Politique de Confidentialité

Conforme : Loi 25 du Québec et Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du Canada

1. Introduction

Cette politique de confidentialité décrit comment Finova Solutions (« nous », « notre » ou « l'entreprise ») recueille, utilise, protège et divulgue les renseignements personnels dans le cadre de l'utilisation de l'application FinovRelance. Cette politique est conforme à la Loi 25 du Québec et à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du Canada.

2. Responsable de la protection des renseignements personnels

Responsable : Tony Dubus

Contact : [email protected]

3. Types de renseignements collectés

Nous collectons les types de renseignements suivants :

Informations d'entreprise
  • • Nom, adresse, téléphone
  • • Courriel, logo
  • • Informations de facturation
Informations personnelles
  • • Nom, prénom, courriel
  • • Mot de passe haché
  • • Rôle, date de connexion
Données clients
  • • Code client, coordonnées
  • • Conditions de paiement
  • • Collecteur assigné
Informations financières et de facturation
  • • Factures clients : numéros, montants, dates, descriptions, statuts
  • • Historique de paiement et relances
  • • Informations d'abonnement : plan choisi, date de souscription, statut
  • • Métadonnées de facturation : ID entreprise, quantité de licences
  • • Données de paiement traitées par Stripe : email de facturation, nom d'entreprise
IMPORTANT : Les détails de carte bancaire ne sont JAMAIS stockés par Finova Solutions
Communications
  • • Notes, courriels
  • • Comptes-rendus
  • • Historique des interactions
Intégrations et données système
  • • Tokens d'accès sécurisés (HTTPS + session)
  • • Paramètres de synchronisation
  • • Journaux d'audit sécurisés

4. Finalités de la collecte

Les renseignements sont collectés aux fins suivantes :

  • Fournir les services de gestion des comptes à recevoir
  • Gérer les comptes utilisateurs et abonnements
  • Assurer la sécurité, la traçabilité et la conformité
  • Personnaliser l'expérience utilisateur
  • Envoyer des communications administratives ou de soutien
  • Traiter les paiements d'abonnement et gérer la facturation récurrente
  • Prévenir la fraude et assurer la conformité financière
  • Respecter les obligations fiscales et comptables (conservation 7 ans)
  • Gérer les échecs de paiement et les suspensions de service

5. Consentement

En utilisant FinovRelance et en fournissant vos renseignements, vous consentez à leur collecte, leur traitement et leur conservation conformément à la présente politique. Un consentement explicite est requis lors de la création du compte.

6. Conservation des données

Les renseignements sont conservés aussi longtemps que nécessaire pour atteindre les finalités décrites, et pour se conformer aux obligations légales. Les utilisateurs peuvent supprimer leur compte via l'application, ce qui entraîne la suppression ou l'anonymisation des données dans un délai raisonnable.

Conservation spécifique par type de données

Données d'abonnement et de facturation :
  • Informations d'abonnement actif : conservées pendant toute la durée du contrat
  • Historique de facturation : conservé 7 ans après résiliation (obligation fiscale québécoise)
  • Données de paiement Stripe : conservées selon la politique de Stripe (jusqu'à 7 ans pour conformité PCI-DSS)
  • Factures clients : conservées selon vos paramètres ou 7 ans minimum (conformité fiscale)
Données techniques :
  • Logs de sécurité : 1 an maximum
  • Cookies de session : expirés après 2 heures d'inactivité (déconnexion automatique)
  • Tokens d'API : révoqués immédiatement lors de la résiliation

7. Hébergement et transferts internationaux de données

Vos données sont hébergées au Canada (Montréal). Certains sous-traitants spécialisés peuvent traiter des données à l'extérieur du Canada pour des fonctions spécifiques (paiements, protection réseau, intégrations email).
Canada (Montreal) :
  • Riopel Consultant Informatique - Hébergement principal (VPS)
États-Unis :
  • Stripe Inc. - Traitement des paiements
  • Cloudflare Inc. - Protection et sécurité
International :
  • Microsoft (Office 365/Outlook) - Si vous utilisez l'intégration email
  • Google (Gmail SMTP) - Si vous utilisez l'integration Gmail
Garanties de protection :
  • Tous ces fournisseurs appliquent des mesures de sécurité équivalentes aux normes canadiennes
  • Certifications : SOC 2, ISO 27001, PCI-DSS selon le fournisseur
  • Accords de traitement de données conformes aux standards internationaux
  • Droit de résidence des données respecté selon les capacités techniques
IMPORTANT : En utilisant FinovRelance, vous consentez explicitement à ces transferts internationaux nécessaires au fonctionnement du service.
Sauvegardes sécurisées : Pour renforcer la protection de vos données, nous effectuons des sauvegardes automatiques biquotidiennes vers une base de données de sauvegarde dédiée, hébergée sur notre infrastructure VPS indépendante. Cette mesure de sécurité supplémentaire garantit la disponibilité et la restauration de vos données en cas d'incident technique sur la plateforme principale.

7 bis. Dispositions spécifiques aux utilisateurs de l'Union européenne (RGPD)

Cette section s'applique exclusivement aux utilisateurs résidant dans l'Espace économique européen (EEE) ou au Royaume-Uni. Elle complète, sans s'y substituer, les dispositions générales de cette politique.
Responsable de traitement

Le responsable de traitement au sens de l'article 4 (7) du RGPD est Finova Solutions, société établie au Québec (Canada). Contact pour toute question relative au traitement de vos données personnelles : [email protected].

Base légale du traitement (article 6 RGPD)
  • Exécution du contrat (art. 6.1.b) : traitement des données nécessaires à la fourniture du service FinovRelance (compte utilisateur, gestion des comptes à recevoir, facturation, support).
  • Obligation légale (art. 6.1.c) : conservation des données de facturation pour se conformer aux obligations comptables et fiscales applicables.
  • Intérêt légitime (art. 6.1.f) : sécurité de la plateforme, prévention de la fraude, amélioration du service. Vous pouvez vous opposer à ces traitements à tout moment (voir droits ci-dessous).
  • Consentement (art. 6.1.a) : uniquement lorsqu'il est explicitement requis (ex. cookies non essentiels, communications marketing optionnelles).
Transfert de données vers le Canada

Vos données sont hébergées au Canada (Montréal). Le Canada bénéficie d'une décision d'adéquation de la Commission européenne en date du 20 décembre 2001 (décision 2002/2/CE), toujours en vigueur, qui reconnaît que le Canada offre un niveau de protection adéquat des données personnelles équivalent à celui garanti au sein de l'Union européenne. Aucune garantie supplémentaire n'est donc requise pour ce transfert au titre du chapitre V du RGPD.

Les transferts vers les États-Unis (Stripe, Cloudflare) et vers nos autres sous-traitants sont encadrés par des clauses contractuelles types (CCT) conformes à la décision (UE) 2021/914 de la Commission, ou par des mécanismes équivalents reconnus par le RGPD.

Vos droits au titre du RGPD

En complément des droits décrits à la section 11, vous disposez des droits spécifiques suivants au titre du Règlement (UE) 2016/679 :

  • Droit d'accès (art. 15) : obtenir la confirmation que vos données sont traitées et en obtenir une copie.
  • Droit de rectification (art. 16) : faire corriger les données inexactes ou incomplètes.
  • Droit à l'effacement (art. 17, "droit à l'oubli") : demander la suppression de vos données, sous réserve de nos obligations légales de conservation (notamment comptables).
  • Droit à la limitation du traitement (art. 18) : demander le gel temporaire du traitement de vos données.
  • Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, ou les transmettre à un autre responsable de traitement.
  • Droit d'opposition (art. 21) : vous opposer à tout moment, pour des raisons tenant à votre situation particulière, à un traitement fondé sur notre intérêt légitime.
  • Droit de retirer votre consentement (art. 7.3) : lorsque le traitement est fondé sur le consentement, vous pouvez le retirer à tout moment, sans que cela n'affecte la licéité du traitement antérieur.
  • Droit de ne pas faire l'objet d'une décision automatisée (art. 22) : FinovRelance n'utilise aucun traitement automatisé produisant des effets juridiques à votre égard.

Pour exercer l'un quelconque de ces droits, écrivez à [email protected]. Nous répondrons dans un délai maximum d'un mois à compter de la réception de votre demande (ce délai peut être prolongé de deux mois en cas de demande complexe, conformément à l'article 12.3 du RGPD).

Droit d'introduire une réclamation auprès d'une autorité de contrôle
Conformément à l'article 77 du RGPD, si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès d'une autorité de contrôle, notamment dans l'État membre de l'UE dans lequel vous résidez, travaillez ou dans lequel la violation présumée a eu lieu.

À titre d'exemple, pour les résidents français, l'autorité compétente est la Commission nationale de l'informatique et des libertés (CNIL)www.cnil.fr. Pour les autres États membres, la liste des autorités est disponible sur le site du Comité européen de la protection des données (edpb.europa.eu).

Durées de conservation

Les durées de conservation applicables aux utilisateurs de l'UE sont celles décrites à la section 6 de cette politique. Les données de facturation sont conservées 10 ans conformément à l'article L.123-22 du Code de commerce français, qui prévaut sur la durée générale de 7 ans lorsque celle-ci s'applique.

Absence de délégué à la protection des données (DPO)

Finova Solutions n'est pas tenue de désigner un délégué à la protection des données au sens de l'article 37 du RGPD, les activités de traitement n'impliquant ni un suivi régulier et systématique à grande échelle, ni un traitement à grande échelle de catégories particulières de données. Pour toute question relative à la protection de vos données, le contact unique reste [email protected].

8. Sécurité des renseignements

Nous avons mis en place des mesures techniques et organisationnelles pour protéger les renseignements :

Mesures techniques
  • Chiffrement HTTPS/TLS (en production)
  • Hachage sécurisé et salé des mots de passe (scrypt, via la bibliothèque Werkzeug)
  • Protection CSRF/XSS
  • Conformité PCI-DSS via Stripe (nous ne stockons aucune donnée de carte)
  • Tokens d'API chiffrés (AES-256)
  • Isolation des données par entreprise (multi-tenant sécurisé)
Mesures organisationnelles
  • Journalisation des événements de sécurité
  • Contrôle d'accès basé sur les rôles
  • Isolation multi-entreprises

9. Partage avec des tiers

Nous ne vendons ni ne louons vos renseignements.

Vos données peuvent être partagées uniquement dans les cas suivants, conformément à leur finalité spécifique :

Tiers Données partagées Finalité Base légale
Stripe
Paiements		 • Email de facturation de l'entreprise
• Nom de l'entreprise
• Métadonnées : ID entreprise, plan d'abonnement, quantité de licences
• Montants de facturation
NOTE CRITIQUE : Les détails bancaires (numéros de carte, CVV, etc.) sont gérés EXCLUSIVEMENT par Stripe et ne transitent JAMAIS par nos serveurs
Traitement des paiements d'abonnement, gestion de la facturation récurrente, prévention de la fraude Exécution du contrat
Microsoft Graph API
Envoi emails		 • Tokens OAuth (chiffrés AES-256-GCM)
• Emails de relance (destinataires, sujet, contenu HTML, pièces jointes)
• Scopes : Mail.Send, Mail.ReadWrite, User.Read 		Envoi de courriels de relance via votre compte Outlook/Exchange Consentement explicite
Gmail SMTP
Envoi emails		 • Adresse Gmail + mot de passe d'application
• Emails de relance (destinataires, sujet, contenu HTML, pièces jointes) 		Envoi de courriels de relance via votre compte Gmail Consentement explicite
QuickBooks
Sync comptable		 Clients : code, nom, email, téléphone, adresse, représentant, termes paiement
Factures : numéro, montant, dates, solde 		Synchronisation automatique de vos comptes clients et factures Consentement explicite
Business Central
Sync comptable		 Clients : code, nom, email, téléphone, adresse
Factures : numéro, montant, dates, solde 		Synchronisation automatique de vos comptes clients et factures Consentement explicite
Xero
Sync comptable		 • Tokens OAuth (chiffrés AES-256-GCM)
Clients : code, nom, email, téléphone, adresse
Factures : numéro, montant, dates, solde 		Synchronisation automatique de vos comptes clients et factures (si vous activez ce connecteur) Consentement explicite
Odoo
Sync comptable		 Clients : code, nom, email, téléphone, adresse
Factures : numéro, montant, dates, solde 		Synchronisation automatique de vos comptes clients et factures (si vous activez ce connecteur) Consentement explicite
Pennylane
Sync comptable		 • Tokens OAuth (chiffrés AES-256-GCM)
Clients : code, nom, email, téléphone, adresse
Factures : numéro, montant, dates, solde, PDF 		Synchronisation automatique de vos comptes clients et factures (si vous activez ce connecteur) Consentement explicite
Cloudflare
Sécurité WAF		 • Adresse IP réelle (header CF-Connecting-IP)
• Métadonnées requêtes HTTP (headers, user-agent)
• URLs visitées 		Protection DDoS, filtrage malveillant, amélioration performance Intérêt légitime (sécurité)
Riopel Consultant Informatique
Hébergement (Montréal)		 Toutes les données de l'application (base de données PostgreSQL complète) Hébergement et exécution de l'application Exécution du contrat
Infrastructure VPS dédiée
Sauvegardes		 • Copie complète biquotidienne (pg_dump)
• Conservation : 7 jours
• Base de données PostgreSQL dédiée 		Sauvegarde indépendante pour protection contre incidents Intérêt légitime (continuité service)
Autorités réglementaires Données strictement nécessaires selon la demande légale Conformité aux obligations légales Obligation légale
Transparence : Ce tableau reflète exactement les données partagées selon notre implémentation technique. Toute modification de ces partages nécessitera une mise à jour de cette politique avec votre consentement.
Politiques de confidentialité de nos partenaires :

10. Notification de violations de données

En cas de violation de données susceptible d'entraîner un risque élevé pour vos droits :

  • Notification à la CAI (Commission d'accès à l'information) sous 72h
  • Notification aux utilisateurs concernés sans délai injustifié
  • Mesures correctives immédiates mises en place
  • Rapport détaillé disponible sur demande

11. Droits des utilisateurs

Conformément à la Loi 25 du Québec et à la LPRPDE du Canada, vous disposez des droits suivants :

Droit d'accès

Accéder à vos renseignements personnels

Droit de rectification

Corriger les informations inexactes

Droit à la portabilité

Obtenir une copie de vos renseignements sur demande écrite, fournie dans un format exploitable et traitée dans un délai de 30 jours

Retrait du consentement

Retirer votre consentement

Droit à la suppression

Demander la suppression de vos données

Pour exercer ces droits, contactez [email protected]
Droit de porter plainte auprès d'une autorité

Si vous estimez que le traitement de vos renseignements personnels n'est pas conforme à la loi, vous pouvez porter plainte auprès de l'autorité compétente :

  • Au Québec : Commission d'accès à l'information du Québec (CAI) — www.cai.gouv.qc.ca
  • Au Canada (fédéral, LPRPDE) : Commissariat à la protection de la vie privée du Canada — www.priv.gc.ca

12. Témoins (cookies)

L'application utilise des témoins de session pour assurer le bon fonctionnement de l'authentification et mémoriser les préférences utilisateur. Ces témoins ne sont pas utilisés à des fins de marketing ou de suivi comportemental externe.

Types de cookies utilisés :
  • Cookies de session (FinovRelance) : Nécessaires pour l'authentification et le fonctionnement de l'application
  • Cookies de sécurité (Cloudflare) : Utilisés pour détecter et bloquer les attaques automatisées
    • __cf_bm : Cookie de gestion des bots (durée : 30 minutes)
    • cf_clearance : Cookie de validation suite à un challenge de sécurité (durée : jusqu'à 1 an)
  • Cookies de consentement : Mémorisent votre choix concernant l'utilisation des cookies (stockage local du navigateur, conservé jusqu'à suppression manuelle ou changement de version de la politique)

Vous pouvez gérer vos préférences de cookies via les paramètres de votre navigateur. Notez que la désactivation de certains cookies peut affecter le bon fonctionnement de l'application.

13. Modifications à la politique

Nous pouvons mettre à jour cette politique de confidentialité à tout moment. Toute modification sera affichée dans l'application. L'utilisation continue de l'application vaut acceptation de la politique mise à jour.

14. Contact

Pour toute question concernant cette politique ou vos droits :

Email : [email protected]

Responsable : Tony Dubus - Finova Solutions

Dernière mise à jour : 12 juin 2026

Version conforme à la Loi 25 du Québec et LPRPDE du Canada

Ajout : Section Stripe paiements, conservation spécifique des données, transferts internationaux renforcés, notification de violations