Notre engagement
MEMORA solutions s'engage à protéger les renseignements personnels conformément à la Loi 25 du Québec, au Règlement général sur la protection des données (RGPD) européen et à l'EU AI Act, selon le cas. Nous appliquons les principes de responsabilité proactive et de protection dès la conception, sans compromis.
Responsable de la protection des renseignements personnels
Titulaire : Stéphane Lapointe, Président de MEMORA solutions.
Courriel dédié : [email protected]
Le RPRP traite les demandes d'accès, de rectification et de retrait de consentement, et est le point de contact en cas d'incident.
Politique de gouvernance (résumé public)
Encadrement
La gouvernance repose sur quatre piliers : la direction (responsabilité ultime), le RPRP (surveillance opérationnelle), le comité IA (évaluation des systèmes à risque) et les ambassadeurs (veille terrain dans chaque équipe).
Mesures de sécurité
Nous appliquons le chiffrement TLS 1.3 en transit et AES-256 au repos, imposons l'authentification à deux facteurs (2FA) à tous les accès, effectuons une revue annuelle des droits d'accès et conservons des sauvegardes chiffrées hors site.
Gestion des incidents
Tout incident est signalé immédiatement au RPRP. Celui-ci évalue s'il crée un préjudice sérieux pour les personnes concernées. Si oui, la Commission d'accès à l'information (CAI) est notifiée sans délai, conformément à la Loi 25. Pour les données européennes, le délai RGPD de 72 heures s'applique. Pour les systèmes d'IA à haut risque, l'EU AI Act exige une déclaration dans les 15 jours.
Formation du personnel
Quatre niveaux de formation sont déployés : sensibilisation de base pour tous, modules intensifs pour les équipes techniques, ateliers dédiés aux gestionnaires, et formation spécialisée pour le RPRP et le comité IA.
Conservation et destruction
Les durées de conservation sont documentées par catégorie de données dans notre registre unique. À l'expiration, les renseignements sont détruits de façon sécurisée et irréversible.
Sous-traitants
Tous les sous-traitants signent un contrat écrit incluant les clauses obligatoires de l'article 28 du RGPD et des exigences équivalentes à celles de la Loi 25. Leur conformité est vérifiée avant tout transfert de données.
Évaluation des facteurs relatifs à la vie privée
Une Évaluation des facteurs relatifs à la vie privée (EFVP), aussi appelée AIPD, est réalisée pour tout nouveau projet impliquant un traitement à risque élevé. Elle est validée par le RPRP et le comité IA avant lancement.
Révision annuelle de la politique
Cette politique est révisée chaque année par le RPRP, en consultation avec la direction et le comité IA, pour refléter les évolutions légales, technologiques et organisationnelles.
Registre des activités de traitement (résumé public)
Conformément à l'article 30 du RGPD et à l'article 35 de la Loi 25, MEMORA tient un registre interne des activités de traitement, dont la version résumée publique est présentée ci-dessous. Le registre complet est accessible sur demande à la CAI dans le cadre de ses pouvoirs de surveillance, et au RPRP [email protected] pour toute personne concernée souhaitant exercer ses droits.
| Activité | Finalité | Catégorie de personnes | Type de données | Base légale | Sous-traitants principaux |
|---|---|---|---|---|---|
| Formulaire pré-rencontre (intake) | Qualification client + cadrage projet | Prospects PME québécois | Identité, coordonnées, projet, fichiers | Consentement + intérêt légitime | cPanel hébergeur (Canada) |
| Boîte courriel + alias | Communication clients | Clients + prospects | Coordonnées, conversations | Contractuelle | Microsoft 365, cPanel |
| CRM Contacts | Suivi relation | Clients + prospects | Identité, conversations SMS/email | Contractuelle + intérêt légitime | VoIP.ms (USA - clauses contractuelles types) |
| Réservations consultation | Planification rendez-vous | Clients + prospects | Identité, créneau, sujet | Contractuelle | Google Workspace |
| Chatbot Léo | Orientation services | Visiteurs site | Conversation transitoire | Intérêt légitime art. 6(1)(f) | OpenRouter (USA) ; voir Annexe transferts |
| Analytics GA4 | Mesure d'audience site | Visiteurs site (consentants) | Pseudonymisé | Consentement | Google LLC (USA) |
| Facturation Stripe + QuickBooks | Comptabilité | Clients | Identité, transactions | Obligation légale (impôts) | Stripe + Intuit |
| Téléphonie VoIP | Communications téléphoniques | Clients + prospects | Numéros, durées, enregistrements (si activé) | Contractuelle | VoIP.ms (USA) |
Comment exercer vos droits
Vous pouvez exercer vos droits (accès, rectification, retrait de consentement, etc.) en consultant la section « Vos droits » de notre politique de confidentialité. Nous répondons à toute demande dans un délai maximum de 30 jours. En cas de refus, nous motivons notre décision.
Pour le droit spécifique à l'explication d'une décision automatisée par un système d'IA (Loi 25 art. 12.1, RGPD art. 22, AI Act art. 86), consultez notre page dédiée : Droit à l'explication des décisions automatisées.
Comment formuler une plainte
Étape 1. Contactez le RPRP à [email protected]. Vous recevrez un accusé de réception sous 48 heures ouvrables.
Étape 2. Si vous n'êtes pas satisfait de notre réponse, vous pouvez déposer une plainte auprès de la Commission d'accès à l'information du Québec :
- Site : cai.gouv.qc.ca.
- Téléphone : 1 888 528-7741.
- Courriel : [email protected].
Politique complète sur demande
La version intégrale de notre politique de gouvernance des renseignements personnels est disponible sur demande écrite adressée au RPRP à l'adresse [email protected].
Version 1.0, publiée le 30 avril 2026. Prochaine révision prévue : avril 2027.
