Chez Estimai, votre vie privée compte. Cette politique explique simplement quelles informations nous collectons, pourquoi, comment nous les protégeons, et quels sont vos droits. Elle s'applique à toute personne qui visite notre site web ou interagit avec nous (clients, prospects, partenaires, candidats).

Politique de confidentialité

Qui est responsable de vos données ?

Responsable de la protection des renseignements personnels (RPRP) : Antoine Zieger— ti@explor.ai

Si vous avez une question sur vos données personnelles ou souhaitez exercer vos droits, contactez-le directement.

Quelles informations collectons-nous ?

Nous collectons uniquement les informations nécessaires, selon la façon dont vous interagissez avec nous :

Via notre site web et formulaire de contact :

  • Nom et prénom

  • Adresse courriel

  • Numéro de téléphone (si fourni)

  • Nom de votre entreprise

  • Contenu de votre message

Via nos cookies et outils d'analyse :

  • Adresse IP

  • Pages visitées et durée de visite

  • Navigateur et type d'appareil

Dans le cadre de nos mandats clients :

  • Informations nécessaires à la réalisation du projet (précisées dans le contrat)

Pourquoi collectons-nous ces informations ?

Coordonnées (nom, courriel, téléphone): répondre à vos demandes, gérer la relation client.

Données de navigation (cookies): améliorer l'expérience sur notre site, analyser le trafic.

Données de projet: réaliser les mandats et livrables convenus.

Nous n'utilisons pas vos données à des fins autres que celles mentionnées ci-dessus, sans votre consentement.

Comment protégeons-nous vos données ?

  • Stockage sur des plateformes sécurisées avec accès restreint

  • Authentification forte (double facteur) sur les plateformes compatibles

  • Chiffrement des données en transit (SSL/TLS) et au repos

  • Accès limité aux seules personnes qui en ont besoin

  • Procédures internes de gestion des incidents de confidentialité

Partageons-nous vos données ?

Non, sauf dans les cas suivants :

  • Partenaires ou sous-traitants impliqués dans votre projet (toujours avec entente de confidentialité)

  • Obligations légales (ex.: autorité gouvernementale sur base légale)

Nous ne vendons jamais vos données à des tiers.

Transferts hors Québec

Certains de nos outils de travail hébergent des données sur des serveurs situés hors du Québec, notamment aux États-Unis. Avant tout transfert, nous nous assurons que le fournisseur offre un niveau de protection équivalent à celui exigé par la Loi 25, conformément à notre processus d'évaluation des facteurs relatifs à la vie privée (EFVP).

Combien de temps conservons-nous vos données ?

  • Données de contact et de projet : 7 ans (exigences légales et fiscales)

  • Données de navigation (cookies) : selon les paramètres du fournisseur d'analyse (généralement 13 mois)

  • Données de candidatures : 2 ans après la fin du processus de recrutement


Passé ces délais, vos données sont supprimées ou anonymisées de façon sécurisée.

Cookies

Notre site utilise des cookies pour fonctionner correctement et améliorer votre expérience.

Types de cookies utilisés :

  • Cookies essentiels : nécessaires au bon fonctionnement du site (ne peuvent pas être refusés)

  • Cookies analytiques : nous aident à comprendre comment les visiteurs utilisent notre site (ex. : Google Analytics)

  • Cookies marketing : peuvent être utilisés par certains partenaires (ex. : LinkedIn)

Vous pouvez gérer vos préférences de cookies à tout moment via les paramètres de votre navigateur.

Vos droits

En vertu de la Loi 25, vous avez le droit de :

  • Accéder à vos renseignements personnels détenus par Estimai

  • Corriger toute information inexacte ou incomplète

  • Retirer votre consentement pour une utilisation de vos données

  • Obtenir une copie portable de vos données (portabilité), dans un format structuré et lisible

  • Demander la désindexation d'informations vous concernant diffusées en ligne, si elles ne sont plus nécessaires ou si vous retirez votre consentement

Pour exercer l'un de ces droits, écrivez à notre RPRP : Antoine Zieger à ti@explor.ai

Nous nous engageons à répondre dans un délai de 30 jours.

Incident de confidentialité

Si jamais un incident touchant vos données devait survenir, nous nous engageons à :

  • Vous en informer rapidement si cela présente un risque sérieux pour vous

  • Aviser la Commission d'accès à l'information (CAI) si requis

  • Prendre les mesures correctives nécessaires

Droit de recours

Si vous estimez que vos droits ne sont pas respectés, vous pouvez déposer une plainte auprès de la Commission d'accès à l'information du Québec (CAI) : www.cai.gouv.qc.ca — 1 888 528-7741.

Mise à jour de cette politique
Cette politique peut être modifiée pour refléter les évolutions légales ou nos pratiques. La date de mise à jour est toujours indiquée en haut du document. En cas de changement important, nous vous en informerons directement si nous avons vos coordonnées.

Accord de traitement des données (DPA)

Cette section décrit comment nous traitons les renseignements personnels lorsque nous agissons comme sous-traitant pour le compte d’un client utilisant la plateforme Estimai. Ces engagements sont formalisés dans l’accord de traitement des données (DPA) qui fait partie de nos contrats de service; nous les présentons ici à titre informatif et de transparence.

1. Objet et rôles

Objet. Le présent DPA décrit comment le Fournisseur traite les renseignements personnels pour fournir les Services.

Rôles. Le Client est « responsable du traitement » et donne les instructions; le Fournisseur est « sous-traitant/traitant » et suit uniquement les instructions documentées et licites du Client ou celles requises par la loi.

2. Ce que nous traitons et pourquoi

  • Données de compte et d’authentification (nom, prénom, courriel professionnel, organisation, rôle, identifiants, préférences). Pourquoi : créer et gérer le compte, authentifier et autoriser les Utilisateurs autorisés, fournir le support, communiquer sur les évolutions des Services.

  • Données d’usage et techniques (journaux d’accès, adresses IP, type d’appareil/navigateur, identifiants d’instance, actions dans l’interface, erreurs, métadonnées d’intégration/API). Pourquoi : livrer les Services, mesurer la disponibilité/performance, sécuriser les accès, prévenir la fraude/abus, investiguer les incidents et améliorer la stabilité.

  • Données d’observabilité front et back (RUM/session replay, télémétrie navigateur, métriques, traces et journaux applicatifs incluant événements d’interface, navigation, interactions, temps de réponse, erreurs, et métadonnées techniques associées). Pourquoi : surveiller la performance, dépanner, détecter les incidents de sécurité, améliorer l’expérience utilisateur et la fiabilité. Les paramètres de confidentialité (p. ex. masquage d’input) sont configurés pour limiter la capture de contenu; le Client s’engage à ne pas saisir de données sensibles dans les champs libres.

  • Contenus fournis par le Client (plans et devis PDF, annotations, commentaires, rapports générés, exportations, pièces jointes de support) pouvant contenir des renseignements personnels incidentels. Pourquoi : exécuter les Fonctionnalités IA (analyse automatisée, calculs et Résultats IA), permettre l’annotation/validation, générer et exporter les rapports demandés, fournir l’assistance.

  • Données de support (demandes, transcriptions, courriels de support, journaux techniques associés). Pourquoi : répondre aux tickets, reproduire et corriger les problèmes, informer sur les résolutions.

  • Amélioration continue. Les données ci-dessus peuvent être anonymisées ou agrégées pour améliorer la performance, la qualité des modèles et la sécurité, sans identifier le Client ni les personnes concernées.

  • Données sensibles. Le Fournisseur n’a pas besoin de données sensibles (p. ex. santé, paiement, données d’enfants) et le Client s’engage à ne pas en transmettre via les Services.

3. Durée et localisation

Durée. Le Fournisseur traite les données pendant la durée du contrat et jusqu’à leur suppression ou restitution selon la section 8.

Localisation et transferts. Les Services sont hébergés sur une infrastructure infonuagique (p. ex. AWS ou équivalent). Les données peuvent être transférées ou rendues accessibles hors du Québec ou du Canada avec des garanties appropriées (clauses contractuelles types ou mécanismes équivalents). Le Client consent à ces transferts dans la mesure nécessaire à l’exécution des Services.

4. Sécurité

Mesures. Le Fournisseur maintient des mesures administratives, physiques et techniques conformes aux normes de l’industrie : chiffrement en transit (TLS) et, lorsque disponible, au repos; contrôles d’accès basés sur les rôles; gestion centralisée des identités; journalisation et surveillance; segmentation logique; sauvegardes et restauration; gestion des vulnérabilités et correctifs; durcissement des environnements d’administration.

Confidentialité. L’accès est limité aux personnes qui en ont besoin pour fournir les Services et qui sont liées par des obligations de confidentialité et de sécurité.

Registre et minimisation. Le Fournisseur tient un registre de traitement pertinent et n’accède aux données que dans la mesure nécessaire à l’exécution du contrat.

5. Sous-traitants et divulgations

Sous-traitants ultérieurs. Le Client autorise l’usage de sous-traitants pour l’hébergement infonuagique, la surveillance, le support, la sauvegarde et l’analytique interne, incluant les services d’observabilité/monitoring (p. ex. Datadog APM, logs et RUM/session replay configurés avec des paramètres de confidentialité). Le Fournisseur impose des obligations de protection des données équivalentes et reste responsable de leurs actes.

Divulgations légales. Le Fournisseur ne divulgue les données que si la loi l’exige, après avoir informé le Client (sauf interdiction légale) et limite la divulgation au minimum requis.

6. Incidents et assistance

Notification d’incident. Le Fournisseur notifiera sans délai indu, et au plus tard dans les soixante-douze (72) heures après confirmation, tout incident de sécurité entraînant la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé aux renseignements personnels. La notification inclura la nature de l’incident, les catégories de données et de personnes concernées, les conséquences probables et les mesures correctives prises ou proposées.

Assistance. Le Fournisseur assistera raisonnablement le Client (frais possibles) pour : répondre aux demandes de droits des personnes concernées, réaliser des évaluations des facteurs relatifs à la vie privée, documenter la conformité et coopérer avec les autorités de protection des données.

7. Droits des personnes concernées

Le Fournisseur redirigera vers le Client toute demande reçue directement d’une personne concernée et ne répondra pas sans instruction du Client, sauf obligation légale. Le Client reste responsable de la vérification de l’identité et de la réponse aux demandes.

8. Restitution et suppression

Pendant la durée du contrat, le Client peut exporter ses données via les fonctionnalités des Services ou sur demande.

À la résiliation ou expiration, et sur demande écrite dans les trente (30) jours, le Fournisseur restituera les données dans un format raisonnablement utilisable. Sauf obligation légale contraire, les données seront supprimées ou anonymisées dans les quatre-vingt-dix (90) jours, à l’exception des copies de sauvegarde supprimées lors de leur cycle normal.

9. Audits et transparence

Sur demande écrite raisonnable (une fois par an sauf incident ou exigence réglementaire), le Fournisseur fournira des informations disponibles démontrant la conformité (politiques de sécurité, descriptions de contrôles, rapports tiers disponibles). Les audits sur site nécessitent un préavis de trente (30) jours, une portée convenue, une durée limitée, le respect des politiques du Fournisseur et un accord de non-divulgation; les coûts sont à la charge du Client.