Politique de confidentialité

Créé le 3 juillet 2025 — Mis à jour le 6 avril 2026

English version

1. Introduction et engagement

Solutions néSaaSity S.E.N.C. (« l'Entreprise », « nous », « notre »), l'opérateur de l'application Paymely.app (« Paymely », « le Service »), s'engage à protéger la confidentialité et la sécurité des renseignements personnels. La présente Politique de confidentialité décrit comment nous recueillons, utilisons, divulguons et protégeons les renseignements personnels conformément aux lois applicables au Québec et au Canada, y compris :

2. Responsable de la protection des renseignements personnels

Conformément à la Loi 25, nous avons désigné un Responsable de la protection des renseignements personnels chargé de veiller au respect de la présente politique et des lois applicables :

Nom : Simon Fortin

Titre : Responsable de la protection des renseignements personnels

Courriel : privacy@nesaasity.ca

Adresse : Solutions néSaaSity S.E.N.C., Chambly, Québec, Canada

Toute question, demande d'accès, plainte ou demande d'exercice de vos droits peut être adressée à cette personne.

3. Nos rôles : responsable du traitement et sous-traitant

Notre rôle varie en fonction du type de données :

  • Responsable du traitement (data controller) : Nous agissons en tant que responsable du traitement pour les renseignements personnels que nous recueillons directement auprès de nos clients (les entreprises qui s'abonnent à Paymely) pour la création et la gestion de leur compte.
  • Sous-traitant (data processor) : Nous agissons en tant que sous-traitant pour les renseignements que nos clients téléversent sur la plateforme concernant leurs propres clients (les débiteurs). Dans ce cas, notre Client est le responsable du traitement, et nous ne traitons ces données que sur ses instructions.

Cette politique couvre principalement nos obligations en tant que responsable du traitement. Nos obligations en tant que sous-traitant sont régies par nos conditions générales d'utilisation et les ententes de traitement de données conclues avec nos clients.

4. Renseignements que nous collectons

4.1. Données des clients (en tant que responsable du traitement)

Nous collectons les renseignements suivants directement auprès des représentants de nos clients :

  • Nom complet
  • Adresse de courriel professionnelle
  • Numéro de téléphone professionnel
  • Titre du poste
  • Mot de passe du compte (stocké sous forme chiffrée)
  • Informations de paiement (traitées directement par Stripe; nous ne stockons jamais vos données de carte de crédit)
  • Nom de l'entreprise

4.2. Données des débiteurs (en tant que sous-traitant)

Nos clients peuvent téléverser les renseignements suivants concernant leurs propres clients (débiteurs) :

  • Nom complet
  • Adresse de courriel
  • Numéro de téléphone
  • Montants et détails des factures
  • Historique de paiement
  • Notes de communication

Important : Notre client est le responsable du traitement de ces données. Nous ne les utilisons que conformément aux instructions de notre client et aux finalités prévues par le Service.

4.3. Données techniques et d'utilisation

  • Adresse IP
  • Type de navigateur et appareil
  • Pages consultées et interactions avec le Service
  • Données de journalisation (logs) techniques
  • Cookies et technologies similaires (voir notre Politique sur les témoins)

5. Finalités de la collecte et de l'utilisation

Nous utilisons les renseignements personnels aux fins suivantes :

  • Fourniture du Service : Créer et gérer les comptes, permettre la connexion, assurer le bon fonctionnement des abonnements et des fonctionnalités de la plateforme.
  • Traitement des paiements : Facturer les frais d'abonnement et les achats de crédits via notre fournisseur de paiement (Stripe).
  • Communications de service : Envoyer des mises à jour importantes sur le Service, des alertes de sécurité, des factures, des notifications de renouvellement et des réponses à vos demandes de soutien.
  • Communications commerciales : Avec votre consentement, vous envoyer des courriels sur les nouvelles fonctionnalités de Paymely. Vous pouvez vous désabonner à tout moment via le lien de désabonnement inclus dans chaque courriel, conformément à la LCAP.
  • Traitement automatisé et intelligence artificielle : Certaines fonctionnalités du Service utilisent l'intelligence artificielle (IA) pour aider nos clients, notamment la détection automatisée de paiements et la génération de suggestions de communication. Aucune donnée sensible n'est transmise aux fournisseurs d'IA. Aucune décision ayant un effet juridique sur vous n'est prise exclusivement par un traitement automatisé sans intervention humaine. Conformément à la Loi 25, vous avez le droit d'être informé lorsqu'un traitement automatisé est utilisé et de soumettre vos observations.
  • Amélioration du Service : Analyser l'utilisation du Service sous forme agrégée et anonymisée pour améliorer nos fonctionnalités.
  • Conformité légale : Respecter les exigences fiscales, financières et réglementaires applicables.

6. Partage et divulgation des renseignements

Nous ne vendons pas vos renseignements personnels. Nous pouvons les partager avec des tiers fournisseurs de services (sous-traitants) qui nous aident à exploiter notre Service, dans les limites suivantes :

6.1. Fournisseurs dont les données sont hébergées au Canada

  • Supabase (base de données) : Hébergement de la base de données sur Amazon Web Services (AWS) dans la région ca-central-1 (Montréal, Canada).
  • Upstash (planification de tâches et limitation de débit) : Services hébergés dans la région AWS ca-central-1 (Canada).
  • Vercel (hébergement de l'application) : Hébergement et diffusion de l'application web depuis des serveurs situés à Montréal, Canada.
  • Telnyx (envoi de SMS) : Envoi des messages SMS de relance au nom de nos clients, via des numéros de téléphone canadiens. Données hébergées sur des nœuds canadiens.

6.2. Fournisseurs dont les données sont hébergées en Europe

L'Union européenne offre un niveau de protection des renseignements personnels comparable à celui du Québec et du Canada, grâce au Règlement général sur la protection des données (RGPD), dont la Loi 25 s'inspire directement.

  • Resend (envoi de courriels) : Envoi des courriels de service et des communications de relance au nom de nos clients. Données hébergées dans la région eu-west-1 (Irlande, Union européenne).
  • Sentry (surveillance des erreurs et de la performance) : Détection automatique des erreurs techniques et surveillance de la performance de l'application afin d'assurer la fiabilité et la stabilité du Service pour nos utilisateurs. Données hébergées dans la région eu-central-1 (Francfort, Allemagne, Union européenne). Aucune donnée sensible, aucun renseignement personnel de débiteur ni aucune donnée financière n'est transmis à Sentry. Seules des données techniques sont collectées (identifiants anonymisés, type de navigateur, pages visitées lors d'une erreur, traces d'exécution du code). Les adresses IP ne sont pas conservées.

6.3. Fournisseurs dont les données peuvent transiter par les États-Unis

Conformément à la Loi 25, nous vous informons que certains de nos fournisseurs de services sont basés aux États-Unis. Avant tout transfert, nous avons procédé à une évaluation des facteurs relatifs à la vie privée (ÉFVP) pour chacun de ces fournisseurs afin de nous assurer qu'un niveau de protection adéquat est offert :

  • Stripe (traitement des paiements) : Traitement sécurisé des paiements par carte de crédit. Stripe est certifié PCI DSS niveau 1. Nous ne stockons jamais les données de carte de crédit sur nos serveurs.
  • OpenRouter (intelligence artificielle) : Traitement des requêtes d'intelligence artificielle pour les fonctionnalités de détection de paiements et de génération de contenu. Aucune donnée sensible n'est transmise à ce fournisseur.
  • Google Analytics (analyse du site web) : Collecte de données anonymisées sur l'utilisation du site web à des fins d'amélioration. Ces données sont collectées avec votre consentement via notre mécanisme de gestion des témoins.

Nous veillons à ce que chaque fournisseur offre des garanties contractuelles appropriées conformément aux exigences de la Loi 25 en matière de transfert transfrontalier de renseignements personnels.

7. Vos droits en matière de confidentialité

Conformément à la Loi 25 et à la LPRPDE, vous disposez des droits suivants :

  • Droit d'accès : Vous pouvez demander l'accès aux renseignements personnels que nous détenons à votre sujet. Nous répondrons à votre demande dans un délai de trente (30) jours.
  • Droit de rectification : Vous pouvez demander la correction de tout renseignement inexact ou incomplet, notamment via la section « Profil » de votre compte Paymely.
  • Droit à l'effacement (« Droit à l'oubli ») : Vous pouvez demander la suppression de vos renseignements personnels :
    1. En annulant votre abonnement depuis votre compte, ce qui entraîne une suspension immédiate suivie de la suppression permanente après une période de grâce de quatre-vingt-dix (90) jours.
    2. En contactant le Responsable de la protection des renseignements personnels pour une suppression accélérée. Nous conserverons uniquement les données requises par la loi (voir section 9).
  • Droit à la portabilité des données : Vous avez le droit de recevoir vos renseignements personnels dans un format numérique structuré et couramment utilisé (par ex. CSV, JSON).
  • Droit à la désindexation : Vous pouvez demander que les liens menant à vos renseignements personnels soient désindexés lorsque leur diffusion contrevient à la loi ou à une ordonnance judiciaire.
  • Droit de retirer votre consentement : Vous pouvez retirer votre consentement à tout moment pour le traitement de vos renseignements à des fins de communications commerciales, en utilisant le lien de désabonnement dans nos courriels ou en nous contactant directement.
  • Droit à l'information sur les décisions automatisées : Conformément à la Loi 25, vous avez le droit d'être informé lorsqu'une décision vous concernant est prise exclusivement par un traitement automatisé. Vous pouvez alors soumettre vos observations à un membre de notre personnel en mesure de réviser la décision.

Pour exercer l'un de ces droits, veuillez contacter notre Responsable de la protection des renseignements personnels à privacy@nesaasity.ca.

8. Sécurité des données

Nous mettons en œuvre des mesures de sécurité techniques et organisationnelles appropriées pour protéger vos renseignements personnels, notamment :

  • Chiffrement des données en transit (TLS/SSL) et au repos
  • Authentification sécurisée avec mots de passe chiffrés
  • Contrôle d'accès basé sur les rôles au sein de la plateforme
  • Limitation de débit (rate limiting) pour prévenir les abus
  • En-têtes de sécurité HTTP (CSP, HSTS, X-Frame-Options)
  • Surveillance continue et journaux d'audit

9. Conservation des données

Nous conservons vos renseignements personnels aussi longtemps que nécessaire pour les finalités pour lesquelles ils ont été recueillis, en respectant les périodes suivantes :

  • Données de compte actif : Conservées pendant toute la durée de votre abonnement et jusqu'à 90 jours après l'annulation (période de grâce), après quoi elles sont supprimées de façon permanente.
  • Données de facturation et financières : Conservées pendant sept (7) ans après la dernière transaction, conformément aux exigences fiscales de l'Agence du revenu du Canada et de Revenu Québec.
  • Journaux de communication (courriels et SMS envoyés) : Conservés pendant trois (3) ans après la fin de la relation d'affaires, conformément aux délais de prescription applicables au Québec.
  • Données anonymisées et agrégées : Conservées indéfiniment, car elles ne permettent plus l'identification d'une personne.

10. Incidents de confidentialité

En cas d'incident de confidentialité présentant un risque de préjudice sérieux, nous prendrons les mesures suivantes, conformément à la Loi 25 et à la LPRPDE :

  1. Notification à la Commission d'accès à l'information (CAI) : Nous aviserons la CAI du Québec dans les meilleurs délais.
  2. Notification aux personnes concernées : Nous aviserons les personnes dont les renseignements sont concernés par l'incident, en décrivant la nature de l'incident, les renseignements visés et les mesures prises.
  3. Registre des incidents : Nous maintenons un registre de tous les incidents de confidentialité, que nous conservons pendant au moins cinq (5) ans.

11. Témoins (cookies) et technologies de suivi

Nous utilisons des témoins (cookies) et des technologies similaires pour faire fonctionner et améliorer notre Service. Pour des informations détaillées sur les types de témoins que nous utilisons, leurs finalités et la manière de gérer vos préférences, veuillez consulter notre Politique sur les témoins.

12. Plaintes et recours

Si vous estimez que vos renseignements personnels n'ont pas été traités conformément à la présente politique ou aux lois applicables, vous pouvez :

  1. Nous contacter directement à privacy@nesaasity.ca. Nous nous engageons à répondre à toute plainte dans un délai de trente (30) jours.
  2. Si notre réponse ne vous satisfait pas, vous pouvez déposer une plainte auprès de la Commission d'accès à l'information du Québec (CAI).
  3. Vous pouvez également déposer une plainte auprès du Commissariat à la protection de la vie privée du Canada.

13. Modifications à cette politique

Nous pouvons mettre à jour cette Politique de confidentialité de temps à autre. En cas de modification substantielle, nous vous en informerons par courriel au moins trente (30) jours avant l'entrée en vigueur des changements, et nous publierons la version mise à jour sur notre site web avec la nouvelle date de mise à jour. L'utilisation continue du Service après l'entrée en vigueur des modifications constitue votre acceptation de la politique révisée.

14. Coordonnées

Pour toute question, préoccupation ou pour exercer vos droits en matière de confidentialité, veuillez contacter :

Simon Fortin

Responsable de la protection des renseignements personnels

Solutions néSaaSity S.E.N.C.

Chambly, Québec, Canada

privacy@nesaasity.ca