La présente politique de confidentialité est mise en œuvre par Productions Extrevent inc., une société dûment constituée en vertu des lois du Québec.
Pour toute question concernant la protection de vos renseignements personnels, pour exercer vos droits d'accès, de rectification ou de suppression de vos données, ou pour toute demande relative à la présente politique, vous pouvez communiquer avec nous par courriel à l'adresse: hello@silkfy.ca
Productions Extrevent inc. s'engage à traiter vos renseignements personnels conformément à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec ainsi qu'à toute autre législation applicable en matière de protection de la vie privée.
La présente Politique de confidentialité s’applique à l’ensemble des données collectées à compter de sa date d’entrée en vigueur et remplace toute politique antérieure.
La version la plus récente est accessible en tout temps à l’adresse silkfy.ca/politiques/confidentialite ainsi que sur demande par courriel à hello@silkfy.ca
La présente Politique de Confidentialité s’applique exclusivement aux Organisations ayant souscrit aux services Silkfy dans le cadre d’une relation commerciale (ci-après « le Client »).
Elle s’applique à toutes les personnes physiques agissant au nom ou pour le compte du Client, notamment :
Elle couvre les renseignements personnels traités dans le cadre de l’utilisation des services Silkfy.
Cette politique ne s’applique pas aux Utilisateurs finaux des contenus ou communications publiés par le Client. Ces personnes relèvent de la politique de confidentialité propre au Client, dont ce dernier demeure seul responsable à leur égard.
Aux fins de la présente Politique de Confidentialité, les termes suivants s’entendent comme suit :
« Organisation » ou « Client » désigne toute entreprise, société ou entité juridique ayant souscrit aux services Silkfy dans le cadre d’une relation commerciale.
« Silkfy » ou « Plateforme » désigne l’ensemble des outils, interfaces et services numériques développés et exploités par Silkfy, accessibles par le Client.
« Responsable du traitement » désigne la partie qui détermine les finalités et les moyens du traitement des renseignements personnels. Dans le cadre de la présente Politique, Silkfy agit à titre de responsable du traitement pour les renseignements personnels des représentants du Client, et le Client demeure responsable des renseignements personnels de ses propres Utilisateurs finaux.
« Renseignements personnels » désigne tout renseignement qui concerne une personne physique et permet de l’identifier, directement ou indirectement, notamment les coordonnées des personnes de contact, des représentants et des administrateurs du compte du Client, conformément à la définition prévue par la Loi 25.
« Données d’organisation » désigne les informations relatives à l’organisation en tant qu’entité juridique, lesquelles ne constituent pas des renseignements personnels au sens de la Loi 25.
« Compte Instagram professionnel » désigne le compte professionnel Instagram connecté à la Plateforme par le Client aux fins d’utilisation des services.
« Données Instagram » désigne l’ensemble des informations collectées depuis le Compte Instagram professionnel du Client par l’intermédiaire de l’API Meta, dans les limites autorisées par les conditions d’utilisation de Meta.
« Loi 25 » désigne la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, L.Q. 2021, c. 25, telle que modifiée, ainsi que la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P-39.1, qu’elle modifie.
« LPRPDE » désigne la Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, c. 5, loi fédérale applicable aux renseignements personnels traités dans le cadre d’activités commerciales interprovinciales ou internationales.
Silkfy collecte uniquement les renseignements personnels strictement nécessaires à la fourniture de ses services. Les catégories de données collectées sont les suivantes :
Dans le cadre de la création et de la gestion d’un compte Silkfy, nous collectons les renseignements d’identification de l’organisation, notamment:
Concernant la personne contact principale désignée par l’organisation, nous collectons:
Pour chaque administrateur du compte et employé autorisé à accéder à la Plateforme, nous collectons l’adresse courriel professionnelle, ainsi que le rôle et les permissions qui lui sont attribués.
Aux fins de facturation, nous collectons:
Les informations de paiement:
sont transmises directement à notre processeur de paiement tiers via une connexion chiffrée et sécurisée. Ces informations ne sont pas stockées directement dans les systèmes de Silkfy. Le code CVV n’est jamais conservé après la validation de la transaction.
Nous conservons également un historique de facturation comprenant:
Lors de la connexion du compte Instagram Professionnel de l’organisation à la Plateforme, Silkfy collecte, via le protocole OAuth de Meta:
Nous accédons également aux données publiques du profil Instagram de l’organisation soit:
Pour chaque publication (Reels, Carousel, Photos, Vidéos), Silkfy collecte:
les statistiques d’engagement disponibles via l’API de Meta, telles que:
En ce qui concerne les commentaires publiés sur les publications de l’organisation, nous collectons:
Silkfy ne collecte aucune autre donnée personnelle relative aux auteurs de ces commentaires. Silkfy détecte également les mentions du compte de l’organisation dans les stories et publications d’autres utilisateurs, en collectant:
Afin d’assurer le bon fonctionnement de la Plateforme et d’en améliorer les services, Silkfy collecte des données relatives à l’activité des comptes utilisateurs. Celles-ci comprennent:
Les configurations et contenus créés par l’organisation dans le cadre de ses campagnes de fidélisation sont également conservés, incluant:
Silkfy utilise des cookies et technologies similaires afin d’assurer le fonctionnement de la Plateforme, de mémoriser les préférences des utilisateurs et d’analyser l’utilisation du service. Ces technologies comprennent:
Des logs techniques sont également générés automatiquement et comprennent:
Silkfy collecte et utilise les renseignements personnels des Organisations uniquement pour des finalités déterminées, explicites et légitimes, conformément aux dispositions de la Loi 25. Chaque finalité repose sur une base légale spécifique décrite ci-dessous.
Art. 12 de la Loi 25
Les renseignements collectés sont utilisés en premier lieu pour assurer la fourniture des services auxquels l’organisation a souscrit. Cela comprend la création et le maintien du compte Silkfy, l’authentification et l’autorisation des accès à la Plateforme, ainsi que la gestion des permissions accordées aux administrateurs et employés autorisés.
Dans le cadre de l’intégration Instagram, les données collectées via l’API Meta permettent de connecter le compte de l’organisation à la Plateforme, de synchroniser les données Instagram afin d’assurer l’attribution automatique de points, de comparer les identifiants des Utilisateurs finaux avec les interactions détectées (commentaires, mentions), et d’afficher les statistiques d’engagement dans le tableau de bord.
Les données relatives aux campagnes de fidélisation sont utilisées pour assigner et gérer les campagnes actives, appliquer les règles d’attribution de points définies par l’organisation, et administrer le catalogue de récompenses ainsi que les échanges de points.
Enfin, les coordonnées des représentants de l’organisation sont utilisées pour envoyer les notifications liées au compte (confirmations, alertes, mises à jour), répondre aux demandes de support, fournir une assistance technique, ainsi que transmettre les factures et rappels de paiement.
Art. 12 de la Loi 25
Les informations de facturation et de paiement sont utilisées afin de facturer l’abonnement mensuel selon le plan souscrit par l’organisation, de traiter les paiements par carte de crédit via notre processeur de paiement tiers, d’émettre les factures et reçus correspondants, ainsi que de gérer les échecs de paiement et les relances nécessaires.
Ces données sont également conservées afin de respecter les obligations fiscales et comptables applicables, notamment en matière de TPS/TVQ, de maintenir des registres conformes aux lois canadiennes, et de répondre aux demandes des autorités fiscales compétentes si cela s’avère nécessaire.
Art. 12 de la Loi 25
Silkfy utilise certaines données techniques afin d’identifier les activités suspectes ou frauduleuses, notamment les tentatives de piratage, les abus du système de points, les créations de faux comptes et les usurpations d’identité.
Sur le plan de la sécurité du compte, ces données permettent de surveiller les connexions inhabituelles (adresses IP suspectes, tentatives répétées de connexion) et de protéger la Plateforme contre les attaques informatiques telles que les attaques DDoS ou les injections SQL.
Plus largement, Silkfy met en œuvre des mesures de chiffrement et de contrôle d’accès, effectue des sauvegardes régulières et procède aux investigations requises en cas d’incident de sécurité, afin d’assurer l’intégrité et la disponibilité continues de la Plateforme.
Art. 12 de la Loi 25
Les données d’utilisation de la Plateforme sont analysées afin d’identifier les fonctionnalités les plus utilisées, de détecter les bugs ou problèmes de performance, et de mieux comprendre les besoins des organisations en vue du développement de nouvelles fonctionnalités.
Silkfy peut également produire des statistiques agrégées et anonymisées portant sur l’utilisation globale de la Plateforme et la performance du service. Ces statistiques sont entièrement anonymisées et ne permettent en aucun cas d’identifier une organisation spécifique.
Ces analyses servent à prioriser le développement produit, à tester et améliorer l’expérience utilisateur, ainsi qu’à optimiser la performance générale de la Plateforme.
Art. 14 de la Loi 25
Silkfy ne transmet de communications à caractère marketing qu’avec le consentement explicite préalable de l’Organisation. Ces communications peuvent inclure des newsletters sur les nouvelles fonctionnalités, des invitations à des webinaires ou formations, des études de cas et guides de meilleures pratiques, ainsi que des propositions de mises à niveau ou de modules additionnels.
L’Organisation peut retirer son consentement et se désabonner à tout moment via le lien de désinscription inclus dans chaque courriel marketing. Il est toutefois précisé que les communications essentielles au service, telles que les factures, les alertes de sécurité et les avis relatifs au compte, ne peuvent faire l’objet d’un refus, car elles sont inhérentes à l’exécution du contrat.
Art. 11 de la Loi 25
Certaines données sont conservées afin de permettre à Silkfy de respecter ses obligations légales et réglementaires. Cela inclut la conservation des factures et données comptables pendant une période de sept (7) ans conformément aux obligations fiscales applicables, ainsi que la capacité de répondre aux ordonnances judiciaires, assignations ou demandes d’autorités compétentes et de coopérer avec toute enquête légale ou réglementaire.
Le cas échéant, Silkfy procédera à la notification des incidents de sécurité à la Commission d’accès à l’information (CAI) conformément aux exigences de la Loi 25.
Par ailleurs, dans le cadre de son utilisation de l’API Instagram, Silkfy s’engage à respecter les conditions d’utilisation de Meta, à maintenir une politique de confidentialité conforme aux exigences de Meta, et à se soumettre aux audits de Meta si ceux-ci sont requis.
Art. 12 de la Loi 25
Silkfy peut conserver certaines données afin de documenter l’exécution de ses obligations contractuelles en cas de litige, de consigner les violations des Conditions d’Utilisation, et de défendre ses droits et intérêts légitimes devant toute instance compétente.
Conformément à la Loi 25, tout traitement de renseignements personnels effectué par Silkfy repose sur l’une des bases légales suivantes. Cette section précise le fondement juridique applicable à chaque catégorie de traitement.
Art. 12 de la Loi 25
Les traitements suivants sont nécessaires à l’exécution des Conditions d’utilisation conclu entre Silkfy et l’Organisation. Sans ces traitements, Silkfy serait dans l’impossibilité de fournir le service souscrit:
Il est important de noter que le refus de fournir les renseignements nécessaires à ces traitements empêche la conclusion ou l’exécution du contrat et prive l’Organisation de l’accès aux services de Silkfy.
Art. 14 de la Loi 25
Les traitements suivants reposent sur le consentement explicite et préalable de l’organisation. Ce consentement est recueilli de manière distincte et ne conditionne en aucune façon l’accès aux services de Silkfy:
L’Organisation peut retirer son consentement à tout moment et sans préjudice, via les mécanismes prévus à cet effet, sans que cela n’affecte la légalité des traitements effectués avant ce retrait ni la continuité des autres aspects du service.
Art. 12 de la Loi 25
Les traitements suivants sont fondés sur l’intérêt légitime de Silkfy, lequel a été mis en balance avec les droits et libertés de l’Organisation afin de s’assurer qu’il ne leur porte pas atteinte de manière excessive:
Ces traitements ont fait l’objet d’un test de proportionnalité. Silkfy a déterminé qu’ils sont nécessaires à la poursuite de ses activités, qu’ils sont proportionnés aux finalités visées, et qu’ils ne portent pas atteinte de manière déraisonnable aux droits des organisations concernées.
Art. 11 de la Loi 25
Certains traitements sont imposés à Silkfy par la loi, indépendamment de tout consentement ou contrat. Ils comprennent:
Silkfy ne partage les renseignements personnels des Organisations qu’avec les tiers strictement nécessaires à la fourniture de ses services, et uniquement dans les conditions décrites ci-dessous.
Afin d’assurer le fonctionnement de la Plateforme, Silkfy fait appel aux sous-traitants suivants, avec lesquels des accords de traitement de données conformes à la Loi 25 ont été conclus:
Vercel assure l’hébergement de la Plateforme et l’infrastructure serveur. Ses serveurs sont situés aux États-Unis, avec possibilité de data centers au Canada. L’ensemble des données nécessaires au fonctionnement de la Plateforme y transite. Vercel détient les certifications SOC 2 et ISO 27001 et applique des mesures de chiffrement et de contrôle d’accès strictes.
Supabase héberge la base de données PostgreSQL de Silkfy, dans laquelle sont stockées toutes les données structurées, notamment les comptes, campagnes et données Instagram. La région Canada est privilégiée afin d’assurer la conformité avec la Loi 25. Les données sont chiffrées au repos et en transit, et des sauvegardes automatiques sont effectuées régulièrement.
Le traitement des paiements par carte de crédit est confié à Zoho Payments, processeur de paiement certifié PCI-DSS niveau 1, dont les serveurs sont situés aux États-Unis. Les informations de carte de crédit, les montants et les détails de facturation lui sont transmis de manière sécurisée via tokenisation et chiffrement conformément aux standards de sécurité de Zoho. Silkfy ne stocke jamais les numéros de carte complets ; ces informations sont détenues exclusivement par Zoho Payments.
Pour plus d’informations sur les pratiques de sécurité et de confidentialité de Zoho, vous pouvez consulter la politique de confidentialité de Zoho à l’adresse : https://www.zoho.com/privacy.html.
L’envoi des courriels transactionnels et marketing est assuré par Brevo, dont les serveurs sont situés en Europe (France). Les adresses courriel, noms et contenus des courriels y sont transmis, avec un chiffrement TLS et une authentification SPF/DKIM appliqués en tout temps. Brevo est conforme au RGPD, ce qui offre un niveau de protection des données équivalent ou supérieur aux exigences de la Loi 25.
Meta fournit l’API Instagram permettant l’intégration du compte de l’organisation à la Plateforme. Le token d’accès OAuth et les requêtes API nécessaires à la récupération des données Instagram sont échangés avec Meta, dont les serveurs sont situés aux États-Unis. Il est précisé que le flux de données s’effectue de Meta vers Silkfy, et non l’inverse. Silkfy s’engage à respecter les conditions d’utilisation de l’API imposées par Meta.
Silkfy peut être légalement contrainte de divulguer des renseignements personnels en réponse à une ordonnance judiciaire, une assignation, une demande de la Commission d’accès à l’information (CAI), une demande des autorités fiscales (Revenu Québec, Agence du revenu du Canada) ou dans le cadre d’une enquête criminelle ou réglementaire. Dans la mesure où la loi le permet, Silkfy s’engage à notifier l’organisation concernée avant de procéder à une telle divulgation.
Les avocats, comptables et auditeurs de Silkfy peuvent avoir accès aux renseignements personnels dans la stricte mesure nécessaire à la prestation de leurs services professionnels. Ces personnes sont liées par des obligations de confidentialité strictes.
En cas de fusion, d’acquisition, de vente d’actifs ou de réorganisation de Productions Extrevent Inc., les renseignements personnels des organisations clientes pourraient être transférés au cessionnaire. L’Organisation sera préalablement notifiée, et le cessionnaire sera tenu de respecter la présente Politique de confidentialité.
Silkfy applique des durées de conservation strictement limitées aux finalités pour lesquelles les données ont été collectées. Les données sont supprimées ou anonymisées dès qu’elles ne sont plus nécessaires, conformément aux exigences de la Loi 25.
Durant toute la période d’abonnement, les données du compte de l’organisation sont conservées et mises à jour en temps réel afin d’assurer le bon fonctionnement de la Plateforme.
Les données Instagram sont synchronisées régulièrement, quotidiennement ou en temps réel selon les capacités de l’API Meta, et l’historique est conservé afin de permettre l’analyse des performances. Les données de facturation sont conservées pendant toute la durée de l’abonnement et au-delà, conformément aux obligations légales décrites ci-dessous. Les logs de connexion sont quant à eux conservés pendant une période de douze (12) mois, tandis que les données d’analytique agrégées et anonymisées sont conservées indéfiniment, celles-ci ne permettant plus d’identifier une organisation spécifique.
À la résiliation de l’abonnement, les durées de conservation suivantes s’appliquent selon la nature des données:
À la suite de la résiliation, le compte est désactivé mais les données sont conservées pendant une période de trente (30) jours afin de permettre la réactivation du compte si l’organisation le souhaite, ou l’export des données sur demande. À l’expiration de ce délai, les informations de contact, paramètres et campagnes sont supprimés de manière définitive.
Le compte Instagram est automatiquement déconnecté à la résiliation. Les données Instagram collectées sont supprimées dans les trente (30) jours suivant la résiliation. Font exception à cette règle les historiques de points déjà attribués aux Utilisateurs Finaux, lesquels sont conservés en raison de leur lien avec le programme de fidélisation.
Les données de facturation, incluant les factures, montants, dates et informations de paiement, sont conservées pendant une période de sept (7) ans conformément aux obligations fiscales canadiennes applicables en matière de TPS/TVQ et d’impôt sur le revenu. À l’expiration de ce délai, elles sont supprimées de manière définitive.
Lorsqu’un litige est en cours ou prévisible au moment de la résiliation, les données strictement nécessaires à la défense des droits de Silkfy sont conservées jusqu’à la résolution du litige, puis pendant une période additionnelle de trois (3) ans correspondant au délai de prescription applicable au Québec.
La suppression des données s’effectue en deux étapes.
Dans un premier temps, une suppression logique est appliquée: les enregistrements sont marqués comme supprimés dans la base de données et deviennent immédiatement inaccessibles.
Dans un second temps, une suppression physique est effectuée à l’expiration du cycle de rétention des sauvegardes, soit dans un délai maximum de quatre-vingt dix (90) jours. Une fois supprimées définitivement, les données ne peuvent plus être récupérées, y compris par Silkfy.
Les sauvegardes automatiques peuvent contenir des données supprimées pendant une durée maximale de quatre-vingt dix (90) jours. À l’issue de ce délai, les données supprimées sont également effacées de l’ensemble des sauvegardes.
L’Organisation peut à tout moment demander la suppression de son compte et de l’ensemble des données associées en adressant une demande par courriel à hello@silkfy.ca. Silkfy s’engage à traiter cette demande et à procéder à la suppression dans un délai maximum de trente (30) jours.
Certaines données ne peuvent toutefois pas être supprimées immédiatement en raison des exceptions suivantes, dont l’organisation sera expressément informée:
Silkfy met en œuvre des mesures de sécurité techniques et organisationnelles appropriées afin de protéger les renseignements personnels des organisations clientes contre tout accès non autorisé, divulgation, altération ou destruction.
Toutes les communications entre l’Organisation et la Plateforme sont chiffrées via HTTPS/TLS (minimum TLS 1.2). Les données sensibles, notamment les tokens OAuth Instagram, sont chiffrées dans la base de données selon les standards de l’industrie (AES-256). Les sauvegardes font l’objet du même niveau de chiffrement.
L’accès à la Plateforme est sécurisé par une authentification sans mot de passe. Lors de chaque connexion, un code de vérification à usage unique est envoyé à l’adresse courriel professionnelle de l’utilisateur, lequel doit le saisir dans la Plateforme pour y accéder. Cette approche offre une sécurité équivalente à l’authentification à deux facteurs (2FA) en combinant la possession du compte courriel et la saisie du code. Un contrôle d’accès basé sur les rôles (RBAC) est appliqué, garantissant que chaque administrateur dispose uniquement des permissions nécessaires à l’exercice de ses fonctions, conformément au principe du moindre privilège.
La Plateforme bénéficie des protections offertes par ses infrastructures techniques. Vercel assure une protection de base contre les attaques par déni de service (DDoS), tandis que Supabase applique des mécanismes de sécurité au niveau de la base de données, notamment la prévention des injections SQL via le Row Level Security et la limitation du taux de requêtes. Des correctifs de sécurité sont appliqués régulièrement afin de maintenir l’intégrité de la Plateforme.
Des sauvegardes automatiques quotidiennes de l’ensemble des données sont effectuées et conservées pendant un minimum de trente (30) jours. Ces sauvegardes sont géographiquement distribuées sur plusieurs data centers afin d’assurer la redondance.
Seul le personnel autorisé de Silkfy, développeurs, équipe de support technique et dirigeants, a accès aux données des Organisations, dans la stricte limite de leurs fonctions. Tout accès est révoqué immédiatement en cas de départ d’un employé.
L’ensemble du personnel de Silkfy reçoit une formation sur la protection des données personnelles et la cybersécurité, incluant une sensibilisation aux menaces telles que le phishing et l’ingénierie sociale. Tous les employés sont tenus de signer un accord de confidentialité avant d’accéder aux systèmes de Silkfy.
Silkfy maintient une politique de sécurité de l’information documentée et mise à jour annuellement, une politique de gestion des incidents définissant les procédures de détection, de confinement et de résolution des incidents de sécurité, ainsi qu’une politique de mots de passe imposant des exigences de complexité et un renouvellement régulier pour l’ensemble du personnel.
Des audits de sécurité internes sont réalisés régulièrement, complétés par une surveillance continue des systèmes incluant l’analyse des logs, la gestion des alertes et la détection d’anomalies.
Silkfy fait appel à des sous-traitants reconnus de l’industrie disposant de leurs propres certifications et politiques de sécurité. En utilisant leurs services, Silkfy accepte leurs accords de traitement de données respectifs. En cas d’incident de sécurité majeur chez un sous-traitant, Silkfy procédera à une réévaluation de la relation et en informera les organisations affectées si nécessaire.
Malgré l’ensemble des mesures mises en place, Silkfy ne peut garantir une sécurité absolue. Tout système connecté à internet comporte des risques inhérents, notamment de piratage ou d’interception de données, que Silkfy ne peut entièrement éliminer.
À ce titre, l’Organisation assume la responsabilité de maintenir la confidentialité de ses identifiants de connexion et de ne pas partager ses accès avec des personnes non autorisées. Toute utilisation non autorisée suspectée ou toute faille de sécurité détectée doit être signalée immédiatement à Silkfy à l’adresse hello@silkfy.ca.
Silkfy prend au sérieux tout événement pouvant compromettre la confidentialité, l’intégrité ou la disponibilité des renseignements personnels des Organisations, et s’engage à y répondre de manière transparente et diligente, conformément aux obligations de la Loi 25
Constitue un incident de sécurité tout événement entraînant un accès non autorisé aux renseignements personnels de l’organisation, une divulgation accidentelle ou illégale de données, une destruction, perte, altération ou modification non autorisée de données, une attaque informatique, ou la perte d’équipement contenant des données non chiffrées.
Silkfy s’appuie sur les outils de surveillance fournis par ses infrastructures techniques pour détecter les anomalies. En cas d’incident confirmé, des mesures sont prises sans délai pour en limiter l’impact et protéger les données affectées.
Silkfy s’engage à notifier l’Organisation affectée dans un délai de soixante douze (72) heures suivant la découverte de l’incident, par courriel à l’adresse principale du compte. Cette notification comprend la nature de l’incident, les catégories de données concernées, le nombre approximatif d’organisations affectées, les conséquences probables, ainsi que les mesures prises ou envisagées. Les coordonnées du point de contact chez Silkfy sont également communiquées.
Conformément à l’article 3.5 de la Loi 25, Silkfy notifie la CAI dès que possible lorsqu’un incident présente un risque de préjudice sérieux pour une organisation ou ses représentants. Un rapport détaillé conforme aux exigences de la CAI est alors produit.
Silkfy procède à une investigation pour identifier la cause de l’incident, corriger la faille identifiée et renforcer les mesures de sécurité afin de prévenir toute récurrence. Si l’Organisation en fait la demande, Silkfy s’efforcera de lui communiquer un résumé des conclusions de cette investigation.
L’Organisation qui découvre un incident de sécurité résultant de ses propres actions ou négligences, tel qu’un partage non autorisé d’accès ou une compromission de son compte courriel, doit en informer Silkfy dans un délai maximum de vingt-quatre (24) heures suivant la découverte. L’Organisation est tenue de coopérer pleinement avec Silkfy pour investiguer l’incident et en limiter les conséquences.
Lorsqu’un incident résulte d’une négligence ou d’une violation des Conditions d’utilisation par l’Organisation, celle-ci assume les responsabilités légales et les coûts en découlant.
Conformément à l’article 3.7 de la Loi 25, Silkfy tient un registre interne de tous les incidents de sécurité. Ce registre consigne la date, la nature de l’incident, les catégories de données affectées, les mesures prises et les notifications effectuées.
L’Organisation peut demander des informations relatives aux incidents l’ayant directement affectée. La CAI peut exiger l’accès à ce registre dans le cadre d’un audit ou d’une enquête.
Conformément à la Loi 25, l’Organisation et les personnes physiques qui la représentent disposent des droits suivants à l’égard des renseignements personnels que Silkfy détient à leur sujet.
Art. 27 de la Loi 25
L’Organisation peut obtenir confirmation que Silkfy traite ses renseignements personnels et en recevoir une copie complète, incluant les informations du compte, les données Instagram, l’historique de facturation, les logs de connexion et les communications de support. L’Organisation peut également connaître les finalités du traitement et les tiers à qui ses données ont été communiquées.
Art. 29 de la Loi 25
L’Organisation peut demander la correction de tout renseignement inexact, incomplet ou équivoque, tel qu’une adresse courriel erronée, un numéro de téléphone à mettre à jour ou des informations de facturation incorrectes.
Art. 28 de la Loi 25
L’Organisation peut demander la suppression de son compte et de l’ensemble des renseignements personnels associés. Certaines données ne peuvent toutefois être supprimées immédiatement en raison d’obligations légales, notamment les données de facturation conservées sept (7) ans et les données nécessaires à la résolution d’un litige en cours. L’Organisation en sera expressément informée.
Art. 30 de la Loi 25
L’Organisation peut demander à recevoir ses renseignements personnels dans un format structuré, couramment utilisé et lisible par machine (CSV, JSON), afin de les transférer vers un autre fournisseur de services. Cette fonctionnalité d’export est actuellement en cours de développement et sera disponible prochainement.
Art. 14 de la Loi 25
L’Organisation peut retirer à tout moment son consentement aux communications marketing ou à l’utilisation de son logo et de sa marque à des fins promotionnelles par Silkfy. Ce retrait n’affecte pas la légalité des traitements effectués antérieurement.
Art. 12 de la Loi 25
L’Organisation peut s’opposer au traitement de ses données fondé sur l’intérêt légitime de Silkfy, à moins que Silkfy ne démontre des motifs légitimes impérieux justifiant la poursuite du traitement. À titre d’exemple, l’Organisation peut s’opposer à l’utilisation de ses données à des fins d’analyse et d’amélioration du service, ce qui pourrait toutefois affecter la qualité des services rendus.
L’Organisation peut porter plainte auprès de la Commission d’accès à l’information du Québec (CAI) si elle estime que Silkfy ne respecte pas ses obligations en vertu de la Loi 25. Les coordonnées de la CAI sont fournies à la clause 16 de la présente Politique.
Les demandes d’exercice de droits peuvent être adressées à Silkfy par le moyen suivant:
Afin de protéger les données de l’Organisation, Silkfy se réserve le droit de demander une preuve d’identité raisonnable avant de donner suite à toute demande, notamment par confirmation depuis l’adresse courriel associée au compte ou par vérification téléphonique.
Silkfy accuse réception de toute demande dans un délai de dix (10) jours ouvrables et y répond dans un délai maximum de trente (30) jours suivant la réception. Si la complexité de la demande le justifie, ce délai peut être prolongé de trente (30) jours supplémentaires, pour un total de soixante (60) jours, moyennant une justification écrite transmise à l’Organisation.
L’exercice des droits est gratuit. Toutefois, si des demandes sont manifestement infondées, répétitives ou abusives, Silkfy se réserve le droit de facturer des frais raisonnables ou de refuser d’y donner suite.
Lorsque Silkfy ne peut donner suite à une demande en raison d’une obligation légale ou d’une exception prévue par la loi, elle en informe l’Organisation par écrit en exposant les motifs du refus.
L’Organisation peut déconnecter son compte Instagram Professionnel de la Silkfy à tout moment, soit via les paramètres de la Plateforme, soit en révoquant directement l’accès depuis les paramètres de son compte Instagram Professionnel.
La déconnexion entraîne l’arrêt immédiat de la collecte de nouvelles données Instagram ainsi que la désactivation de l’attribution automatique de points basée sur Instagram. Les données Instagram collectées sont supprimées dans les trente (30) jours suivant la déconnexion, à l’exception de l’historique des points déjà attribués aux utilisateurs finaux, lequel est conservé en raison de sa nature transactionnelle.
L’Organisation demeure libre de reconnecter son compte Instagram à tout moment via le processus d’authentification.
Un cookie est un petit fichier texte stocké sur l’appareil de l’utilisateur par le navigateur web lors de la visite d’un site. Les cookies permettent de reconnaître l’appareil lors de visites ultérieures et de mémoriser certaines informations telles que les préférences ou la session de connexion.
Ces cookies assurent le bon fonctionnement de la Plateforme et sont indispensables à l’authentification. Ils comprennent notamment le cookie de session, qui maintient la connexion active pendant l’utilisation de la Plateforme, ainsi que le cookie CSRF, qui protège contre les attaques de falsification de requête intersite. Leur durée est limitée à la session ou à quelques heures. Aucun consentement n’est requis pour ces cookies, car ils sont strictement nécessaires au service.
Ces cookies mémorisent les choix de l’Organisation afin d’améliorer son expérience, notamment la langue sélectionnée et les paramètres d’affichage. Leur durée peut aller jusqu’à un (1) an.
L’Organisation peut à tout moment gérer les cookies via les paramètres de son navigateur, notamment en bloquant ou supprimant les cookies existants. Il est toutefois précisé que le blocage des cookies essentiels empêchera le bon fonctionnement de la Plateforme, notamment la connexion au compte.
Brevo, notre service d’envoi de courriels, utilise des balises web dans les courriels transactionnels afin de mesurer si un courriel a été ouvert. Cette pratique est standard et inhérente au fonctionnement du service. Il est possible de la désactiver en configurant son client de messagerie pour bloquer le chargement des images distantes.
La Plateforme utilise les technologies HTML5 de stockage local afin de mémoriser temporairement certaines préférences et données de session directement dans le navigateur. Le « Session Storage » est effacé à la fermeture du navigateur, tandis que le « Local Storage » peut persister jusqu’à sa suppression manuelle.
Actuellement, seuls des cookies essentiels au fonctionnement de la Plateforme sont utilisés, lesquels ne requièrent pas de consentement préalable.
Silkfy peut contenir des liens vers des sites web ou services tiers, notamment le site de Meta dans le cadre de la connexion du compte Instagram Professionnel, des ressources et documentations externes, ainsi que les sites de sous-traitants pour la gestion des paiements.
Silkfy n’est pas responsable des pratiques de confidentialité, des politiques de protection des données, des contenus, ni de la sécurité ou de la fiabilité de ces sites tiers. Ces sites sont exploités par des entités entièrement indépendantes de Productions Extrevent Inc. et disposent de leurs propres politiques de confidentialité et conditions d’utilisation, sur lesquelles Silkfy n’exerce aucun contrôle.
Silkfy encourage l’Organisation à consulter attentivement la politique de confidentialité de tout site tiers avant d’y fournir des renseignements personnels. En particulier, il est recommandé de prendre connaissance de la politique de confidentialité de Meta préalablement à la connexion du compte Instagram Professionnel. L’Organisation est également invitée à faire preuve de vigilance lors de la navigation sur des sites externes et à vérifier l’authenticité de ceux-ci avant d’y saisir des informations sensibles.
Pour référence, voici les politiques de confidentialité des principaux tiers mentionnés dans la présente Politique:
Silkfy se réserve le droit de modifier la présente Politique de confidentialité à tout moment, notamment en raison de l’évolution de la législation applicable, de l’ajout ou du retrait de fonctionnalités impliquant le traitement de nouvelles données, d’un changement de sous-traitants ou de localisation des données, ou encore d’une amélioration de la clarté du document.
Toute modification substantielle affectant les droits ou les obligations de l’Organisation fera l’objet d’une notification au moins trente (30) jours avant son entrée en vigueur, par courriel à l’adresse principale du compte ainsi que par l’affichage d’une bannière visible dans la Plateforme lors de la connexion. Les sections modifiées seront clairement identifiées dans la nouvelle version.
Les corrections typographiques, clarifications mineures ou reformulations sans impact matériel sur les droits de l’Organisation peuvent être effectuées avec un préavis de quinze (15) jours ou sans préavis, et sont communiquées par courriel ou via les notes de version de la Plateforme.
La poursuite de l’utilisation de la Plateforme après la date d’entrée en vigueur des modifications constitue l’acceptation de la nouvelle Politique de confidentialité.
L’Organisation est réputée en avoir pris connaissance et l’avoir acceptée.
Si l’Organisation refuse des modifications substantielles, elle peut résilier son abonnement avant la date d’entrée en vigueur en adressant une notification écrite à Silkfy. La résiliation prend effet à la fin de la période de facturation en cours. La suppression du compte et des données associées peut également être demandée conformément à la clause 8.4 de la présente Politique.
En cas de fusion, d’acquisition, de vente d’actifs, de réorganisation ou de tout autre changement de contrôle de Productions Extrevent Inc., les renseignements personnels des Organisations peuvent être transférés au cessionnaire ou à l’entité acquéreuse dans le cadre de cette transaction.
Le cessionnaire sera contractuellement tenu de respecter la présente Politique de confidentialité pour l’ensemble des données transférées. Les engagements en matière de sécurité et de confidentialité demeureront en vigueur sans interruption.
Silkfy s’engage à notifier l’Organisation au moins trente (30) jours avant le transfert effectif des données, par courriel à l’adresse principale du compte ainsi que par une annonce publiée dans la Plateforme.
Si le transfert entraîne une dégradation substantielle de la protection des données ou des modifications que l’Organisation juge inacceptables, celle-ci dispose du droit de résilier son abonnement avant la date effective du transfert et de demander la suppression de l’ensemble de ses données, sous réserve des obligations légales de conservation décrites à la clause 8.
Le cessionnaire s’engage à maintenir le service Silkfy selon les mêmes conditions contractuelles, l’Organisation conservant l’ensemble de ses droits, notamment l’accès à la Plateforme et au support technique. Toute modification ultérieure des conditions du service sera traitée conformément à la procédure prévue à la clause 14.
Si le cessionnaire souhaite appliquer sa propre politique de confidentialité en remplacement de la présente, il devra en notifier l’Organisation et en obtenir le consentement selon les modalités prévues à la clause 14, avant toute entrée en vigueur.
Conformément à l’article 3.1 de la Loi 25, Productions Extrevent Inc. a désigné un responsable de la protection des renseignements personnels (RPRP):
Nom : Samuel Labbé
Courriel : samuel@silkfy.ca
Le responsable désigné est chargé de recevoir et de traiter les demandes d’exercice de droits, de répondre aux questions relatives à la présente Politique, de gérer les incidents de sécurité et d’assurer la conformité de Silkfy avec la Loi 25 et la LPRPDE.
Pour toute question concernant la présente Politique ou les pratiques de Silkfy en matière de protection des données, l’Organisation peut communiquer avec nous:
Silkfy s’engage à répondre à toute demande d’information dans un délai de cinq (5) jours ouvrables.
Si l’Organisation estime que Silkfy ne respecte pas la présente Politique ou les obligations découlant de la Loi 25, elle peut déposer une plainte auprès du responsable désigné aux coordonnées indiquées à la clause 16.1.
La plainte est traitée selon la procédure suivante :
Silkfy s’engage à traiter toutes les plaintes avec sérieux et à prendre les mesures correctives appropriées.
Si l’Organisation n’est pas satisfaite de la réponse de Silkfy ou estime que ses droits n’ont pas été respectés, elle peut porter plainte auprès de la Commission d’accès à l’information du Québec, autorité de surveillance chargée de l’application de la Loi 25:
Commission d’accès à l’information du Québec,
525, boulevard René-Lévesque Est, bureau 1.20,
Québec (Québec) G1R 5S9,
Un formulaire de plainte en ligne est disponible directement sur le site web de la CAI. La CAI dispose du pouvoir d’enquêter, d’ordonner des mesures correctives et d’imposer des sanctions en cas de violation de la Loi 25.
Commissariat à la protection de la vie privée du Canada,
Pour les plaintes relevant de la LPRPDE (loi fédérale canadienne) :
L’Organisation peut également intenter une action civile devant les tribunaux du Québec afin de réclamer des dommages-intérêts en cas de violation de ses droits en matière de protection des renseignements personnels.
La présente Politique de confidentialité est régie et interprétée conformément aux lois suivantes:
Tout litige découlant de la présente Politique de confidentialité ou s’y rapportant relève de la compétence exclusive des tribunaux du district judiciaire de Québec, province de Québec, Canada.
La présente Politique de confidentialité est rédigée en français, lequel constitue la version officielle et contraignante. En cas de traduction en anglais ou dans toute autre langue, la version française prévaut en cas de divergence ou d’ambiguïté.
