Politique de confidentialité
GoodRevyu (« nous ») accorde une importance capitale à la protection de vos renseignements personnels. La présente politique décrit les renseignements que nous recueillons, les fins auxquelles nous les utilisons et les droits que vous confère la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (Loi 25), ainsi que les lois canadiennes applicables.
1. Responsable de la protection des renseignements
Un responsable de la protection des renseignements personnels (RPRP) veille au respect de la présente politique. Pour toute question, écrivez à privacy@reviewswise.app.
2. Renseignements que nous recueillons
- Compte : nom, adresse courriel, mot de passe (haché), organisation, langue.
- Avis et réponses : avis importés de vos plateformes connectées (contenu, note, auteur public) et réponses générées.
- Connexions plateformes : jetons d'accès aux services tiers, chiffrés au repos.
- Usage : volumes de réponses IA et d'appels API, journal d'audit des actions importantes.
- Cookies : cookies essentiels et, avec votre consentement, cookies de mesure d'audience (voir la politique de cookies).
3. Fins de l'utilisation
- Fournir et exploiter le service (génération de réponses, gestion des avis).
- Assurer la sécurité, prévenir la fraude et respecter nos obligations légales.
- Facturer votre abonnement (via Stripe).
- Améliorer le service, de façon agrégée et anonymisée.
Nous ne vendons jamais vos renseignements personnels et ne les utilisons pas pour entraîner des modèles d'IA.
4. Fournisseurs et sous-traitants
Nous faisons appel à des sous-traitants qui traitent des renseignements pour notre compte :
| Sous-traitant | Finalité | Région |
|---|---|---|
| Anthropic (Claude) | Génération de réponses par IA | États-Unis |
| Stripe | Paiement des abonnements | États-Unis / UE |
| API Business Profile (avis) | États-Unis | |
| Hetzner | Hébergement de l'infrastructure | Union européenne |
Données issues des API Google (usage limité)
Lorsqu'un établissement connecte son compte Google Business Profile, GoodRevyu accède,
avec son consentement (portée business.manage), à ses fiches d'établissement
et à leurs avis, afin d'afficher ces avis et d'y publier ses réponses. L'utilisation et
le transfert par GoodRevyu des informations reçues des API Google respectent la
Google API Services User Data Policy,
y compris ses exigences d'usage limité (Limited Use). Concrètement :
- ces données servent uniquement à fournir la fonctionnalité de gestion et de réponse aux avis demandée par l'établissement ;
- nous ne les vendons pas et ne les transférons à des tiers que pour fournir le service, pour des raisons de sécurité ou légales, ou avec votre consentement ;
- nous ne les utilisons ni à des fins publicitaires, ni pour entraîner des modèles d'IA généralisés ;
- les jetons d'accès Google sont chiffrés au repos ; vous pouvez déconnecter votre compte à tout moment, ce qui révoque immédiatement notre accès.
5. Communication hors Québec
Nos données sont hébergées dans l'Union européenne (Hetzner). Certains sous-traitants (Anthropic, Google, Stripe) peuvent traiter des renseignements aux États-Unis. Conformément à l'article 17 de la Loi 25, nous avons évalué ces transferts et mis en place des mesures contractuelles pour assurer une protection adéquate. Un registre des communications hors Québec est tenu à jour.
6. Conservation
Les avis et réponses sont conservés tant que votre compte est actif. À la résiliation, ils sont supprimés dans un délai de 30 jours. Les journaux nécessaires à nos obligations légales peuvent être conservés plus longtemps, puis détruits.
7. Vos droits
La Loi 25 vous confère les droits suivants, exerçables depuis votre tableau de bord ou par courriel :
- Accès et portabilité : obtenir une copie de vos données (export JSON complet).
- Rectification : corriger des renseignements inexacts.
- Suppression : demander l'effacement de vos données et la fermeture du compte.
- Retrait du consentement : à tout moment, pour les finalités non essentielles.
8. Sécurité
Architecture multi-tenant étanche, chiffrement au repos (AES-256-GCM) des jetons et secrets, mots de passe hachés (bcrypt), requêtes SQL paramétrées, en-têtes de sécurité, journal d'audit. Aucune mesure n'étant infaillible, nous vous informerons de tout incident de confidentialité conformément à la Loi 25.
9. Modifications
Nous pouvons mettre à jour cette politique. La version en vigueur est indiquée en haut de page.