Politique de confidentialité

Derniere mise a jour : 9 avril 2026

1. Introduction

ChatDirect (ci-apres « nous », « notre ») s'engage a proteger la vie privee de ses utilisateurs et des visiteurs des sites web de ses clients. La presente politique de confidentialité decrit les données que nous collectons, comment nous les utilisons et les mesures que nous prenons pour les proteger.

Cette politique est conforme a la Loi 25 sur la protection des renseignements personnels du Quebec, a la Loi sur la protection des renseignements personnels et les documents electroniques (LPRPDE) du Canada et au Reglement general sur la protection des données (RGPD) de l'Union europeenne.

2. Responsable du traitement

Le responsable du traitement des données personnelles est :

• Entite : ChatDirect
• Courriel : info@chatdirect.ca
• Localisation : Quebec, Canada

3. Donnees collectees

3.1 Donnees des clients (titulaires de compte)

• Nom, courriel, nom d'entreprise lors de la creation du compte
• Informations de configuration du chatbot (personnalite, couleurs, base de connaissances)
• Documents televerses pour le RAG (PDF, Word, TXT) et URLs de pages web indexees
• Donnees d'utilisation (nombre de conversations, tokens consommes)
• Cles API chiffrees (si mode BYOK active)
• Secret TOTP pour l'authentification a deux facteurs (chiffre en AES-256-CBC)

3.2 Donnees des visiteurs (utilisateurs du chatbot)

• Messages echanges avec le chatbot
• Informations fournies volontairement (nom, courriel, telephone) via le formulaire de lead
• Page web d'origine de la conversation
• Identifiant de session anonyme
• Adresse IP (pour le rate limiting uniquement, non stockee de facon permanente)

3.3 Donnees que nous ne collectons PAS

• Donnees de geolocalisation precise
• Cookies de pistage tiers (sauf Google Analytics si active par le client)
• Donnees biometriques
• Informations financieres ou de carte de crédit (traitees par le prestataire de paiement)

4. Utilisation des données

Nous utilisons les données collectees pour :

• Fournir le Service : acheminer les messages vers les fournisseurs d'IA, generer les reponses du chatbot, capturer les leads, traiter les messages multi-plateforme (SMS, WhatsApp, Messenger, Instagram)
• Ameliorer le Service : statistiques anonymisees d'utilisation, optimisation des performances
• Communications : notifications liees au compte, alertes de securite, support technique
• CRM intégré : gestion des leads, scoring, pipeline, relances (uniquement accessible au client concerne)
• Securite : detection de fraude, prevention d'abus, rate limiting

Nous ne vendons jamais vos données a des tiers. Nous ne partageons vos données qu'avec les fournisseurs d'IA necessaires au fonctionnement du chatbot (Anthropic, OpenAI, Google, Mistral), selon le modele choisi par le client.

Génération d'embeddings (RAG) : lorsqu'un client televerse des documents ou indexe des pages web, le contenu textuel est envoye a l'API OpenAI (modele text-embedding-3-small) pour generer des vecteurs semantiques. Ces vecteurs sont stockes dans Supabase (PostgreSQL avec pgvector) aux Etats-Unis (AWS us-east-1).

5. Hébergément et securite

5.1 Infrastructure

L'application et les fichiers principaux sont heberges sur un serveur dedie OVH situe a Beauharnois, Quebec, Canada. Les données structurees (comptes, conversations, leads, embeddings vectoriels) sont stockees dans une base de données Supabase (PostgreSQL) hebergee aux Etats-Unis (AWS us-east-1), avec chiffrement en transit (TLS) et au repos (AES-256).

5.2 Chiffrement

• En transit : toutes les communications sont chiffrees via TLS/HTTPS (HSTS active)
• Au repos : les données sensibles (cles API, identifiants) sont chiffrees en AES-256-CBC
• Mots de passe : haches avec bcrypt (jamais stockes en clair)

5.3 Mesures de securite

• Headers de securite : X-Frame-Options, X-Content-Type-Options, HSTS
• Protection CSRF sur tous les formulaires
• Rate limiting sur les endpoints critiques
• Validation stricte des entrees (regex, whitelist)
• Protection SSRF sur les webhooks
• Authentification a deux facteurs (2FA) par TOTP et codes de secours, disponible sur tous les portails
• Sous-domaines wildcard SSL pour les clients
• Audits de securite reguliers (6 audits realises)

5.4 Cloisonnement des données (Privacy Wall)

Les données de chaque client sont strictement isolees. L'equipe ChatDirect n'a pas acces aux données des clients sans autorisation explicite temporaire (72 heures maximum), accordee uniquement a des fins de support technique ou de resolution d'incident.

6. Conservation des données

6.1 Duree de conservation

• Conversations : configurable par le client (defaut : 90 jours). Suppression automatique possible.
• Leads : conserves tant que le compte client est actif
• Donnees de compte : conservees pendant la duree de l'abonnement + 30 jours apres resiliation
• Logs de rate limiting : supprimes automatiquement apres 1 heure

6.2 Suppression des données visiteur

Les visiteurs peuvent demander la suppression de leurs données via le widget de chatbot (fonctionnalite RGPD intégrée) ou en contactant le client. L'endpoint /api/delete-data.php permet la suppression programmatique.

7. Droits des utilisateurs

Conformement a la Loi 25 et au RGPD, vous disposez des droits suivants :

• Droit d'acces : obtenir une copie de vos données personnelles
• Droit de rectification : corriger des données inexactes ou incompletes
• Droit a l'effacement : demander la suppression de vos données
• Droit a la portabilite : recevoir vos données dans un format structure (JSON/CSV)
• Droit d'opposition : vous opposer au traitement de vos données
• Droit de retrait du consentement : retirer votre consentement a tout moment

Pour exercer ces droits, contactez-nous a info@chatdirect.ca. Nous traiterons votre demande dans un delai de 30 jours.

8. Cookies et technologies de suivi

8.1 Cookies essentiels

Le widget de chatbot utilise un identifiant de session stocke en localStorage pour maintenir la continuite de la conversation. Ce n'est pas un cookie au sens traditionnel et ne permet aucun pistage inter-sites.

8.2 Google Analytics

Si le client active Google Analytics (GA4), des evenements anonymises sont transmis (ouverture du chat, envoi de message, capture de lead). Le client est responsable d'informer ses visiteurs de l'utilisation de GA4 et d'obtenir le consentement requis.

8.3 Google Tag Manager

Le site chatdirect.ca utilise Google Tag Manager pour la gestion des balises analytics. Aucun cookie de publicite n'est utilise.

9. Transferts internationaux

L'infrastructure applicative est hebergee au Canada (OVH, Beauharnois). Les données structurees sont stockees aux Etats-Unis (Supabase, AWS us-east-1). Lors du traitement des messages par les fournisseurs d'IA, les messages sont transmis a leurs serveurs :

• Anthropic (Claude) : serveurs aux Etats-Unis
• OpenAI (GPT + embeddings) : serveurs aux Etats-Unis
• Google (Gemini) : serveurs aux Etats-Unis
• Mistral : serveurs en Europe
• Supabase (base de données PostgreSQL + pgvector) : AWS us-east-1, Etats-Unis

Ces transferts sont necessaires a la fourniture du Service. Les fournisseurs d'IA s'engagent contractuellement a ne pas conserver les messages au-dela du traitement immediat.

10. Sous-traitants

• OVH (serveur dedie) — Canada (Beauharnois, QC)
• Supabase (base de données PostgreSQL, pgvector) — Etats-Unis (AWS us-east-1)
• Fournisseurs IA (Anthropic, OpenAI, Google, Mistral) — traitement des messages et generation d'embeddings
• Stripe — traitement des paiements
• SMTP2GO — envoi de courriels transactionnels (fournisseur principal)
• Fournisseurs email secondaires (SendGrid, Brevo, Mailgun, Amazon SES) — envoi de notifications (fallback)
• Twilio — SMS et WhatsApp Business (si configure par le client)
• Meta — Facebook Messenger et Instagram DM (si configure par le client)

11. Protection des mineurs

Le Service n'est pas destine aux personnes de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles de mineurs. Si nous apprenons que des données d'un mineur ont ete collectees, nous les supprimerons dans les meilleurs delais.

12. Incident de securite

En cas de violation de données susceptible de presenter un risque pour les droits et libertes des personnes concernees, nous nous engageons a :

• Notifier la Commission d'acces a l'information du Quebec dans les 72 heures
• Informer les personnes concernees dans les meilleurs delais
• Documenter l'incident et les mesures correctives prises

13. Modifications de cette politique

Nous pouvons modifier cette politique de confidentialité a tout moment. Les modifications seront publiees sur cette page avec une date de « derniere mise a jour » actualisee. Pour les modifications substantielles, nous vous informerons par courriel ou par notification dans le portail client.

14. Contact

Pour toute question concernant cette politique de confidentialité ou pour exercer vos droits :

• Courriel : info@chatdirect.ca
• Site web : chatdirect.ca/contact.html
• Localisation : Quebec, Canada

Si vous estimez que vos droits n'ont pas ete respectes, vous pouvez deposer une plainte aupres de la Commission d'acces a l'information du Quebec (CAI) ou, pour les residents de l'UE, aupres de l'autorite de controle de votre pays.