Politique de confidentialité

Ceci est une traduction de courtoisie. La version anglaise disponible à /privacy/ est la version juridiquement contraignante.

Dernière mise à jour : 21 mars 2026

La présente Politique de confidentialité décrit comment RAPID DEV GROUP INC., une société de l'Ontario (Canada) faisant affaires sous le nom de Sitetra (« nous », « notre » ou « nos »), collecte, utilise, divulgue et protège vos informations personnelles lorsque vous utilisez notre plateforme à l'adresse sitetra.com et tout service connexe (collectivement, le « Service »).

Sitetra est une plateforme multi-locataire de création et de gestion de sites Web. Nous opérons en double qualité :

• Responsable du traitement des données : Pour les utilisateurs qui créent des comptes directement auprès de Sitetra (opérateurs de sites Web, développeurs et administrateurs).
• Sous-traitant des données : Pour les utilisateurs finaux des sites Web construits et exploités par nos clients (opérateurs de sites Web). Dans cette capacité, l'opérateur de site Web est le responsable du traitement des données.

La version en langue anglaise de la présente Politique de confidentialité (en-CA) est la version juridiquement contraignante. Les traductions sont fournies à titre indicatif uniquement.

En utilisant le Service, vous acceptez la collecte et l'utilisation des informations conformément à la présente Politique de confidentialité. Si vous n'êtes pas d'accord, veuillez ne pas utiliser le Service.

1.1 Informations du compte

Lorsque vous créez un compte, nous collectons : le nom complet, l'adresse courriel, le mot de passe (stocké uniquement sous forme hachée, jamais en texte clair), le numéro de téléphone (optionnel), la langue/les paramètres régionaux préférés et le nom d'utilisateur.

1.2 Données d'authentification et de sécurité

Nous collectons les données relatives à votre activité d'authentification : horodatages de connexion, adresses IP, chaînes d'agent utilisateur (analysées pour identifier le navigateur, le système d'exploitation et l'appareil), géolocalisation approximative dérivée des adresses IP, jetons OAuth et identifiants de profil (lors de l'utilisation de la connexion Google, Microsoft, Facebook ou GitHub), données de configuration MFA et enregistrements de détection de nouveaux appareils.

1.3 Informations de facturation et de paiement

Le traitement des paiements est géré par des processeurs tiers, y compris Stripe, Square, PayPal et Wise. Nous ne stockons pas les numéros complets de carte de crédit sur nos serveurs. Nous pouvons stocker des informations partielles de carte (telles que les quatre derniers chiffres et la marque de la carte), les adresses de facturation et les enregistrements de transactions tels que fournis par ces processeurs. Nous maintenons également les soldes de comptes de crédits et les historiques complets de transactions de crédits.

1.4 Données de contenu

Nous stockons le contenu que vous créez et téléchargez via le Service, y compris : les pages Web, les articles de blogue, les articles et les FAQ ; les fiches de produits, les configurations SKU et les données d'inventaire ; les images, documents et autres fichiers téléchargés (stockés sur Cloudflare R2, avec sauvegarde redondante sur Vultr Object Storage) ; les configurations, styles, modèles et paramètres de design du site Web.

1.5 Données de commerce électronique et de transactions

Lorsque les Opérateurs de sites Web utilisent les fonctionnalités de commerce électronique, nous traitons : le contenu du panier d'achat (articles, quantités, prix), les informations de passage en caisse (nom du client, courriel, adresses d'expédition et de facturation), les enregistrements de commandes (numéros de ticket, statut, statut de paiement, articles, totaux, taxes, remises), les enregistrements d'utilisation et d'échange de coupons, les détails de méthode de paiement (tokenisés, quatre derniers chiffres uniquement) et les historiques de remboursement.

1.6 Données CRM et de relations

Les Opérateurs de sites Web peuvent stocker des données de relations clients, y compris : les coordonnées (noms, courriels, numéros de téléphone, adresses), les enregistrements de comptes commerciaux et de sous-comptes, l'historique des communications (courriels, notes, étiquettes), les attributions d'agents de vente, et les types et catégories de relations.

1.7 Données de réservation

Lorsque les fonctionnalités de réservation sont utilisées, nous traitons : les dates, heures et durées des rendez-vous, la taille des groupes et les préférences de places, les demandes spéciales et les notes, les préautorisations de paiement, le statut de la réservation et les détails de confirmation, et les configurations de tables et de quarts de travail des restaurants.

1.8 Données d'avis

Lorsque les fonctionnalités d'avis sont activées, nous collectons : les évaluations par étoiles et par catégorie (qualité, valeur, service, etc.), le texte des avis écrits, les photos d'avis (téléchargées via le système de fichiers), l'identité de l'évaluateur (authentifié ou anonyme, selon la configuration de l'opérateur) et la vérification du statut d'achat.

1.9 Données d'infolettre et de communication

Pour les fonctionnalités d'infolettre et de marketing par courriel, nous traitons : les adresses courriel et préférences des abonnés, les attributions de segments et les sujets d'abonnement, les données de suivi de livraison de courriels (livré, rebondi, ouvert, cliqué) reçues via les webhooks du fournisseur de courriels, les enregistrements de désabonnement et l'historique de consentement, et les enregistrements de statut de livraison SMS.

1.10 Données d'interaction IA

Lorsque vous utilisez nos fonctionnalités alimentées par l'IA, nous collectons : les instructions que vous fournissez aux services d'IA, les réponses et le contenu générés par l'IA, les comptes de jetons utilisés et les coûts estimés, le modèle et le fournisseur d'IA utilisés, les identifiants de session et l'historique des conversations, et les données de contexte commercial (directives de voix/ton, descriptions d'entreprise) soumises par les opérateurs.

1.11 Données audio

Si vous utilisez les fonctionnalités de reconnaissance vocale, les enregistrements audio sont traités via l'API OpenAI Whisper (traitement externe) ou Speaches (auto-hébergé, traitement sur site). Les données audio sont utilisées uniquement pour la transcription et ne sont pas conservées après l'achèvement du traitement.

1.12 Données de vérification d'identité

Lorsqu'une vérification d'identité est demandée par un Opérateur de site Web, IDenfy peut traiter : les scans de reconnaissance faciale, les images de documents d'identité gouvernementaux et les données extraites (nom, date de naissance, sexe, type de document, numéro de document), le statut de vérification (en attente, envoyé par courriel, approuvé, suspect), les résultats de filtrage AML et les documents de preuve d'adresse. Les données biométriques (reconnaissance faciale) sont traitées par IDenfy. Sitetra stocke les résultats de vérification et les données personnelles extraites, mais ne stocke pas les données biométriques brutes.

1.13 Données d'analytique et de suivi

Nous collectons des données d'utilisation du site Web, y compris : les pages vues et les parcours de navigation, les identifiants de session et la durée, les empreintes de navigateur (via FingerprintJS, utilisées pour la sécurité et l'identification anonyme du panier, pas pour la publicité), le type d'appareil et les informations d'écran, les URL de référence, et les préférences de langue/paramètres régionaux.

1.14 Données de téléchargement de fichiers

Pour les fichiers téléchargés, nous stockons : les noms de fichiers, les tailles et les types MIME, la désignation d'accès public/privé, les métadonnées et étiquettes associées, les types de fichiers spéciaux (icônes, logos, couvertures) et les résultats d'analyse antivirus.

1.15 Données d'enregistrement de domaine

Si vous enregistrez un domaine via le Service, les données d'enregistrement WHOIS sont traitées par EasyDNS ou Cloudflare Registrar. Cela peut inclure votre nom, votre organisation, votre adresse, votre courriel et votre numéro de téléphone, comme l'exigent les réglementations d'enregistrement de domaine et les politiques ICANN.

1.16 Données de notifications poussées

Si vous activez les notifications poussées, nous stockons les jetons d'appareil (points d'accès et clés de chiffrement) nécessaires pour envoyer les notifications à votre appareil.

1.17 Données de marché et financières

Pour les sites Web utilisant les fonctionnalités de métaux précieux, nous traitons : les données de flux de prix en temps réel (prix acheteur/vendeur de l'or, de l'argent, du platine et du palladium), les prix de règlement quotidiens du London Fix, les données de graphiques de prix historiques et les nouvelles sur les marchés des matières premières.

Nous utilisons les informations que nous collectons aux fins suivantes :

• Exploitation du service : Pour fournir, maintenir et améliorer la plateforme Sitetra, y compris la création de sites Web, la gestion de contenu, l'hébergement et l'infrastructure multi-locataire.
• Génération de contenu par IA : Pour alimenter les fonctionnalités assistées par IA telles que la création de contenu, la traduction, l'optimisation SEO, la construction de sites Web, la transcription vocale et l'analyse d'images à l'aide de fournisseurs d'IA tiers.
• Traitement du commerce électronique : Pour faciliter la gestion des produits, la fonctionnalité de panier d'achat, le traitement des commandes, la coordination des paiements, la gestion des coupons et le suivi des stocks pour le compte des Opérateurs de sites Web.
• Gestion des réservations : Pour traiter les réservations, les rendez-vous et la synchronisation de calendrier pour le compte des Opérateurs de sites Web.
• Vérification d'identité : Pour faciliter la vérification KYC/AML lorsqu'elle est requise par les Opérateurs de sites Web, en utilisant IDenfy.
• Licence d'images de banque : Pour rechercher, prévisualiser, licencier et livrer des images de banque depuis Shutterstock.
• Gestion des domaines : Pour enregistrer, renouveler, surveiller et gérer les noms de domaine via EasyDNS ou Cloudflare Registrar.
• Sécurité : Pour protéger les comptes et la plateforme grâce à l'analyse de logiciels malveillants ClamAV, l'authentification multifacteur (MFA), l'empreinte de navigateur pour la détection de fraude, la limitation de débit, la journalisation de l'authentification et la géolocalisation basée sur l'IP.
• Facturation et paiements : Pour traiter les paiements, gérer les comptes de crédits, gérer la recharge automatique, traiter la facturation mensuelle des sites Web et maintenir les registres financiers.
• Communications transactionnelles : Pour envoyer des courriels et des messages SMS liés au service, y compris la vérification de compte, la réinitialisation de mot de passe, les notifications de facturation, les alertes de sécurité, les confirmations de commande, les confirmations de réservation et les courriels de récupération de panier abandonné.
• Livraison d'infolettres : Pour envoyer des infolettres marketing et des campagnes de courriels pour le compte des Opérateurs de sites Web à leurs destinataires abonnés.
• Notifications poussées : Pour envoyer des alertes de facturation, des notifications de commande, des confirmations de réservation, des notifications d'avis et d'autres notifications en temps réel.
• Analytique : Pour agréger les pages vues et les événements en résumés quotidiens et mensuels, fournissant aux Opérateurs de sites Web des informations sur le trafic et l'utilisation.
• Synchronisation de calendrier : Pour synchroniser les données de réservation et d'événements avec des services de calendrier externes via le protocole CalDAV.
• Amélioration du service : Pour analyser les données d'utilisation agrégées et anonymisées afin d'améliorer les fonctionnalités, les performances et l'expérience utilisateur.
• Conformité juridique : Pour se conformer aux lois, réglementations et procédures juridiques applicables.

Nous ne vendons pas vos informations personnelles.

Nous partageons des informations avec les catégories de tiers suivantes uniquement dans la mesure nécessaire pour fournir et sécuriser le Service :

3.1 Fournisseurs de services d'IA

• Anthropic (Claude) : Instructions de contenu et données de contexte pour la génération par IA.
• OpenAI : Instructions de contenu, données de contexte et données audio pour la génération par IA et la reconnaissance vocale.
• Google (Gemini) : Instructions de contenu et données de contexte pour la génération par IA.
• Ollama (auto-hébergé) : Les données restent sur notre infrastructure et ne sont pas transmises à l'extérieur.

3.2 Processeurs de paiement

Stripe, Square, PayPal et Wise pour le traitement des paiements, les abonnements et les virements d'argent.

3.3 Fournisseurs de communication

Postmark et Mailgun pour la livraison de courriels (y compris le suivi du statut de livraison). VoIP.ms pour la livraison de SMS.

3.4 Registraires de domaines

EasyDNS et Cloudflare Registrar pour l'enregistrement de domaines, le renouvellement et la gestion DNS.

3.5 Fournisseur d'images de banque

Shutterstock pour les requêtes de recherche d'images de banque et l'octroi de licences d'images.

3.6 Vérification d'identité

IDenfy pour la vérification d'identité KYC/KYB/AML, la reconnaissance faciale et la vérification de documents.

3.7 Fournisseurs d'infrastructure

Cloudflare pour le CDN, le DNS, le pare-feu d'application Web, la protection DDoS et le stockage de fichiers (R2). Vultr pour le stockage de fichiers de sauvegarde redondant (New York, États-Unis).

3.8 Analytique

Google Analytics (uniquement lorsqu'activé par l'Opérateur de site Web sur son site Web individuel).

3.9 Fournisseurs OAuth/d'authentification

Google, Microsoft, Facebook et GitHub pour l'authentification par connexion sociale (uniquement lorsque vous choisissez de vous authentifier via ces fournisseurs).

3.10 Opérateurs de sites Web

Les Opérateurs de sites Web reçoivent les données de leurs propres clients via l'interface d'administration et l'API de la Plateforme. Les Constructeurs disposant d'un accès inter-sites (via le système d'attribution des constructeurs) peuvent consulter les données sur l'ensemble de leurs sites Web attribués.

3.11 Exigences légales

Nous pouvons divulguer vos informations si la loi, une ordonnance du tribunal, une assignation à comparaître ou un processus juridique valide l'exige, ou si nous croyons de bonne foi qu'une telle action est nécessaire pour : nous conformer à une obligation légale, protéger et défendre les droits ou la propriété de RAPID DEV GROUP INC., prévenir ou enquêter sur d'éventuels actes répréhensibles, ou protéger la sécurité personnelle des utilisateurs ou du public.

3.12 Transferts d'entreprise

En cas de fusion, d'acquisition, de réorganisation ou de vente d'actifs, vos informations personnelles peuvent être transférées dans le cadre de cette transaction. Nous vous notifierons par courriel ou par un avis visible sur le Service avant que vos informations ne soient soumises à une politique de confidentialité différente.

Nous mettons en oeuvre des mesures techniques et organisationnelles appropriées pour protéger vos informations personnelles :

• Emplacement : Notre infrastructure principale est située au Canada (Ontario). Le stockage de fichiers sur Cloudflare R2 peut être distribué à l'échelle mondiale.
• Base de données : Les données sont stockées dans PostgreSQL avec des clés primaires UUID et une validation de type de données renforcée.
• Isolation multi-locataire : Les données sont logiquement isolées entre les sites Web à l'aide d'une architecture basée sur un identifiant de site Web. Les données de chaque site Web sont séparées et ne peuvent pas être consultées par d'autres locataires.
• Chiffrement en transit : Toutes les données transmises entre votre appareil et nos serveurs sont chiffrées à l'aide de TLS/HTTPS.
• Sécurité des mots de passe : Les mots de passe sont stockés à l'aide du hachage bcrypt, conforme aux normes de l'industrie. Nous ne stockons jamais les mots de passe en texte clair.
• Sécurité des identifiants API : Les clés API tierces et les secrets de webhook stockés dans les paramètres par site Web sont chiffrés au repos.
• Authentification multifacteur : La MFA est disponible pour tous les comptes et obligatoire pour l'accès inter-sites de niveau développeur.
• Analyse de logiciels malveillants : Tous les fichiers téléchargés sont analysés à l'aide de ClamAV.
• Authentification : L'accès API est sécurisé à l'aide de l'authentification JWT (JSON Web Token) avec une expiration configurable.
• Limitation de débit : Des limites de débit sont appliquées aux points d'accès d'authentification, au traitement par IA et à l'accès API général pour prévenir les abus.
• CORS : Les restrictions de partage de ressources entre origines sont appliquées en fonction des domaines des sites Web.
• Architecture de suppression douce : Les enregistrements supprimés sont d'abord supprimés de manière douce (marqués avec un horodatage de suppression) avant la suppression définitive, offrant une fenêtre de récupération.

Bien que nous nous efforcions d'utiliser des moyens commercialement acceptables pour protéger vos informations personnelles, aucune méthode de transmission sur Internet ou méthode de stockage électronique n'est sûre à 100 %. Nous ne pouvons pas garantir une sécurité absolue.

Les Opérateurs peuvent demander la suppression anticipée des données de leur site Web, sous réserve de restrictions légales et d'exigences réglementaires.

6.1 Tous les utilisateurs

Quel que soit votre emplacement, vous avez le droit de :

• Accès : Demander une copie des informations personnelles que nous détenons à votre sujet.
• Correction : Demander la correction d'informations inexactes ou incomplètes.
• Suppression : Demander la suppression de vos informations personnelles.
• Portabilité : Demander vos données dans un format structuré, couramment utilisé et lisible par machine (JSON).
• Désinscription : Vous désinscrire des communications marketing non essentielles à tout moment.
• Désabonnement de l'infolettre : Chaque courriel marketing comprend un lien de désabonnement fonctionnel.
• Contrôle des notifications poussées : Révoquer la permission des notifications poussées à tout moment via les paramètres de votre navigateur ou de votre appareil.
• Suppression de compte : Demander la suppression complète de votre compte et des données associées.

6.2 Résidents canadiens (PIPEDA)

En vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (PIPEDA), vous avez le droit de : accéder à vos renseignements personnels que nous détenons, contester l'exactitude et l'exhaustivité de vos renseignements et les faire modifier, et retirer votre consentement à la collecte, à l'utilisation ou à la divulgation de vos renseignements, sous réserve de restrictions légales ou contractuelles.

Nous répondrons aux demandes d'accès dans les 30 jours. Si vous n'êtes pas satisfait de notre réponse, vous pouvez déposer une plainte auprès du Commissariat à la protection de la vie privée du Canada.

6.3 Résidents européens (GDPR)

Si vous êtes situé dans l'Union européenne ou dans l'Espace économique européen, vous disposez de droits supplémentaires en vertu du Règlement général sur la protection des données (GDPR) :

• Droit d'accès (art. 15) : Obtenir la confirmation que nous traitons vos données et en demander une copie.
• Droit de rectification (art. 16) : Faire corriger les données personnelles inexactes.
• Droit à l'effacement (art. 17) : Demander la suppression de vos données personnelles (« droit à l'oubli »).
• Droit à la limitation (art. 18) : Demander la limitation du traitement dans certaines circonstances.
• Droit à la portabilité des données (art. 20) : Recevoir vos données dans un format structuré et lisible par machine.
• Droit d'opposition (art. 21) : S'opposer au traitement fondé sur des intérêts légitimes ou à des fins de marketing direct.
• Droit de retrait du consentement : Retirer votre consentement à tout moment lorsque le traitement est fondé sur le consentement.

Nous répondrons aux demandes GDPR dans les 30 jours. Vous avez également le droit de déposer une plainte auprès de votre autorité locale de protection des données.

6.4 Résidents de la Californie (CCPA)

Si vous êtes résident de la Californie, vous disposez des droits suivants en vertu de la California Consumer Privacy Act (CCPA) :

• Droit de savoir : Demander des informations sur les catégories et les éléments spécifiques de renseignements personnels que nous avons collectés.
• Droit de suppression : Demander la suppression de vos renseignements personnels.
• Droit de refus de vente : Nous ne vendons pas de renseignements personnels, ce droit n'est donc pas applicable.
• Droit à la non-discrimination : Vous ne recevrez pas de traitement discriminatoire pour l'exercice de vos droits à la vie privée.

Nous répondrons aux demandes CCPA dans les 45 jours.

6.5 Utilisateurs finaux des sites Web des Opérateurs

Si vous êtes un Utilisateur final d'un site Web exploité sur la plateforme Sitetra, veuillez d'abord adresser vos demandes relatives à la vie privée à l'Opérateur de site Web, car il est le responsable du traitement de vos informations. Si vous n'êtes pas en mesure de joindre l'Opérateur ou de résoudre votre demande, vous pouvez contacter Sitetra et nous vous assisterons dans la mesure du possible.

RAPID DEV GROUP INC. est établie en Ontario, Canada. Vos informations peuvent être transférées vers des pays autres que le vôtre et y être traitées par l'intermédiaire de nos fournisseurs de services tiers.

Les principales destinations de transfert de données comprennent :

• États-Unis : Fournisseurs d'IA (Anthropic, OpenAI, Google), processeurs de paiement (Stripe, Square, PayPal), fournisseurs de courriels (Postmark, Mailgun), images de banque (Shutterstock) et vérification d'identité (IDenfy).
• Canada : Infrastructure principale et base de données.
• Distribution mondiale : CDN Cloudflare et stockage de fichiers (R2). Vultr Object Storage pour les sauvegardes de fichiers redondantes (New York).

Le Canada a reçu une décision d'adéquation de la Commission européenne, ce qui signifie que les lois canadiennes sur la protection des données sont reconnues comme offrant un niveau de protection adéquat pour les données personnelles transférées depuis l'UE/EEE.

Pour les transferts vers les États-Unis et d'autres juridictions sans décision d'adéquation, nous nous appuyons sur les Clauses contractuelles types (CCT) ou d'autres garanties appropriées comme l'exige la loi applicable.

Pour le traitement par IA via Ollama et la reconnaissance vocale via Speaches, les données restent sur notre propre infrastructure au Canada et ne quittent pas nos serveurs.

En utilisant le Service, vous consentez au transfert de vos informations vers le Canada et d'autres pays tel que décrit dans la présente Politique de confidentialité.

Le Service n'est pas destiné à être utilisé par des personnes de moins de 16 ans. Nous ne collectons pas sciemment des informations personnelles d'enfants de moins de 16 ans. Si nous prenons connaissance que nous avons collecté des informations personnelles d'un enfant de moins de 16 ans, nous prendrons des mesures pour supprimer ces informations rapidement.

Les Opérateurs de sites Web qui créent des sites Web susceptibles d'être consultés par des enfants sont responsables de s'assurer de la conformité avec la Children's Online Privacy Protection Act (COPPA) et les autres lois applicables en matière de protection de la vie privée des enfants dans leur juridiction.

Si vous croyez que nous avons pu collecter des informations d'un enfant de moins de 16 ans, veuillez nous contacter immédiatement.

Nous n'utilisons pas de témoins publicitaires ni de témoins de suivi inter-sites.

Modes de consentement

La Plateforme prend en charge trois modes de consentement, configurables par site Web par l'Opérateur :

• Avis : Affiche une bannière informative sur l'utilisation des témoins.
• Juridiction : Applique des paramètres de consentement par défaut basés sur la juridiction.
• Complet : Requiert un consentement explicite avant que les témoins non essentiels ne soient définis.

Sitetra sert de plateforme pour les Opérateurs de sites Web afin de construire et gérer leurs propres sites Web. Dans ce contexte :

10.1 Rôles et responsabilités

• Les Opérateurs de sites Web sont les responsables du traitement des données personnelles de leurs propres Utilisateurs finaux et clients.
• Sitetra agit en tant que sous-traitant des données, traitant les données pour le compte et selon les instructions de l'Opérateur de site Web.

10.2 Obligations de l'Opérateur

Les Opérateurs de sites Web sont responsables de :

• Maintenir leurs propres politiques de confidentialité conformes aux lois applicables.
• Obtenir les consentements nécessaires de leurs Utilisateurs finaux pour la collecte et le traitement des données.
• Répondre aux demandes des personnes concernées de la part de leurs clients.
• Déterminer la base juridique du traitement des données de leurs clients.
• S'assurer que leur utilisation des fonctionnalités de la Plateforme (marketing par courriel, avis, analytique) est conforme aux lois applicables en matière de protection de la vie privée et de lutte contre le pourriel.

10.3 Traitement automatisé

Sitetra effectue le traitement automatisé suivant pour le compte des Opérateurs : courriels de récupération de panier abandonné, courriels de demande d'avis, facturation d'abonnements, confirmations de réservation, livraison d'infolettres, facturation de sites Web et nettoyage programmé des données.

10.4 Isolation des données

Toutes les données sont isolées par identifiant de site Web. Un Opérateur de site Web ne peut pas accéder aux données des Utilisateurs finaux d'un autre Opérateur. Les Constructeurs disposant d'un accès inter-sites ne peuvent consulter que les données des sites Web qui leur sont spécifiquement attribués.

10.5 Sous-traitants

Nos sous-traitants sont répertoriés à la Section 18 de la présente Politique de confidentialité. Les Opérateurs de sites Web devraient référencer cette liste dans leurs propres politiques de confidentialité, le cas échéant.

10.6 Accord de traitement des données

Un accord de traitement des données (DPA) formel est disponible sur demande pour les Opérateurs qui en ont besoin pour la conformité au GDPR ou à d'autres réglementations.

10.7 Suppression des données

Lorsqu'un site Web est supprimé, toutes les données associées (y compris les données des Utilisateurs finaux) sont définitivement supprimées après la période de conservation de 90 jours.

Notre plateforme s'intègre à plusieurs fournisseurs d'IA. Voici comment les données sont traitées pour chacun :

• Anthropic (Claude) : Les instructions textuelles, le contexte du contenu, les directives commerciales et le contenu existant du site sont envoyés à l'API d'Anthropic. Le traitement des données par Anthropic est régi par leur politique de confidentialité et leurs conditions d'utilisation.
• OpenAI : Les instructions textuelles, le contexte du contenu et les données audio (pour la reconnaissance vocale via Whisper) sont envoyés à l'API d'OpenAI. Les données d'images peuvent être envoyées pour l'analyse visuelle (analyse de logos, classification d'images). Le traitement des données par OpenAI est régi par leur politique de confidentialité et leurs conditions d'utilisation.
• Google (Gemini) : Les instructions textuelles et le contexte du contenu sont envoyés à l'API Gemini de Google. Le traitement des données par Google est régi par leur politique de confidentialité et leurs conditions d'utilisation.
• Ollama (auto-hébergé) : Les instructions textuelles sont traitées entièrement sur notre propre infrastructure. Aucune donnée n'est envoyée à des serveurs externes.
• Speaches (auto-hébergé) : Les données audio pour la reconnaissance vocale sont traitées entièrement sur notre propre infrastructure. Aucune donnée n'est envoyée à des serveurs externes.

Journalisation de l'utilisation de l'IA

Pour chaque interaction avec l'IA, nous enregistrons : le fournisseur et le modèle d'IA utilisés, les comptes de jetons en entrée/sortie, le coût estimé en crédits, un identifiant de session et le site Web associé. Ces données sont utilisées pour la facturation, l'analytique d'utilisation et l'amélioration du service.

Données de contexte IA

Lors de la génération de contenu, l'IA peut recevoir : le nom, la description et le contexte commercial de votre site Web, les directives de voix/ton configurées par l'Opérateur, le contenu existant de votre site Web (pour une génération contextuelle), les données de sites Web de référence (lorsqu'une URL de référence est fournie), et les requêtes de recherche pour les images de banque.

Important : Veuillez éviter de soumettre des informations personnelles sensibles (telles que des numéros d'identification gouvernementaux, des numéros de comptes financiers ou des informations de santé) dans les instructions d'IA. Bien que nous mettions en oeuvre des mesures de sécurité, les instructions d'IA sont transmises aux fournisseurs tiers comme décrit ci-dessus.

Lorsqu'un Opérateur de site Web active la vérification d'identité, les pratiques suivantes en matière de données s'appliquent :

12.1 Flux de données

Les utilisateurs soumettent des documents d'identité via l'interface de vérification d'IDenfy. IDenfy traite les documents et envoie les résultats de vérification à Sitetra via un webhook sécurisé. Sitetra stocke les résultats de vérification et les données personnelles extraites.

12.2 Données biométriques

Le traitement de la reconnaissance faciale est effectué par IDenfy. Sitetra ne stocke pas les données biométriques brutes (modèles de reconnaissance faciale). Nous stockons uniquement le résultat de la vérification et les informations personnelles extraites (nom, date de naissance, détails du document).

12.3 Données stockées

Pour chaque vérification, nous stockons : le type de vérification (KYC, KYB, POA, AML), le statut de vérification (en attente, envoyé par courriel, approuvé, suspect), les informations personnelles extraites (nom, date de naissance, sexe, type de document, numéro de document), les métadonnées de réponse du fournisseur et l'horodatage de la vérification.

12.4 Conservation

Les données de vérification sont conservées aussi longtemps que le compte d'utilisateur associé existe, ou comme l'exigent les réglementations KYC/AML applicables. Les Opérateurs et les utilisateurs peuvent demander la suppression des données de vérification, sous réserve des exigences réglementaires.

12.5 Accès

Les utilisateurs peuvent demander l'accès à leurs enregistrements de vérification par l'intermédiaire de l'Opérateur de site Web ou en contactant Sitetra directement. Les statuts de vérification sont visibles par l'Opérateur de site Web via l'interface d'administration.

Conformément à l'article 22 du GDPR, nous divulguons les processus de prise de décision automatisée suivants :

• Génération de contenu par IA : L'IA génère du contenu basé sur des instructions et du contexte. Cela implique un traitement automatisé mais ne prend pas de décisions ayant des effets juridiques sur les personnes. Tout le contenu généré par l'IA est révisé par des humains avant publication.
• Vérification d'identité : Les résultats de vérification sont produits par les systèmes automatisés d'IDenfy. Ces résultats sont uniquement consultatifs. Les décisions finales concernant l'approbation du compte ou les restrictions sont prises par l'Opérateur de site Web (décideur humain).
• Vérifications de solde de crédits : Les opérations sont automatiquement bloquées lorsque le solde de crédits d'un utilisateur atteint zéro ou moins. Les utilisateurs peuvent résoudre ce problème immédiatement en achetant des crédits supplémentaires.
• Limitation de débit : Les requêtes API sont automatiquement limitées lorsque les limites de débit sont dépassées. Ce problème se résout en attendant que la fenêtre de limite de débit soit réinitialisée.
• Suspension de site Web : Les sites Web sont automatiquement suspendus après 30 jours de non-paiement. Cela suit un calendrier documenté avec des avertissements au Jour 0 et au Jour 15, et peut être annulé en ajoutant suffisamment de crédits.
• Approbation automatique des avis : Lorsqu'elle est activée par l'Opérateur, les avis peuvent être automatiquement publiés sans modération manuelle. Il s'agit d'un choix de configuration de l'Opérateur.

Vous avez le droit de demander un examen humain de toute décision automatisée qui vous affecte de manière significative. Contactez-nous ou l'Opérateur de site Web pour demander un examen.

En cas de violation de données personnelles susceptible d'entraîner un risque pour les droits et libertés des personnes, Sitetra :

• Notifiera les Opérateurs de sites Web concernés dans les 72 heures suivant la prise de connaissance de la violation (conformément à l'article 33 du GDPR).
• Assistera les Opérateurs dans le respect de leurs obligations de notification envers leurs Utilisateurs finaux et les autorités compétentes.
• Signalera au Commissariat à la protection de la vie privée du Canada lorsque la violation concerne des renseignements personnels canadiens et atteint les seuils de déclaration de PIPEDA.

Contenu de la notification de violation

Les notifications de violation comprendront : la nature de la violation, les catégories de données affectées, le nombre approximatif d'enregistrements concernés, les mesures prises ou proposées pour remédier à la violation, et les coordonnées pour toute demande d'information supplémentaire.

Réponse aux incidents

Sitetra maintient des procédures de réponse aux incidents comprenant une journalisation complète de l'authentification, une journalisation des erreurs, un suivi de la géolocalisation IP et un enregistrement des événements webhook pour aider à l'enquête et à la réponse en cas de violation.

En vertu de l'article 6 du GDPR, nous traitons les données personnelles sur les bases juridiques suivantes :

16.1 Exigence d'adhésion

Les notifications poussées nécessitent une permission explicite du navigateur ou de l'appareil. Vous serez invité à accorder la permission avant l'envoi de toute notification poussée. Nous n'enverrons jamais de notifications poussées sans votre consentement.

16.2 Types de notifications

Les notifications poussées peuvent inclure : des alertes de facturation (solde bas, crédits insuffisants, confirmations de recharge automatique), des notifications de commande et de paiement, des confirmations et rappels de réservation, des notifications d'avis et d'autres notifications opérationnelles configurées par l'Opérateur de site Web.

16.3 Données stockées

Lorsque vous vous abonnez aux notifications poussées, nous stockons un point d'accès d'abonnement aux notifications poussées et les clés de chiffrement associées. Ces données sont stockées par utilisateur et par appareil.

16.4 Révocation

Vous pouvez révoquer la permission des notifications poussées à tout moment via les paramètres de votre navigateur ou de votre appareil. La révocation de la permission arrête toutes les notifications poussées immédiatement. Vous pouvez également vous désabonner de types de notifications spécifiques via les paramètres de votre compte.

La Plateforme maintient divers journaux à des fins de sécurité, de débogage, de conformité et de résolution de litiges :

• Journaux d'authentification : Toutes les tentatives de connexion (réussies et échouées) sont enregistrées avec l'adresse IP, l'agent utilisateur et la géolocalisation approximative.
• Journaux d'erreurs : Les erreurs d'application sont enregistrées avec le nom du service, la méthode et le contexte de données pertinent (les données sensibles étant expurgées).
• Suivi de livraison des courriels : Le statut d'envoi des courriels (livré, rebondi, signalé, ouvert, cliqué) est suivi via les webhooks des fournisseurs de courriels.
• Suivi de livraison des SMS : Le statut de livraison et les réponses SMS sont suivis via les webhooks de VoIP.ms.
• Historique des transactions de crédits : Toutes les transactions de crédits sont des enregistrements immuables comprenant le type de transaction, le montant, le solde avant et après, et les métadonnées associées.
• Journaux d'inventaire : Les mouvements d'inventaire (entrée, sortie, verrouillé, ajustement, synchronisation, commande en attente) sont enregistrés avec les quantités avant et après.
• Journaux d'activité : Les actions des utilisateurs dans l'interface d'administration peuvent être enregistrées à des fins de piste d'audit.
• Journaux d'événements webhook : Les événements webhook entrants des processeurs de paiement, des fournisseurs de courriels et d'autres services sont enregistrés à des fins de débogage et de rapprochement.

Les Opérateurs de sites Web peuvent consulter les journaux pertinents de leur site Web via l'interface d'administration.

Le tableau suivant répertorie nos sous-traitants actuels. Nous informerons les Opérateurs de sites Web de tout changement important apporté à cette liste.

Note : Ollama (IA) et Speaches (reconnaissance vocale) fonctionnent sur notre propre infrastructure et ne sont pas des sous-traitants externes.

Nous pouvons mettre à jour la présente Politique de confidentialité de temps à autre. Nous vous informerons de tout changement important en publiant la politique mise à jour sur le Service et en mettant à jour la date de « Dernière mise à jour ». Lorsque la loi l'exige, nous fournirons un préavis d'au moins 30 jours avant l'entrée en vigueur des changements.

Votre utilisation continue du Service après l'entrée en vigueur des changements constitue votre acceptation de la Politique de confidentialité révisée.

Votre utilisation de Sitetra est également régie par nos Conditions d'utilisation, qui sont incorporées par référence dans la présente Politique de confidentialité.

Si vous avez des questions, des préoccupations ou des demandes concernant la présente Politique de confidentialité ou nos pratiques en matière de données, veuillez nous contacter :

RAPID DEV GROUP INC.
Faisant affaires sous le nom de Sitetra
Ontario, Canada

Demandes relatives à la vie privée : privacy@sitetra.com
Demandes générales : support@sitetra.com
Affaires juridiques et forces de l'ordre : legal@sitetra.com

Pour les plaintes ou demandes relatives à la vie privée dans des juridictions spécifiques :

• Canada : Commissariat à la protection de la vie privée du Canada (www.priv.gc.ca)
• Union européenne : Contactez votre autorité locale de protection des données
• Californie : Bureau du procureur général de la Californie