Politique de
confidentialité.

InnovA S.E.N.C., société en nom collectif immatriculée au Registre des entreprises du Québec sous le NEQ 3380391717, siège social au 77, chemin de la Seigneurie, Inverness (Québec) G0S 1K0. InnovA développe et exploite la plateforme DictIA (transcription automatique par IA) et offre des services d’automatisation, d’intégration CRM et de développement SaaS sur mesure. Responsable de la protection des renseignements personnels (RPRP) conformément à l’article 3.1 de la Loi sur le secteur privé : Allison Rioux, Associée et RPRP.

• Données d’identification : nom, prénom, courriel, téléphone, adresse, identifiants de compte • Données audio : enregistrements soumis pour transcription via DictIA • Transcriptions : textes générés automatiquement, versions corrigées, résumés • Données biométriques vocales : vecteurs d’empreintes vocales extraits par la diarisation (consentement distinct requis) • Données d’utilisation : adresse IP, navigateur, pages consultées, journaux d’utilisation • Données de paiement : nom du titulaire, informations tokenisées (PCI-DSS), historique des transactions

Fourniture du service : créer et gérer les comptes, fournir les services de transcription/diarisation/traitement linguistique, support technique, facturation et paiements. Amélioration : analyser les tendances d’utilisation, diagnostics techniques, développer de nouvelles fonctionnalités. Important : InnovA n’utilise PAS les enregistrements audio, transcriptions ni empreintes vocales pour entraîner ses modèles d’IA, sauf consentement exprès séparé. Obligations légales : obligations fiscales/comptables, demandes des autorités, registre des incidents. Sécurité : protéger les comptes, prévenir les fraudes, journaux d’accès.

Le consentement est manifeste, libre, éclairé, spécifique et temporaire (art. 14+ Loi sur le secteur privé). Consentement implicite : données nécessaires au service de base (identification, paiement, données techniques). Consentement explicite requis pour : données biométriques vocales (art. 44 LCCJTI), utilisation des données pour améliorer les modèles IA, communication à des tiers non nécessaire au service, transfert hors Québec. Consentement pour les tiers : l’utilisateur qui soumet un enregistrement contenant la voix de tiers est responsable d’obtenir leur consentement. Retrait du consentement : possible à tout moment, sans effet rétroactif. Le retrait du consentement biométrique désactive la diarisation et détruit les empreintes vocales.

Témoins de connexion (cookies) : • Essentiels (session, sécurité) — pas de consentement requis • Performance (analyse de fréquentation) — jusqu’à 13 mois — consentement requis • Fonctionnels (préférences) — jusqu’à 12 mois — consentement requis Consultez notre Politique sur les témoins Outils d’analyse : données anonymisées, solutions hébergées au Canada privilégiées. Journaux d’application : identifiant utilisateur, date/heure, type d’opération, paramètres, codes d’erreur. Communications électroniques : données collectées via courriel, formulaire de contact.

InnovA ne vend, ne loue et ne commercialise pas vos renseignements personnels. Communication uniquement si : nécessaire à l’exécution du service (sous-traitants), exigée par la loi, ou avec consentement explicite. Sous-traitants : • OVH Canada — Hébergement serveurs — Beauharnois, Québec • Google Cloud Platform — Infrastructure — Montréal, Québec • Fournisseur de paiement — Paiements — Canada — Certifié PCI-DSS Toutes les données sont hébergées au Québec. Ententes contractuelles conformes à l’article 18.3.

• Données audio : 90 jours après la dernière transcription (suppression anticipée possible) • Transcriptions : durée du contrat + 30 jours • Données biométriques : durée du traitement + 90 jours max • Données d’inscription : durée du contrat + 3 ans (prescription civile) • Données de facturation : durée du contrat + 6 ans (obligations fiscales) • Consentements : durée du contrat + 3 ans • Journaux d’accès : 12 mois • Correspondance client : durée du contrat + 2 ans Destruction sécurisée : effacement cryptographique (NIST SP 800-88), destruction biométrique renforcée avec double vérification. L’utilisateur peut supprimer ses données depuis l’interface.

Mesures techniques : chiffrement AES-256 au repos, TLS 1.2+ en transit, contrôle d’accès (moindre privilège), authentification multifacteur, journalisation, segmentation réseau, pare-feu et détection d’intrusion, sauvegardes chiffrées au Québec. Mesures organisationnelles : politiques internes, ententes de confidentialité, formation du personnel, audits périodiques, procédure de gestion des incidents. Incident de confidentialité : en cas de risque de préjudice sérieux, InnovA prend les mesures pour diminuer les risques, avise la CAI et les personnes concernées, consigne au registre.

• Droit d’accès : connaître la nature de vos renseignements, les fins de collecte, les personnes y ayant accès, la durée de conservation • Droit de rectification : corriger toute information inexacte ou incomplète • Droit à la désindexation : cesser la diffusion d’un renseignement ou désindexer un hyperlien • Droit à la portabilité : recevoir vos données dans un format structuré et courant • Droit de retrait du consentement : à tout moment, sans effet rétroactif • Droit d’être informé des décisions automatisées Délai de réponse : 30 jours, prolongeable de 10 jours. Aucuns frais sauf si raisonnables et avisés à l’avance. Plainte à la CAI : www.cai.gouv.qc.ca, 1-888-528-7741.

DictIA utilise : WhisperX (transcription et diarisation), Mistral LLM (post-traitement linguistique). Vos droits : être informé qu’une décision est fondée sur un traitement automatisé, obtenir les raisons et paramètres, demander une révision humaine. Données biométriques : les empreintes vocales sont des caractéristiques biométriques (art. 44-45 LCCJTI). Consentement exprès requis, déclaration à la CAI effectuée, finalité limitée à la diarisation uniquement, conservation max 90 jours, destruction renforcée. Le refus de la diarisation n’empêche pas la transcription de base.

Par défaut, aucun transfert hors Québec (serveurs OVH Beauharnois + GCP Montréal). Si transfert exceptionnel : consentement explicite requis, évaluation des facteurs relatifs à la vie privée (EFVP), entente écrite avec protection équivalente, information de la personne sur le territoire de destination. Aucun transfert vers un territoire sans protection équivalente.