incluant ceux ne nécessitant pas de déclaration) est tenu à jour par le RPRP et conservé pendant au moins cinq (5) ans (art. 3.8 LPRPSP).

14. Témoins (cookies)

Nos sites web utilisent un nombre limité de témoins (« cookies ») techniques pour assurer leur bon fonctionnement. Aucun témoin de mesure d'audience, de fonctionnalité étendue ou de marketing n'est déposé sans votre consentement explicite, conformément à la Loi 25.

Lors de votre première visite, un bandeau vous permet de choisir vos préférences par catégorie :

  • Strictement nécessaires — indispensables au fonctionnement du site (toujours actifs).
  • Fonctionnels — mémorisation de vos préférences (langue, affichage).
  • Mesure d'audience — statistiques anonymes d'utilisation.
  • Marketing — personnalisation des contenus et publicités (non utilisé actuellement).

Vous pouvez modifier vos préférences à tout moment via le bouton flottant en bas à gauche de chaque page, ou en cliquant ici : Gérer mes préférences de témoins. Vous pouvez également configurer votre navigateur pour refuser les témoins.

15. Modifications de la politique

Cette politique est révisée au minimum une (1) fois par année et mise à jour lors de tout changement législatif, technologique, contractuel ou organisationnel significatif. La version en vigueur est toujours publiée sur cette page, avec la date de la dernière mise à jour indiquée en haut. Nous vous invitons à la consulter périodiquement.

16. Nous joindre

Pour toute question concernant cette politique ou vos renseignements personnels :

  • Frédéric Therrien — Responsable de la protection des renseignements personnels
  • Courriel principal : ftherrien@adocrat.ca
  • Téléphone : 418 476-0289
  • Adresse : 155-2 route Marie-Victorin, Lévis (QC)

Pour des questions spécifiques à un volet :

Retour à l'accueil