Politique de confidentialité

Dernière mise à jour : 23 avril 2026

Spartadoc s'engage à protéger vos renseignements personnels conformément à la Loi 25 du Québec, à la PIPEDA et au RGPD. Cette politique explique comment nous collectons, utilisons et protégeons vos données, y compris la façon dont vos retours sur l'IA peuvent être utilisés pour améliorer nos modèles.

Responsable de la protection des renseignements personnels

Pour toute question concernant la protection de vos renseignements personnels, contactez notre responsable :

Gabriel Montagne

Fondateur et responsable de la protection des renseignements personnels (RPRP)

confidentialite@spartadoc.com

Renseignements personnels collectés

Spartadoc collecte les renseignements suivants dans le cadre de ses services :

  • -Identité : nom, prénom, courriel
  • -Documents financiers : T4, relevés bancaires, talons de paie, avis de cotisation
  • -Données d'utilisation : journaux d'accès, adresses IP, type d'appareil
  • -Données de sécurité : clés de chiffrement (protégées), jetons d'authentification
  • -Retours sur l'IA : vos verdicts (« OK », « incorrect », « corriger ») et corrections de classification ou d'extraction fournies volontairement via le widget de feedback sous chaque document

Finalités du traitement

  • 1.Stockage sécurisé de documents
  • 2.Analyse par intelligence artificielle de vos documents (classification, extraction de données) — inférence uniquement, sur votre compte
  • 3.Amélioration continue de nos modèles d'IA (option désactivable) : lorsque vous corrigez une classification ou une extraction, votre correction peut être intégrée, de façon anonymisée, à un corpus de réentraînement. Cette finalité est distincte de l'analyse IA ci-dessus et requiert un consentement séparé que vous pouvez retirer à tout moment depuis « Mes données »
  • 4.Partage avec votre conseiller (sur votre consentement explicite)
  • 5.Amélioration du service (statistiques agrégées et anonymisées)
  • 6.Communications sur les nouveautés du service

Tiers, partage et sous-traitants

Spartadoc ne vend jamais vos renseignements personnels. Nous ne les communiquons (partage, transfert, divulgation) que dans les cas suivants :

  • -À votre conseiller, sur votre consentement explicite (partage de documents).
  • -À des sous-traitants d'infrastructure strictement nécessaires à l'exploitation du service, listés ci-dessous. Chacun est lié par contrat à des obligations de confidentialité et de sécurité conformes à la Loi 25.
  • -Aux autorités compétentes, uniquement lorsque la loi l'exige (ordonnance, mandat).

Sous-traitants

  • -DigitalOcean — hébergement des serveurs et de la base de données (région de Toronto, Canada).
  • -SendGrid et Postal — envoi des courriels transactionnels (invitations, notifications).
  • -Twilio — envoi des SMS et des codes de vérification (OTP).
  • -Stripe — facturation des professionnels abonnés (conforme PCI-DSS ; aucune donnée client transmise).
  • -Google LLC — lorsque vous connectez Google Contacts ou utilisez l'add-on Gmail.

Données utilisateur Google

L'utilisation et le transfert par Spartadoc des renseignements reçus des API Google respectent la Politique relative aux données utilisateur des services API Google (Google API Services User Data Policy), y compris ses exigences d'utilisation limitée (Limited Use).

Lorsque vous connectez votre compte Google, nous accédons à vos contacts Google (noms, adresses courriel, numéros de téléphone et adresses postales) ainsi qu'à l'adresse courriel de votre compte Google, dans le seul but de fournir la fonctionnalité que vous avez activée (préremplissage et synchronisation des participants). Ces données ne sont jamais vendues, ni transférées à des tiers, ni utilisées à des fins publicitaires, ni utilisées pour entraîner des modèles d'intelligence artificielle. Vous pouvez déconnecter votre compte Google et révoquer cet accès à tout moment.

Lorsque vous utilisez le module Gmail « Demande de documents », celui-ci accède uniquement à l'adresse du destinataire du courriel que vous êtes en train de rédiger (pour préremplir le destinataire) et met à jour le brouillon en cours (destinataire, objet, corps du message). Il ne lit jamais le contenu de vos courriels ni vos autres messages, et n'envoie aucun courriel à votre place : vous gardez le contrôle de l'envoi. Ces données ne sont ni vendues, ni transférées à des tiers, ni utilisées à des fins publicitaires, ni utilisées pour entraîner des modèles d'intelligence artificielle.

Mesures de protection des données sensibles

Les renseignements sensibles (documents financiers, contacts, clés de chiffrement, jetons d'authentification Google) sont protégés par les mesures techniques et organisationnelles suivantes :

  • -Chiffrement au repos : AES-256-GCM pour toutes les données sensibles, complété par le chiffrement post-quantique ML-KEM-768 pour les documents de la voûte.
  • -Chiffrement en transit : TLS 1.2 ou supérieur pour toutes les communications.
  • -Jetons OAuth Google chiffrés au repos (AES-256-GCM) ; jamais exposés au navigateur ni à des tiers.
  • -Contrôles d'accès stricts : cloisonnement par locataire (tenant isolation), principe du moindre privilège et portées OAuth minimales.
  • -Analyse antivirus (ClamAV) de tous les fichiers téléversés.
  • -Journalisation des accès et piste de vérification conforme à la Loi 25.
  • -Hébergement au Canada (Toronto) ; aucune donnée transférée hors du Canada sans votre consentement.
  • -Conservation limitée et suppression automatique selon les durées indiquées ci-dessus.

Intelligence artificielle et modèles d'apprentissage

Spartadoc exploite ses propres modèles d'IA, auto-hébergés sur son infrastructure au Canada. Nous n'utilisons aucun service d'IA tiers (ni OpenAI, ni Anthropic, ni Google AI, ni autre) pour traiter vos données.

  • -Modèles utilisés : des modèles à poids ouverts (Google Gemma et Mistral Ministral) que nous affinons et exécutons localement via Ollama, sur nos propres serveurs (région de Toronto, Canada). Aucune donnée ne quitte notre infrastructure vers un fournisseur d'IA externe.
  • -Finalité : classification automatique des documents financiers que vous téléversez. L'extraction de champs par IA est désactivée en production.
  • -L'amélioration de nos modèles repose uniquement sur les corrections que vous fournissez volontairement sur vos propres documents (verdicts et corrections), de façon anonymisée et soumise à un consentement distinct que vous pouvez retirer à tout moment. Elle n'inclut aucune donnée utilisateur Google.

Les données utilisateur Google (vos contacts Google) ne sont JAMAIS traitées par nos modèles d'IA. Spartadoc n'utilise pas les données obtenues via les API Google (y compris les API Google Workspace) pour développer, améliorer ou entraîner des modèles d'IA ou d'apprentissage automatique généralisés ou non personnalisés.

Durée de conservation

Vos données sont conservées pour la durée nécessaire aux finalités pour lesquelles elles ont été collectées. Vous pouvez demander leur suppression à tout moment.

DocumentsJusqu'à suppression par l'utilisateur ou fermeture du compte
Données de compte30 jours après la demande de suppression
Journaux d'accès365 jours

Retours et corrections sur l'IA

Supprimés avec votre compte. Note : si vos corrections ont déjà servi à entraîner un modèle, elles sont intégrées de façon agrégée et non-réversible aux poids de ce modèle — elles ne sont plus identifiables individuellement.

Vos droits

Conformément à la Loi 25 du Québec, à la PIPEDA et au RGPD, vous disposez des droits suivants :

  • -Droit d'accès — consulter tous vos renseignements personnels
  • -Droit de rectification — corriger vos renseignements inexacts
  • -Droit de suppression — demander l'effacement de vos données (délai de 30 jours)
  • -Droit à la portabilité — exporter vos données dans un format structuré (JSON)
  • -Droit de retrait du consentement — retirer votre consentement à tout moment via la page « Mes données »

Contact

Pour toute demande relative à vos renseignements personnels, écrivez à confidentialite@spartadoc.com ou accédez à la page « Mes données » dans votre compte.

Plainte

Si vous estimez que vos renseignements personnels ne sont pas traités conformément à la loi, vous pouvez déposer une plainte auprès de notre responsable de la protection des renseignements personnels.

support@mesosapiens.com

Processus : accusé de réception dans les 48 heures, traitement dans les 30 jours. Si vous n'êtes pas satisfait de notre réponse, vous pouvez déposer une plainte auprès de la Commission d'accès à l'information du Québec (CAI).

Commission d'accès à l'information du Québec — www.cai.gouv.qc.ca

Cadre réglementaire

Loi 25 (Québec)

Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé. En vigueur depuis septembre 2024 (palier 3).

PIPEDA (Canada)

Loi sur la protection des renseignements personnels et les documents électroniques. S'applique aux activités commerciales interprovinciales.

RGPD (Union européenne)

Règlement général sur la protection des données. Applicable si des utilisateurs de l'UE accèdent à la plateforme.

Spartadoc — Add-on Gmail / Outlook

L'add-on Spartadoc permet aux utilisateurs Spartadoc de chiffrer leurs pièces jointes Gmail (et Outlook quand disponible) avant qu'elles ne quittent leur navigateur — avec contrôle complet (révocation, expiration, traçabilité Loi 25).

Permissions OAuth demandées (minimales)

  • gmail.compose — modifier le brouillon en cours pour remplacer les PJ par un lien sécurisé
  • gmail.addons.current.message.metadata — lire les métadonnées du brouillon (destinataires, nom des PJ)
  • script.external_request — appels HTTPS vers spartadoc.com (whitelisté)
  • userinfo.email — identifier le compte Google pour stocker le token Spartadoc côté utilisateur

L'add-on ne lit JAMAIS les courriels reçus. Aucun scope gmail.readonly ni gmail.modify complet.

Données traitées et stockées

  • Pièces jointes uploadées : chiffrées AES-256-GCM via ms-crypto, stockées dans la voûte Spartadoc de l'expéditeur (région Toronto, Canada)
  • Métadonnées du share : destinataires, expiration, permissions, journal d'accès (qui, quand, IP, device) — conservés 90 jours puis purgés sauf opposition explicite
  • OTP courriel destinataire : hash SHA-256 stocké 10 minutes max
  • JWT de session destinataire : émis en mémoire seulement, jamais persisté côté serveur
  • Aucune donnée biométrique, aucun cookie de tracking, aucun partage avec tiers

Destinataires externes (sans compte Spartadoc)

Le destinataire qui consulte un lien /share/... reçoit un code OTP à son courriel. Spartadoc conserve uniquement son courriel + IP + horodatage des accès (audit Loi 25), durant 90 jours. Aucun profil utilisateur n'est créé sans consentement explicite.

Droits d'accès, modification, révocation

L'expéditeur peut révoquer un share à tout moment (effet immédiat sur tous les re-partages descendants). Toute personne dont l'adresse courriel apparaît dans nos journaux peut demander la suppression de ses logs en écrivant à privacy@spartadoc.com.

English summary

The Spartadoc add-on lets Spartadoc users encrypt their Gmail (and Outlook) attachments before they leave the browser, with full control (revocation, expiration, Quebec Bill 25 audit trail). Minimal OAuth scopes (compose + send only — never reads inbox). Attachments are encrypted AES-256-GCM and stored in the sender's Spartadoc vault (Toronto, Canada). External recipients verify via email OTP; their email + IP + access timestamps are logged for 90 days then purged. Request deletion at privacy@spartadoc.com.

Voir aussi la page d'installation pour le détail technique.

Spartadoc — L'encapsuleur de documents. Hébergement au Canada (Toronto). Chiffrement post-quantique ML-KEM-768 + AES-256-GCM.