Politique de confidentialité

Dernière mise à jour : 2 juin 2026 · Version 1.3

1. Responsable du traitement

SubmitX Inc. (ci-après « SubmitX », « nous ») est le responsable du traitement de vos données personnelles. Pour nous joindre : autosubmitx@gmail.com · 514-835-8734 · Montréal, Québec, Canada.

2. Données collectées

Nous collectons les types de données suivants :

• Données d'identification : nom, prénom, courriel professionnel, numéro de téléphone
• Données d'entreprise : nom de l'entreprise, numéro RBQ, adresse, secteur d'activité
• Données d'utilisation : pages visitées, fonctionnalités utilisées, durée des sessions (via PostHog, sans identification personnelle par défaut)
• Données de facturation : coordonnées de paiement (gérées par Stripe — SubmitX ne stocke jamais vos numéros de carte)
• Données de projet : soumissions, clients, projets créés dans la plateforme
• Données techniques : adresse IP, type de navigateur, système d'exploitation (pour la sécurité et le débogage)

3. Intégration Gmail — Services Google API

SubmitX propose une intégration optionnelle avec Gmail via l'API Google. Si vous choisissez de connecter votre compte Gmail, nous accédons aux données suivantes :

• Lecture de vos courriels (portée gmail.readonly) — pour afficher votre boîte de réception dans SubmitX et associer automatiquement les courriels à vos projets de construction.
• Envoi de courriels en votre nom (portée gmail.send) — pour envoyer des soumissions, relances et messages à vos clients directement depuis SubmitX.

Ce que nous ne faisons PAS avec vos données Gmail :

• Nous ne partageons pas le contenu de vos courriels avec des tiers.
• Nous n'utilisons pas vos courriels à des fins publicitaires ou de ciblage.
• Nous ne vendons pas vos données Gmail.
• Nous n'analysons pas vos courriels personnels non liés à vos projets de construction.
• Nous n'utilisons pas les données Gmail pour entraîner des modèles d'intelligence artificielle généralisés.
• Aucun employé SubmitX ne lit vos courriels, sauf : (a) avec votre consentement explicite, (b) pour des raisons de sécurité (enquête sur un abus signalé), (c) lorsque la loi l'exige, ou (d) sous forme agrégée et anonymisée pour le débogage interne.

Conformité « Limited Use » — Google API Services User Data Policy :

L'utilisation et le transfert par SubmitX des informations reçues des API Google vers toute autre application respectent la Google API Services User Data Policy, y compris les exigences d'utilisation limitée (Limited Use). Concrètement :

• Nous n'utilisons les données Gmail que pour fournir ou améliorer les fonctionnalités directement visibles par l'utilisateur dans SubmitX (envoi de soumissions, classification des réponses clients, détection des suivis).
• Nous ne transférons pas les données Gmail à des tiers sauf si nécessaire pour fournir ou améliorer ces fonctionnalités, pour nous conformer à la loi applicable, ou dans le cadre d'une fusion/acquisition avec consentement explicite.
• Nous n'utilisons pas les données Gmail pour cibler de la publicité.

Vous pouvez révoquer l'accès de SubmitX à votre compte Gmail à tout moment depuis myaccount.google.com/permissions ou depuis vos paramètres SubmitX (Paramètres → Intégrations → Gmail → Déconnecter).

4. Finalités du traitement

Vos données sont utilisées pour :

• Fournir, maintenir et améliorer les services SubmitX
• Gérer votre compte et votre abonnement
• Vous envoyer des communications liées au service (notifications, factures, alertes)
• Envoyer des communications marketing si vous y avez consenti (max. 1 courriel/mois)
• Respecter nos obligations légales (fiscalité, comptabilité)
• Améliorer nos algorithmes d'IA (uniquement sur données agrégées et anonymisées)

5. Base légale du traitement

• Exécution du contrat : traitement nécessaire pour vous fournir les services souscrits
• Consentement : pour les communications marketing (révocable à tout moment)
• Intérêt légitime : pour la sécurité, la prévention de la fraude et l'amélioration des services
• Obligation légale : pour la conservation de données comptables

6. Partage des données

Nous ne vendons jamais vos données personnelles. Nous pouvons partager vos données avec :

• Sous-traitants techniques : Supabase (hébergement BDD, Canada/USA), Stripe (paiement, USA), Resend (courriel, USA), PostHog (analytique, USA — données anonymisées)
• Autorités légales : uniquement si requis par la loi canadienne ou québécoise

Tous nos sous-traitants sont soumis à des accords de traitement de données conformes aux exigences de la Loi 25.

7. Hébergement et transferts internationaux

Vos données sont principalement hébergées au Canada (Supabase Canada East — Toronto). Certains sous-traitants (Stripe, PostHog) traitent des données aux États-Unis, conformément aux mécanismes de transfert approuvés (Standard Contractual Clauses).

8. Durée de conservation

• Données de compte actif : conservées pendant toute la durée de votre abonnement
• Après résiliation : données archivées 12 mois (pour permettre la réactivation), puis supprimées
• Données comptables : conservées 7 ans (obligation légale fiscale)
• Journaux de sécurité : conservés 90 jours

9. Vos droits (Loi 25)

Conformément à la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25), vous avez le droit de :

• Accès : obtenir une copie de vos données personnelles
• Rectification : corriger des données inexactes
• Suppression : demander l'effacement de vos données (sous réserve des obligations légales)
• Portabilité : recevoir vos données dans un format structuré et lisible
• Opposition : vous opposer à certains traitements, notamment marketing
• Retrait du consentement : retirer votre consentement à tout moment

Pour exercer vos droits, contactez notre responsable de la protection des données à : autosubmitx@gmail.com. Nous répondons dans un délai de 30 jours.

10. Sécurité

SubmitX met en œuvre des mesures techniques et organisationnelles pour protéger vos données :

• Chiffrement des données en transit (TLS 1.3) et au repos (AES-256)
• Authentification multi-facteurs disponible pour tous les comptes
• Accès aux données limité au personnel autorisé (principe du moindre privilège)
• Tests de sécurité réguliers
• Politique de gestion des incidents de confidentialité (notification dans 72h en cas de brèche)

11. Témoins (cookies)

Nous utilisons des témoins de session nécessaires au fonctionnement du service, et des témoins analytiques anonymisés (PostHog) pour améliorer l'expérience. Vous pouvez refuser les témoins analytiques sans impact sur le service.

12. Modifications

Toute modification significative de cette politique vous sera communiquée par courriel 30 jours avant son entrée en vigueur.

13. Contact

Responsable de la protection des données personnelles :

• Courriel : autosubmitx@gmail.com
• Téléphone : 514-835-8734
• Adresse : Montréal, Québec, Canada