Document légal
Politique de confidentialité
Version du 21 avril 2026 · Conforme Loi 25 (Québec) et LPRPDE (Canada).
Sommaire
1. Responsable du traitement
Co-Ordo, Montréal (Québec, Canada). Responsable de la protection des renseignements personnels (RPRP) désigné par la Loi 25 : privacy@ordo.app.
2. Données que nous collectons
| Catégorie | Exemple | Source |
|---|---|---|
| Identité | Nom, courriel, photo de profil | Ton compte Microsoft 365 à l'OAuth |
| Identifiants techniques | Firebase UID, chat ID Telegram | Généré à l'inscription / au lien du bot |
| Calendrier | Titres, heures, participants | API Microsoft Graph sur ton autorisation |
| Courriels | Expéditeur, objet, aperçu | API Microsoft Graph sur ton autorisation |
| Clients et mots-clés | Nom, mots-clés de matching | Tes saisies via Telegram |
| Tâches (to-do list) | Texte de la tâche, état (ouverte/terminée), dates | Tes saisies via Telegram ou web |
| Préférences | Fuseau horaire, heure du brief, locale | Tes choix |
| Facturation | Stripe customer ID, statut abonnement | Stripe, à la souscription |
| Logs techniques | Requêtes HTTP, erreurs, latence | Cloud Logging (Google Cloud) |
Nous ne collectons aucune donnée de carte bancaire. Tous les paiements transitent directement chez Stripe.
3. Finalités du traitement
- Fournir les fonctionnalités du service (briefs, gestion calendrier et courriels, to-do list)
- Gérer ton compte et ton abonnement
- Assurer la sécurité du service (détection d'intrusion, prévention d'abus)
- Respecter nos obligations légales (conservation des factures pendant 6 ans, Loi de l'impôt sur le revenu)
- Communiquer avec toi au sujet du service (notifications opérationnelles)
Nous n'utilisons pas tes données pour :
- entraîner des modèles d'IA (aucun LLM externe n'est appelé avec tes données au runtime)
- cibler de la publicité
- revendre à des tiers
4. Base légale
Nous traitons tes données sur les bases suivantes :
- Exécution du contrat : fournir le service auquel tu as souscrit
- Consentement explicite : accès à ton calendrier et à tes courriels via OAuth Microsoft
- Obligations légales : conservation des factures, coopération avec les autorités sur demande légale
- Intérêt légitime : sécurité du service, prévention des abus
5. Durée de conservation
| Donnée | Durée |
|---|---|
| Compte actif | Tant que l'abonnement est actif |
| Compte résilié | Suppression complète après 30 jours |
| Courriels lus via Graph | Non stockés (lecture à la demande uniquement) |
| Résumés de briefs | Non stockés (générés à la volée) |
| Factures | 6 ans (obligation fiscale canadienne) |
| Logs techniques | 30 jours |
6. Destinataires des données
Nous faisons appel aux sous-traitants suivants, tous sous contrat de traitement de données :
- Google Cloud (Firebase) : hébergement infrastructure (Montréal, northamerica-northeast1)
- Microsoft Corporation : API Graph (Outlook / Calendar)
- Telegram : messagerie utilisateur
- Stripe, Inc. : traitement des paiements
Aucun autre tiers n'a accès à tes données.
7. Localisation et transferts
Tes données applicatives (compte, clients, préférences, tâches) sont hébergées par Google Cloud dans la région northamerica-northeast1 (Montréal, Québec, Canada).
Les sous-traitants Microsoft, Telegram et Stripe peuvent traiter certaines données hors du Canada (principalement États-Unis et Union européenne). Des clauses contractuelles types garantissent un niveau de protection équivalent.
8. Sécurité
- Chiffrement TLS 1.3 pour toutes les communications
- Chiffrement au repos (AES-256-GCM) des jetons OAuth Microsoft stockés dans Firestore
- Isolation multi-tenant via les règles de sécurité Firestore (chaque utilisateur ne peut lire que ses propres données)
- Aucun secret de carte bancaire stocké chez nous (délégation totale à Stripe, certifié PCI-DSS niveau 1)
- Journalisation des accès et alertes en cas d'anomalie
9. Tes droits (Loi 25 et LPRPDE)
Tu disposes des droits suivants :
- Accès : obtenir copie des données qu'on détient sur toi
- Rectification : corriger des données inexactes
- Effacement : demander la suppression de ton compte et de ses données
- Portabilité : recevoir tes données dans un format structuré (JSON)
- Opposition : t'opposer à un traitement fondé sur l'intérêt légitime
- Retrait du consentement : révoquer l'accès OAuth Microsoft à tout moment depuis ton compte Microsoft
Pour exercer ces droits, écris à privacy@ordo.app. Nous répondrons dans un délai de 30 jours maximum.
10. Témoins (cookies)
Notre site utilise des témoins strictement nécessaires au fonctionnement : session Firebase Auth, préférences locales. Aucun témoin de suivi publicitaire ni d'analytique tierce n'est déposé.
11. Modifications
Cette politique peut être modifiée pour refléter l'évolution du service ou des obligations légales. Les modifications importantes te seront notifiées au moins 30 jours à l'avance.
12. Contact et plainte
Pour toute question ou demande d'exercice de tes droits : privacy@ordo.app.
Si tu estimes que tes droits n'ont pas été respectés, tu peux déposer plainte auprès de :
- Commission d'accès à l'information du Québec (CAI) : cai.gouv.qc.ca
- Commissariat à la protection de la vie privée du Canada : priv.gc.ca