Politique de confidentialité

1. Qui nous sommes

Triago est un service offert par Gestimatech inc., cabinet de consultation construction situé au Québec, Canada. Nous offrons un assistant courriels intelligent pour les entrepreneurs et les PME québécoises. Triago est un produit de Gestimatech inc., qui agit comme responsable du traitement des renseignements personnels au sens de la Loi 25 du Québec.

Coordonnées du responsable : Jean-François Perreault — jf@gestimatech.com — Gestimatech inc., Québec, Canada.

2. Données collectées

• Compte utilisateur :votre adresse courriel (utilisée pour l'authentification par lien magique).
• Profil de style :texte généré à partir de l'analyse de vos courriels envoyés (anonymisé du contenu original, garde uniquement les patterns de communication).
• Métadonnées de triage : identifiants techniques des courriels traités, dossiers cibles, corrections que vous effectuez. Le contenu des courriels n'est pas stocké sur nos serveurs après traitement.
• Jetons OAuth Microsoft Graph et Google Gmail : jetons d'accès et de rafraîchissement, chiffrés en base de données, qui permettent à Triago d'interagir avec votre boîte Outlook ou Gmail en votre nom.
• Données Google user accédées (Gmail API) : en-têtes (expéditeur, destinataires, sujet, date), corps du message et libellés (labels). Ces données sont lues en temps réel pour générer un classement, une réponse ou une relance — elles ne sont jamais persistées dans nos serveurs au-delà du temps de traitement.

3. Hébergement et localisation

Toutes vos données persistantes sont hébergées au Canada (Supabase, région Toronto / AWS ca-central-1). L'infrastructure applicative (Cloudflare Workers) opère sur un réseau global avec terminaison TLS aux nœuds Cloudflare les plus proches de l'utilisateur. Nous respectons la Loi 25 du Québec sur la protection des renseignements personnels dans le secteur privé.

4. Partage des données avec des sous-traitants

Triago partage strictement le minimum de données nécessaire avec les sous-traitants suivants, chacun lié par une entente de confidentialité et un Data Processing Agreement (DPA) conforme aux exigences de la Loi 25 et du RGPD :

• Supabase (Toronto, Canada) : stockage de la base de données (compte, profil de style, métadonnées, jetons OAuth chiffrés). Hébergement Canada Central.
• Cloudflare (réseau global) :hébergement applicatif (Workers), CDN, terminaison TLS, protection contre les attaques. Cloudflare n'a pas accès aux données en clair stockées dans Supabase.
• Anthropic (Claude API, États-Unis) : sous-traitant de l'intelligence artificielle. Reçoit temporairement le contenu d'un courriel pour générer un classement ou un brouillon de réponse. Anthropic ne conserve pas et ne s'entraîne pas sur les données envoyées via l'API (zero-retention policy).
• Microsoft (Graph API) : accès à votre boîte Outlook via OAuth 2.0, uniquement pour les actions que vous avez autorisées (lecture, classement, brouillons).
• Google (Gmail API) : accès à votre boîte Gmail via OAuth 2.0, uniquement pour les actions que vous avez autorisées (lecture des en-têtes et du corps, classement par libellés, brouillons de réponse).
• Brevo (Paris, UE) : envoi des courriels transactionnels du service (lien magique de connexion, notifications de compte). Brevo ne reçoit que votre adresse courriel et le contenu du courriel transactionnel.

Triago ne vend, ne loue, ni ne transfère vos renseignements personnels à des tiers à des fins commerciales, publicitaires ou de profilage. Les sous-traitants ci-dessus traitent les données uniquement pour fournir le service demandé.

Communication hors Québec.Certains sous-traitants traitent des données à l'extérieur du Québec — Anthropic (États-Unis) et Brevo (Union européenne). Conformément à la Loi 25, nous avons réalisé une évaluation des facteurs relatifs à la vie privée pour ces communications : elles sont encadrées par un Data Processing Agreement, limitées au strict minimum nécessaire et soumises à des protections jugées adéquates (chiffrement en transit et au repos, politique zéro-rétention pour Anthropic, aucun entraînement de modèles IA sur vos données). Vos données persistantes (compte, profil, métadonnées) demeurent hébergées au Canada.

5. Mécanismes de protection des données

Triago applique des mesures de sécurité techniques et organisationnelles pour protéger vos renseignements personnels, y compris les données sensibles (jetons OAuth, contenu de courriels traités) :

• Chiffrement en transit : tous les échanges entre votre navigateur, Triago et nos sous-traitants utilisent TLS 1.2 ou supérieur (HTTPS partout, HSTS activé).
• Chiffrement au repos : la base de données Supabase chiffre les données au repos (AES-256). Les jetons OAuth Microsoft et Google sont chiffrés au niveau applicatif avant insertion en DB.
• Contrôle d'accès :Row Level Security (RLS) Supabase isole les données par utilisateur — un utilisateur ne peut techniquement pas accéder aux données d'un autre. Les accès administrateurs internes sont protégés par authentification multi-facteurs (MFA) et journalisés.
• Minimisation des données : nous ne stockons pas le contenu des courriels après traitement. Seules les métadonnées techniques nécessaires au suivi (ID Microsoft/Google, dossier cible, corrections) sont conservées.
• Journalisation et audit : les accès et actions sont journalisés afin de détecter toute activité anormale.
• Révocation immédiate :vous pouvez révoquer l'accès Microsoft ou Google à tout moment depuis votre compte Triago ou directement depuis les paramètres de sécurité Microsoft / Google. Triago cesse alors immédiatement tout traitement.
• Gestion des incidents :conformément à la Loi 25, tout incident de confidentialité présentant un risque de préjudice sérieux est notifié à la Commission d'accès à l'information du Québec et aux personnes concernées dans les meilleurs délais.

6. Utilisation des données Google (Limited Use Policy)

Triago's use and transfer to any other app of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements.

Concrètement, lorsque vous connectez votre compte Gmail à Triago :

• Triago utilise les données Gmail uniquement pour fournir les fonctionnalités visibles à l'utilisateur (triage automatique, brouillons de réponse, relances).
• Triago ne vend pasles données Gmail à des tiers, ne les utilise pas à des fins publicitaires, ne les utilise pas pour du profilage cross-app, et ne les transfère pas à des tiers sauf si l'utilisateur l'exige ou si la loi l'exige.
• Triago n'entraîne aucun modèle d'IA sur les données Gmail. Le contenu envoyé à Anthropic (Claude API) pour générer un classement ou un brouillon est traité sous une politique zero-retention : Anthropic ne conserve pas et n'entraîne pas ses modèles sur ces données.
• Aucun humain (employé, contractant ou tiers) ne lit les données Gmail des utilisateurs, sauf : (1) avec votre consentement explicite, (2) pour des raisons de sécurité (ex. enquêter sur un abus), (3) pour respecter une obligation légale, ou (4) si les données sont anonymisées et agrégées pour des fins d'exploitation interne.

7. Vos courriels — Microsoft et Google

Vos courriels restent dans votre boîte Outlook ou Gmail.Triago lit leur contenu temporairement pour générer un classement, un brouillon ou une relance, mais ne le stocke pas dans nos serveurs. L'intelligence artificielle utilisée (propulsée par Claude API d'Anthropic comme sous-traitant) ne s'entraîne pas sur vos données et ne les conserve pas après traitement.

8. Vos droits (Loi 25)

Vous pouvez en tout temps :

• Accéder à vos données personnelles
• Demander leur rectification (correction des renseignements inexacts, incomplets ou équivoques)
• Retirer votre consentement au traitement de vos données à tout moment
• Demander leur suppression complète
• Récupérer une copie portable de vos données (droit à la portabilité)
• Révoquer l'accès Microsoft ou Google à tout moment (depuis Triago ou directement dans les paramètres de votre compte Microsoft / Google)
• Porter plainte auprès de la Commission d'accès à l'information du Québec

Pour exercer ces droits, contactez-nous à jf@gestimatech.com. Nous répondons dans un délai maximal de 30 jours.

9. Conservation des données

Vos renseignements sont conservés tant que votre compte Triago est actif. Sur demande de suppression de votre compte, toutes vos données (profil, jetons OAuth, métadonnées de triage, suivis) sont supprimées dans un délai maximal de 30 jours, sauf obligations légales de conservation (par exemple journaux de sécurité conservés jusqu'à 12 mois).

10. Cookies (témoins)

Triago utilise uniquement des cookies (témoins) techniques nécessaires au fonctionnement de l'authentification et de la session. Aucun cookie (témoin) de suivi ou publicitaire.

11. Modifications

Cette politique peut évoluer. Nous vous informerons par courriel de tout changement matériel avant son entrée en vigueur.