HELLO SAFE (ci-après « HelloSafe », « nous ») accorde une importance particulière à la protection de vos renseignements personnels. Cette politique décrit les traitements que nous opérons sur vos renseignements dans le cadre du programme partenaires HelloSafe. Vos renseignements personnels sont traités conformément à la Loi 25 du Québec et à la loi fédérale (LPRPDE / PIPEDA).
1. Responsable du traitement
Le responsable du traitement est HELLO SAFE, dont les coordonnées sont disponibles dans nos mentions légales.
2. Renseignements recueillis et finalités
Nous traitons les catégories de renseignements suivantes :
- Renseignements d'inscription (courriel, nom, mot de passe haché, raison sociale, site web, audience, pays) : pour créer et gérer votre compte partenaire. Fondement : exécution du contrat.
- Renseignements de profil (logo, signature, persona) : pour la personnalisation de votre espace et du livrable Coach. Fondement : exécution du contrat.
- Renseignements de suivi affilié (adresse IP hachée, agent utilisateur, référent, pays approximatif) : pour mesurer les clics sur vos liens de suivi. Les adresses IP ne sont jamais conservées en clair, uniquement leur empreinte SHA-256 salée. Fondement : intérêt légitime à mesurer l'activité du programme.
- Renseignements de conversion (montant, commission, identifiant de commande externe, statut) : pour calculer vos commissions. Fondement : exécution du contrat.
- Renseignements d'analyses Coach (référence client, tranche d'âge, destination, etc.) : pour générer les analyses de couverture que vous remettez à vos clients. Fondement : exécution du contrat.
3. Sous-traitants
Nous faisons appel aux sous-traitants suivants, tous engagés contractuellement à respecter les lois applicables en matière de protection des renseignements personnels :
- Cloudflare, Inc. (États-Unis) : hébergement, RDC et exécution des fonctions sans serveur. Le transfert hors du Canada est encadré par des clauses contractuelles types.
- Supabase, Inc. (États-Unis; base de données et authentification hébergées dans l'Union européenne) : base de données PostgreSQL, gestion des comptes et authentification.
- Resend Inc. (États-Unis) : courriels transactionnels.
- Google LLC (États-Unis) : authentification facultative par OAuth 2.0 (uniquement si vous choisissez « Se connecter avec Google »). Le transfert hors du Canada est encadré par des clauses contractuelles types.
- PostHog : analytique produit, configurée en mode sans témoin tiers; aucun enregistrement de session n'est effectué.
4. Durées de conservation
- Compte partenaire : pendant toute la durée de la relation, plus 3 ans après la dernière activité (prescription commerciale).
- Journaux de connexion et de suivi : 13 mois.
- Renseignements de facturation et de commissions : 10 ans (obligation comptable).
- Renseignements d'analyses Coach : 3 ans après la création.
5. Vos droits
Conformément à la Loi 25 du Québec et à la loi fédérale (LPRPDE / PIPEDA), vous disposez des droits suivants : accès, rectification, désindexation ou suppression, retrait du consentement (lorsqu'applicable) et portabilité de vos renseignements. Vous pouvez les exercer par notre page de contact.
Vous avez également le droit de porter plainte auprès de la Commission d'accès à l'information du Québec (cai.gouv.qc.ca) ou du Commissariat à la protection de la vie privée du Canada. Nous répondons à vos demandes dans un délai de 30 jours à compter de leur réception.
6. Témoins
Nous utilisons uniquement des témoins essentiels au fonctionnement du Site (session d'authentification, attribution d'un clic affilié à un partenaire). Ces témoins sont nécessaires à la prestation du service que vous demandez.
Notre outil d'analytique produit (PostHog) est configuré en mode sans témoin : il ne dépose aucun témoin tiers et ne pratique ni rejeu de session ni saisie automatique des champs de formulaires.
7. Sécurité
Mots de passe hachés avec bcrypt par notre fournisseur d'authentification, transferts en HTTPS, adresses IP anonymisées avant conservation, principe du moindre privilège sur les accès administrateurs. Les incidents de confidentialité présentant un risque de préjudice sérieux sont déclarés à la Commission d'accès à l'information et aux personnes concernées dans les meilleurs délais.