Politique de confidentialité

Dernière mise à jour : 9 avril 2026

1. Introduction

ChatDirect (ci-après « nous », « notre ») s'engage à protéger la vie privee de ses utilisateurs et des visiteurs des sites web de ses clients. La présente politique de confidentialité décrit les données que nous collectons, comment nous les utilisons et les mesures que nous prenons pour les proteger.

Cette politique est conforme à la Loi 25 sur la protection des renseignements personnels du Québec, a la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du Canada et au Règlement général sur la protection des données (RGPD) de l'Union européenne.

2. Responsable du traitement

Le responsable du traitement des données personnelles est :

• Entité : ChatDirect
• Courriel : info@chatdirect.ca
• Localisation : Québec, Canada

3. Données collectées

3.1 Données des clients (titulaires de compte)

• Nom, courriel, nom d'entreprise lors de la création du compte
• Informations de configuration du chatbot (personnalité, couleurs, base de connaissances)
• Documents téléversés pour le RAG (PDF, Word, TXT) et URLs de pages web indexées
• Données d'utilisation (nombre de conversations, tokens consommés)
• Clés API chiffrées (si mode BYOK activé)
• Secret TOTP pour l'authentification à deux facteurs (chiffré en AES-256-CBC)

3.2 Données des visiteurs (utilisateurs du chatbot)

• Messages échangés avec le chatbot
• Informations fournies volontairement (nom, courriel, téléphone) via le formulaire de lead
• Page web d'origine de la conversation
• Identifiant de session anonyme
• Adresse IP (pour le rate limiting uniquement, non stockée de façon permanente)

3.3 Données que nous ne collectons PAS

• Données de géolocalisation précise
• Cookies de pistage tiers (sauf Google Analytics si activé par le client)
• Données biométriques
• Informations financières ou de carte de crédit (traitées par le prestataire de paiement)

4. Utilisation des données

Nous utilisons les données collectées pour :

• Fournir le Service : acheminer les messages vers les fournisseurs d'IA, générer les réponses du chatbot, capturer les leads, traiter les messages multi-plateforme (SMS, WhatsApp, Messenger, Instagram)
• Améliorer le Service : statistiques anonymisées d'utilisation, optimisation des performances
• Communications : notifications liées au compte, alertes de sécurité, support technique
• CRM intégré : gestion des leads, scoring, pipeline, relances (uniquement accessible au client concerné)
• Sécurité : détection de fraude, prévention d'abus, rate limiting

Nous ne vendons jamais vos données à des tiers. Nous ne partageons vos données qu'avec les fournisseurs d'IA nécessaires au fonctionnement du chatbot (Anthropic, OpenAI, Google, Mistral), selon le modèle choisi par le client.

Génération d'embeddings (RAG) : lorsqu'un client téléverse des documents ou indexe des pages web, le contenu textuel est envoyé à l'API OpenAI (modèle text-embedding-3-small) pour générer des vecteurs sémantiques. Ces vecteurs sont stockés dans Supabase (PostgreSQL avec pgvector) aux États-Unis (AWS us-east-1).

5. Hébergement et sécurité

5.1 Infrastructure

L'application et les fichiers principaux sont hébergés sur un serveur dédié OVH situé à Beauharnois, Québec, Canada. Les données structurées (comptes, conversations, leads, embeddings vectoriels) sont stockées dans une base de données Supabase (PostgreSQL) hébergée aux États-Unis (AWS us-east-1), avec chiffrement en transit (TLS) et au repos (AES-256).

5.2 Chiffrement

• En transit : toutes les communications sont chiffrées via TLS/HTTPS (HSTS activé)
• Au repos : les données sensibles (clés API, identifiants) sont chiffrées en AES-256-CBC
• Mots de passe : hachés avec bcrypt (jamais stockés en clair)

5.3 Mesures de sécurité

• Headers de sécurité : X-Frame-Options, X-Content-Type-Options, HSTS
• Protection CSRF sur tous les formulaires
• Rate limiting sur les endpoints critiques
• Validation stricte des entrées (regex, whitelist)
• Protection SSRF sur les webhooks
• Authentification à deux facteurs (2FA) par TOTP et codes de secours, disponible sur tous les portails
• Sous-domaines wildcard SSL pour les clients
• Audits de sécurité réguliers (6 audits réalisés)

5.4 Cloisonnement des données (Privacy Wall)

Les données de chaque client sont strictement isolées. L'équipe ChatDirect n'a pas accès aux données des clients sans autorisation explicite temporaire (72 heures maximum), accordée uniquement à des fins de support technique ou de résolution d'incident.

6. Conservation des données

6.1 Durée de conservation

• Conversations : configurable par le client (défaut : 90 jours). Suppression automatique possible.
• Leads : conservés tant que le compte client est actif
• Données de compte : conservées pendant la durée de l'abonnement + 30 jours après résiliation
• Logs de rate limiting : supprimés automatiquement après 1 heure

6.2 Suppression des données visiteur

Les visiteurs peuvent demander la suppression de leurs données via le widget de chatbot (fonctionnalité RGPD intégrée) ou en contactant le client. L'endpoint /api/delete-data.php permet la suppression programmatique.

7. Droits des utilisateurs

Conformément à la Loi 25 et au RGPD, vous disposez des droits suivants :

• Droit d'accès : obtenir une copie de vos données personnelles
• Droit de rectification : corriger des données inexactes ou incomplètes
• Droit à l'effacement : demander la suppression de vos données
• Droit à la portabilite : recevoir vos données dans un format structuré (JSON/CSV)
• Droit d'opposition : vous opposer au traitement de vos données
• Droit de retrait du consentement : retirer votre consentement à tout moment

Pour exercer ces droits, contactez-nous à info@chatdirect.ca. Nous traiterons votre demande dans un délai de 30 jours.

8. Cookies et technologies de suivi

8.1 Cookies essentiels

Le widget de chatbot utilise un identifiant de session stocké en localStorage pour maintenir la continuité de la conversation. Ce n'est pas un cookie au sens traditionnel et ne permet aucun pistage inter-sites.

8.2 Google Analytics

Si le client active Google Analytics (GA4), des événements anonymisés sont transmis (ouverture du chat, envoi de message, capture de lead). Le client est responsable d'informer ses visiteurs de l'utilisation de GA4 et d'obtenir le consentement requis.

8.3 Google Tag Manager

Le site chatdirect.ca utilise Google Tag Manager pour la gestion des balises analytics. Aucun cookie de publicité n'est utilisé.

9. Transferts internationaux

L'infrastructure applicative est hébergée au Canada (OVH, Beauharnois). Les données structurées sont stockées aux États-Unis (Supabase, AWS us-east-1). Lors du traitement des messages par les fournisseurs d'IA, les messages sont transmis à leurs serveurs :

• Anthropic (Claude) : serveurs aux États-Unis
• OpenAI (GPT + embeddings) : serveurs aux États-Unis
• Google (Gemini) : serveurs aux États-Unis
• Mistral : serveurs en Europe
• Supabase (base de données PostgreSQL + pgvector) : AWS us-east-1, Etats-Unis

Ces transferts sont nécessaires à la fourniture du Service. Les fournisseurs d'IA s'engagent contractuellement à ne pas conserver les messages au-delà du traitement immédiat.

10. Sous-traitants

• OVH (serveur dédié) — Canada (Beauharnois, QC)
• Supabase (base de données PostgreSQL, pgvector) — Etats-Unis (AWS us-east-1)
• Fournisseurs IA (Anthropic, OpenAI, Google, Mistral) — traitement des messages et génération d'embeddings
• Stripe — traitement des paiements
• SMTP2GO — envoi de courriels transactionnels (fournisseur principal)
• Fournisseurs email secondaires (SendGrid, Brevo, Mailgun, Amazon SES) — envoi de notifications (fallback)
• Twilio — SMS et WhatsApp Business (si configuré par le client)
• Meta — Facebook Messenger et Instagram DM (si configuré par le client)

11. Protection des mineurs

Le Service n'est pas destiné aux personnes de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles de mineurs. Si nous apprenons que des données d'un mineur ont été collectées, nous les supprimerons dans les meilleurs délais.

12. Incident de sécurité

En cas de violation de données susceptible de présenter un risque pour les droits et libertés des personnes concernées, nous nous engageons à :

• Notifier la Commission d'accès à l'information du Québec dans les 72 heures
• Informer les personnes concernées dans les meilleurs délais
• Documenter l'incident et les mesures correctives prises

13. Modifications de cette politique

Nous pouvons modifier cette politique de confidentialité à tout moment. Les modifications seront publiées sur cette page avec une date de « dernière mise à jour » actualisée. Pour les modifications substantielles, nous vous informerons par courriel ou par notification dans le portail client.

14. Contact

Pour toute question concernant cette politique de confidentialité ou pour exercer vos droits :

• Courriel : info@chatdirect.ca
• Site web : chatdirect.ca/contact.html
• Localisation : Québec, Canada

Si vous estimez que vos droits n'ont pas été respectés, vous pouvez déposer une plainte auprès de la Commission d'accès à l'information du Québec (CAI) ou, pour les résidents de l'UE, auprès de l'autorité de contrôle de votre pays.