MEMORA pratique la transparence radicale sur ses partenaires technologiques, ses incidents et sa gouvernance des données. Cette page rassemble en un seul endroit toutes les informations qui permettent à nos clients, prospects et partenaires de vérifier que nous tenons nos engagements éthiques et juridiques.
La transparence n'est pas un slogan : c'est une obligation à la fois légale (Loi 25 art. 3.2 et 8, RGPD art. 13-14, EU AI Act art. 13 et 50) et éthique. Nous publions ici ce que d'autres préfèrent garder enfoui dans des PDF d'avocats.
1. Sous-traitants principaux (sub-processors)
MEMORA documente toutes les conventions de sous-traitance (DPA — Data Processing Agreement) requises par le RGPD art. 28 et la Loi 25 art. 18. Pour consulter les DPA spécifiques, contactez le RPRP : [email protected].
| Sous-traitant | Service | Pays / juridiction | Type de données traitées | Base contractuelle (DPA) | Politique |
|---|---|---|---|---|---|
| Microsoft 365 | Courriel, calendrier, stockage Office | Canada (région Azure Canada East) | Courriels, contacts, documents | DPA standard Microsoft + clauses contractuelles types | microsoft.com/privacystatement |
| Google Workspace | Documents collaboratifs, Calendar Booking | États-Unis | Documents, événements | DPA Google + DPF transatlantique | privacy.google.com |
| OpenRouter | Routage requêtes IA chatbot Léo | États-Unis | Conversations IA pseudonymisées | Conditions OpenRouter | openrouter.ai/terms |
| Anthropic Claude | LLM Claude Sonnet (chatbot Léo) | États-Unis | Prompt utilisateur (transitoire) | Politique Anthropic + clauses CCT | anthropic.com/legal/privacy |
| OpenAI | LLM GPT-5/4 (fallback chatbot Léo) | États-Unis | Prompt utilisateur (transitoire) | DPA OpenAI + clauses CCT | openai.com/policies/privacy-policy |
| Cloudflare | CDN, sécurité bot, email obfuscation | Global (PoPs Canada + USA) | IP visiteurs, logs sécurité | DPA Cloudflare + DPF | cloudflare.com/privacypolicy |
| Stripe | Paiements en ligne | Canada + USA | Coordonnées paiement chiffrées (PCI-DSS) | DPA Stripe + clauses CCT | stripe.com/privacy |
| QuickBooks (Intuit) | Comptabilité | Canada + USA | Factures, transactions | DPA Intuit | intuit.com/privacy |
| VoIP.ms | Téléphonie SIP, SMS | Canada (Montréal) | Numéros tél., durées appels, SMS | Contractuelle VoIP.ms (Canada) | voip.ms/privacy |
| cPanel / WebPros | Hébergement serveur | Canada (server.memora.pro) | Toutes données site | Contractuelle hébergeur | webpros.com/privacy |
| Google Analytics 4 | Mesure d'audience site | États-Unis | Pseudonymisé, IP tronquée | Consentement + DPA Google | privacy.google.com |
| Meta Pixel | Remarketing publicité | États-Unis | Pseudonymisé événements site | Consentement + DPA Meta | facebook.com/privacy |
| Envato Elements | Licences photos/médias | Australie | Métadonnées commande (pas de données client) | Conditions Envato | elements.envato.com/license-terms |
2. Registre des incidents de confidentialité
Conformément à la Loi 25 art. 3.5/3.7 et au RGPD art. 33/34, MEMORA tient un registre interne des incidents de confidentialité. La version publique anonymisée ci-dessous fait état des incidents survenus depuis le 1er janvier 2026.
| Date | Type d'incident | Catégories de personnes affectées | Catégories de données concernées | Nombre approximatif | Nature des conséquences | Mesures prises | CAI notifiée ? |
|---|---|---|---|---|---|---|---|
| Aucun incident de confidentialité à signaler depuis le 1er janvier 2026. | |||||||
3. Rapport de transparence (transparency report)
Statistiques anonymisées des demandes reçues au cours des 12 derniers mois ou depuis le lancement du site memora.solutions.
| Métrique | 12 derniers mois |
|---|---|
| Demandes d'accès aux renseignements personnels (DSAR) reçues | 0 |
| Demandes de rectification reçues | 0 |
| Demandes d'effacement / portabilité | 0 |
| Demandes formelles d'autorités (mandats) | 0 |
| Demandes refusées (motif légal) | 0 |
| Délai moyen de réponse | N/A |
Données mises à jour mensuellement. Dernière mise à jour : 30 avril 2026.
4. Conformités et certifications
- ✓ TLS 1.3 — chiffrement bout en bout (certificat Let's Encrypt valide)
- ✓ WCAG 2.2 AA — accessibilité numérique (voir /accessibilite)
- ✓ Loi 25 (RLRQ c. P-39.1) — RPRP désigné, registre tenu, EFVP appliquée
- ✓ RGPD UE — art. 13, 14, 22, 28, 30, 32, 33, 34, 44-49, 86 documentés
- ✓ EU AI Act (Règlement 2024/1689) — art. 4 (formation), 50 (transparence chatbot), 52 (deepfake), 86 (droit explication)
- ✓ Code civil du Québec — art. 1474 limitation responsabilité conforme, art. 35-41 vie privée
- ✓ Triple verrou méthodologie (Loi 25 + RGPD + AI Act, plafond le plus haut retenu)
- → ISO/IEC 42001 + NIST AI RMF (cadres de référence appliqués)
5. Comment signaler un incident ou poser une question
- Pour signaler un incident : contact direct au RPRP [email protected] (délai d'accusé de réception : 24 h).
- Pour exercer vos droits : voir /politique-de-confidentialite §11 et /droit-explication-ia.
- Pour question éthique IA : [email protected].
6. Mises à jour et historique
- Première publication : 30 avril 2026.
- Mises à jour : trimestrielles + après tout incident significatif.
7. Liens utiles
- Charte d'utilisation responsable de l'IA
- Politique de confidentialité
- Politique de cookies
- Gouvernance des renseignements personnels
- Accessibilité
- Droit à l'explication des décisions automatisées
- Sources et bibliographie du livre
- Mentions légales
- Conditions d'utilisation
Dernière mise à jour : 30 avril 2026. Prochaine mise à jour : trimestrielle (juillet 2026).
