Loi 25 + RGPD + DPA : comment Manera traite vos données

Manera Technologies Inc. est une société constituée au Québec. Notre régime de confidentialité par défaut est la **Loi 25 du Québec** (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels), le régime de confidentialité provincial le plus strict d'Amérique du Nord, qui a été promulgué après le RGPD. Les clients de toute juridiction bénéficient par défaut d'un traitement de niveau Loi 25. Les clients européens bénéficient en plus du RGPD via notre DPA standard.

Cet article couvre ce que nous collectons, où cela vit, qui peut y accéder et comment exercer vos droits liés aux données.

En bref pour la diligence des achats

- **Régime principal :** Loi 25 du Québec (en vigueur depuis le 22 septembre 2023; modifications plus larges 2024-2025 en vigueur) - **Régime secondaire :** RGPD européen via une entente standard de traitement des données (DPA) signée à l'inscription - **Résidence des données :** Données clients stockées dans l'infonuagique commerciale canadienne (Cloudflare R2 + infrastructure Wise pour les données d'exécution FX); résidence européenne disponible sur demande - **Sous-traitants :** Stripe (facturation) · Wise (exécution FX) · Anthropic (API Claude pour la synthèse seulement — aucune donnée financière client envoyée au modèle) · Cloudflare (CDN + WAF + stockage R2) · Mailtrap (courriel transactionnel) - **DPA :** signé au moment du Stripe Checkout par adhésion; DPA long format pour les clients sovereign disponible sur demande - **Droit à l'effacement :** fenêtre d'exportation des données de 90 jours après l'annulation; suppression définitive par la suite - **SOC 2 Type II :** en cours, cible T4 2026; trousses de preuves pré-audit disponibles aujourd'hui pour la diligence des achats - **Délégué à la protection des données :** [email protected] (fondateur; au sens de la Loi 25, Personne responsable de la protection des renseignements personnels)

Ce que nous collectons (et ne collectons pas)

Ce que nous collectons

| Catégorie de données | Finalité | Stockage | Conservation | |---|---|---|---| | Adresse courriel | Auth de compte, courriel transactionnel | Cloudflare R2 (Canada) | Durée de vie + 90 j post-annulation | | ID client Stripe | Facturation | Stripe (PCI DSS niveau 1) | Durée de vie + 7 ans (fiscal) | | Nom de l'espace de travail + membres | Isolation par locataire | Cloudflare R2 (Canada) | Durée de vie + 90 j post-annulation | | Configuration des pétales (ex. paires FX que vous suivez) | Personnalisation | Cloudflare R2 (Canada) | Durée de vie + 90 j post-annulation | | Sorties de cartes-faits de synthèse | Chaîne d'audit (SHA-256) | Cloudflare R2 (Canada) | Durée de vie + 90 j post-annulation | | Télémétrie d'utilisation anonymisée | Amélioration produit | Cloudflare Analytics | 90 jours glissants |

Ce que nous **ne** collectons **pas**

- **Empreintes de navigateur, pixels de suivi IP, témoins publicitaires tiers.** Zéro. Nous utilisons l'analytique première-partie de Cloudflare avec anonymisation IP. Aucun Google Analytics, aucun Mixpanel, aucun Segment, aucun Hotjar. - **Spécifications matérielles des appareils.** Nous ne lisons pas les agents utilisateurs, nous ne faisons pas d'empreintes, nous ne faisons pas d'« ID machine ». - **Les renseignements personnels de vos clients.** Lorsque vous téléversez un livre de couverture ou un pipeline de candidats, le fichier est chiffré au repos dans votre locataire. Nous ne l'agrégeons jamais entre locataires. Nous n'entraînons jamais de modèles dessus. Nous ne le partageons jamais avec des sous-traitants au-delà de la liste. - **Les détails de vos transactions financières.** Wise exécute le mouvement FX sous votre subvention OAuth directe; Manera voit les métadonnées (montant, devises, horodatage) mais jamais les données bancaires intermédiaires. - **Tout ce qui est envoyé à l'API Anthropic Claude.** Lorsque la couche de synthèse appelle Claude, l'invite contient les cartes-faits pertinentes (que vous avez créées) plus les instructions de synthèse (que nous possédons). Les données financières clients, les enregistrements d'identité, les noms de candidats et les autres catégories de données réglementées sont explicitement supprimés avant l'appel API. Voir [Périmètre du sous-traitant Anthropic](/trust#anthropic) pour les règles exactes de redaction d'invite.

Où vivent les données

Résidence par défaut : Canada

- **Stockage principal :** Cloudflare R2 dans la région `ca-central-1` (Toronto) - **Stockage de sauvegarde :** Cloudflare R2 répliqué interrégions vers `eastern-canada` (Montréal) - **Périphérie CDN :** réseau périphérique mondial Cloudflare (terminaison TLS uniquement; aucune donnée applicative ne traverse la périphérie) - **Calcul :** processus Node/Python gérés par PM2 sur un hôte d'infonuagique commerciale canadienne

Résidence optionnelle : UE

Les clients européens peuvent demander une **résidence UE-uniquement**. Le stockage bascule vers Cloudflare R2 `eu-west-1` (Francfort), les sauvegardes vers `eu-north-1` (Stockholm). Les données d'exécution FX continuent via l'entité régulée européenne de Wise (Wise Europe S.A., Belgique). Le bascule ajoute environ 50 ms de latence de synthèse au premier appel (les appels suivants sont mis en cache à la périphérie).

Résidence optionnelle : Sovereign

Les clients du palier Sovereign peuvent demander un **locataire dédié** avec résidence personnalisée (par exemple R-U seulement, É-U seulement, AWS GovCloud, OVHcloud Sovereign). Cela est conçu sur mesure par client; engagement minimum trimestriel.

Sous-traitants

| Sous-traitant | Région | Finalité | Données partagées | |---|---|---|---| | Stripe, Inc. | Mondial | Facturation | ID client Stripe, courriel, 4 derniers chiffres de la carte | | Wise Plc | Mondial (régulé UE) | Exécution FX | Métadonnées d'exécution FX restreintes par OAuth | | Anthropic, PBC | É-U | Couche de synthèse (API Claude) | Texte des cartes-faits + instructions de synthèse; JAMAIS de données financières clients | | Cloudflare, Inc. | Mondial | CDN + WAF + stockage R2 | Tout le trafic terminé en TLS; données chiffrées au repos | | Mailtrap | UE | Courriel transactionnel | Adresse courriel + contenu transactionnel | | Cache d'invites Anthropic | É-U (géré par Anthropic) | Optimisation de performance | Extraits de cartes-faits mis en cache, TTL 7 jours, isolés par client |

La liste complète des sous-traitants est à [/trust](/trust). Les nouveaux sous-traitants sont annoncés 30 jours à l'avance par courriel et par mise à jour publiée à [/trust/sub-processors](/trust).

Spécificités de la Loi 25

La Loi 25 du Québec est le régime de confidentialité le plus strict du Canada et, sur quelques axes, plus strict que le RGPD. Manera est conçue pour la conformité Loi 25 dès le départ :

- **Article 4 — Personne responsable de la protection des renseignements personnels.** Désignée : **Kao Manirath, fondateur.** Contact : [email protected]. - **Article 8.1 — Évaluation des facteurs relatifs à la vie privée (EFVP).** Maintenue pour la plateforme; mise à jour trimestrielle. EFVP disponible aux clients sur demande. - **Article 9 — consentement explicite.** Aucune collecte de données au-delà de ce que vous avez configuré à l'inscription. Aucun schéma de « consentement implicite ». - **Article 11 — décision automatisée.** Lorsqu'une synthèse influence une décision (ex. NEIP signalant un pays comme à haut risque), nous divulguons les intrants et vous laissons l'écraser. La synthèse n'est pas la décision; vous l'êtes. - **Article 17 — notification d'incident de confidentialité.** Dans les 72 heures d'une violation matérielle confirmée, les clients touchés + la Commission d'accès à l'information sont notifiés. Le même seuil que celui du RGPD européen. - **Article 23 — droit à l'effacement.** Fenêtre d'exportation des données de 90 jours après l'annulation; suppression définitive par la suite, y compris des sauvegardes. - **Article 28 — portabilité des données.** Toutes les données exportables en JSON + CSV en tout temps, sans frais, sans friction. Libre-service depuis votre portail de facturation.

Spécificités du RGPD

Pour les clients européens, notre DPA standard est une annexe 2 aux conditions du Stripe Checkout. Elle couvre :

- **Article 28 — relation responsable-sous-traitant.** Le client est responsable de traitement; Manera est sous-traitant. Nous agissons uniquement sur instructions documentées (votre configuration des pétales). - **Article 30 — registres des activités de traitement.** Maintenus pour la plateforme; disponibles aux clients sur demande. - **Article 32 — sécurité du traitement.** Chiffrement en transit (TLS 1.3 minimum), chiffrement au repos (AES-256), contrôles d'accès (isolation monolocataire), pseudonymisation lorsque possible. - **Article 33 — notification de violation.** Dans les 72 heures d'une violation matérielle confirmée. - **Article 35 — AIPD.** Réalisée pour la plateforme; mise à jour trimestrielle. - **Article 44-49 — transferts internationaux.** Les données des clients européens restent dans l'UE (avec option de résidence UE). Les transferts non-européens vers les sous-traitants sont couverts par les clauses contractuelles types (CCT) signées à l'inscription. - **Article 17 — droit à l'effacement.** Même fenêtre de 90 jours que la Loi 25. - **Article 20 — portabilité des données.** Même exportation libre-service que la Loi 25.

Questions courantes des achats

**Q : Où trouver votre DPA ?** Joint automatiquement à votre reçu Stripe Checkout. DPA long format pour clients sovereign : courriel à [email protected].

**Q : Permettez-vous la résidence des données dans ma juridiction ?** Canada (par défaut) et UE disponibles aujourd'hui dans le Mesh Tier. R-U, É-U et résidence sovereign personnalisée dans le palier Sovereign.

**Q : Comment traitez-vous une demande d'accès aux données d'un client ?** Libre-service depuis le portail de facturation : bouton d'exportation totale des données. Renvoie JSON + CSV en quelques minutes. Aucune intervention du fondateur requise.

**Q : Quel est votre temps de réponse aux incidents ?** Dans les 72 heures d'une violation matérielle confirmée pour la notification (Loi 25 art. 17 + RGPD art. 33). Plan d'intervention interne testé trimestriellement.

**Q : SOC 2 Type II ?** En cours. Cible T4 2026. Trousses de preuves pré-audit disponibles maintenant : courriel à [email protected] avec le sujet « Trousse de preuves SOC 2 ».

**Q : ISO 27001 ?** Sur la feuille de route pour 2027 (après SOC 2 Type II). Nous ne poursuivons pas la 27001 avant la SOC 2 parce que le chevauchement des acheteurs est élevé.

**Q : HIPAA / RPS ?** Manera ne traite pas actuellement de RPS (renseignements personnels sur la santé). Nous ne sommes pas un Business Associate HIPAA et nous ne signons pas de BAA. Si votre cas d'utilisation requiert le traitement de RPS, le palier Sovereign avec locataire dédié est la voie; cadrage d'engagement requis.

Exercer vos droits

Pour exercer l'un des droits ci-dessous, écrivez à **[email protected]**. La plupart des droits sont aussi en libre-service depuis votre portail de facturation.

| Droit | Article Loi 25 | Article RGPD | Voie | |---|---|---|---| | Accès | 27 | 15 | Exportation libre-service | | Rectification | 28 | 16 | UI des paramètres de l'espace de travail | | Effacement | 28.1 | 17 | Annulation + fenêtre de 90 jours | | Portabilité | — | 20 | Exportation libre-service JSON+CSV | | Opposition au traitement | 9 | 21 | Courriel au DPO | | Retrait du consentement | 9 | 7 | Annulation depuis le portail de facturation | | Plainte | 51 | 77 | Commission d'accès à l'information du Québec / votre autorité locale |

Articles connexes

- [Notre feuille de route SOC 2 Type II (en cours)](/kb/soc2-roadmap) - [Doctrine de confiance](/trust) - [Politique de confidentialité](/privacy) - [Politique d'utilisation acceptable](/acceptable-use) - [Addendum de protection des données](/data-protection)

---

[← Retour à la base de connaissances](/kb) · [Confiance](/trust) · [Confidentialité](/privacy) · [Contacter le DPO](mailto:[email protected]?subject=Demande%20DPO)