Politique de confidentialité

El Absi & Associés, CPA (ci-après « le cabinet », « nous », « notre ») est un bureau comptable virtuel offrant des services de conseil en fiscalité, audit, information financière, gestion de la performance, finance corporative et formation. Dans le cadre de ses activités, le cabinet est amené à traiter des renseignements personnels au sens de la Loi sur la protection des renseignements personnels dans le secteur privé (Québec), telle que modifiée par la Loi 25.

Cette politique s'applique à toute personne qui interagit avec nos services en ligne, notamment par l'intermédiaire de l'espace consultation propulsé par un agent conversationnel.

Conformément à l'article 3.1 de la Loi 25, le cabinet a désigné un Responsable de la protection des renseignements personnels (RPRP). Ses coordonnées sont :

• Rôle : Direction — Assurance qualité
• Courriel : privacy@elabsi-cpa.ca
• Adresse postale : Montréal, Québec, Canada

Le RPRP est votre interlocuteur pour toute question relative à cette politique, à l'exercice de vos droits ou à un incident présumé.

Dans le cadre de nos services, nous pouvons recueillir les catégories de renseignements personnels suivantes :

• Identité (facultative) : nom, prénom, lorsque vous choisissez de les fournir.
• Courriel (facultatif) : uniquement lorsque vous nous contactez ou exercez vos droits.
• Contenu des messages :les questions et précisions que vous saisissez dans l'espace consultation.
• Métadonnées techniques : adresse IP (hachée dans nos journaux), navigateur, horodatage, identifiants de session.
• Témoins de session et de consentement : voir la section « Cookies et traceurs ».
• Renseignements facultatifs de profil :type de profil sélectionné (senior, étudiant, client) afin d'adapter le registre et la profondeur des réponses.

Nous vous invitons à ne pas saisir dans la consultation de renseignements sensibles (numéro d'assurance sociale, relevés bancaires complets, diagnostics médicaux, etc.) qui ne sont pas strictement nécessaires à votre question.

Nous recueillons et utilisons vos renseignements personnels aux fins suivantes, et uniquement à ces fins :

• Prestation du service CPA virtuel (réponse à vos questions).
• Personnalisation des réponses en fonction du profil que vous avez sélectionné.
• Amélioration continue de la qualité de nos agents virtuels.
• Sécurité du service, prévention et détection des abus.
• Respect de nos obligations légales, fiscales et déontologiques.
• Réponse aux demandes d'exercice de droits (Loi 25).

Nous traitons vos renseignements personnels sur la base de votre consentement explicite, recueilli lors de votre entrée dans l'espace consultation, dans le cadre du processus d'accueil (étape « consentement »). Vous pouvez retirer ce consentement à tout moment par l'intermédiaire du formulaire en fin de page, ou en contactant le RPRP.

Les durées de conservation appliquées sont les suivantes :

• Messages de chat :30 jours dans notre base Supabase, puis purge automatique. Suppression immédiate (soft-delete) sur demande, avec purge définitive au plus tard à l'expiration du délai ci-dessus.
• Témoin de consentement : 12 mois, puis la bannière réapparaît afin de recueillir un nouveau consentement.
• Journaux d'audit : 12 mois (opérations techniques, sécurité).
• Demandes d'exercice des droits (DSR) : conservées le temps nécessaire au traitement puis archivées conformément à nos obligations légales.
• Transmission via OpenRouter :les messages sont relayés par la passerelle OpenRouter vers le fournisseur de modèle sélectionné par le cabinet. OpenRouter ne conserve pas les prompts par défaut ; le fournisseur final (par défaut : Anthropic) peut les conserver jusqu'à 30 jours à des fins de détection d'abus. Voir la section 7 ci-dessous.

Pour fournir notre service, nous faisons appel à un nombre limité de sous-traitants technologiques, choisis pour la robustesse de leurs engagements en matière de sécurité et de confidentialité. Chacun intervient dans un périmètre précis :

• OpenRouter (États-Unis) — Passerelle unifiée vers les fournisseurs de modèles d'IA. OpenRouter relaie vos requêtes au modèle sélectionné par le cabinet (par défaut : Claude d'Anthropic). OpenRouter ne conserve PAS les prompts ni les réponses par défaut ; le logging est opt-in via le tableau de bord OpenRouter et n'est pas activé par le cabinet. Le modèle destinataire applique sa propre politique de rétention (jusqu'à 30 jours pour détection d'abus chez la plupart des fournisseurs). Aucun contenu n'est utilisé pour l'entraînement sans opt-in explicite. Référence : politique de confidentialité OpenRouter.
  • Le modèle actuellement utilisé par le cabinet : claude-sonnet-4.5 (Anthropic via OpenRouter). Le cabinet peut changer de modèle à tout moment pour optimiser la qualité des réponses ; la présente politique sera mise à jour en conséquence.
• OpenAI (États-Unis) — Utilisation restreinte aux seuls embeddings(représentations vectorielles numériques non lisibles par un humain) pour la recherche sémantique dans notre base documentaire (RAG). Aucun contenu lisible n'est transmis pour cette étape.
• Supabase — Stockage de la base de données relationnelle et des conversations (région configurable, privilégiée au Canada ou en Union européenne).
• Upstash (Redis, global) — Limitation de débit (rate limiting) uniquement. Les clés utilisées sont des empreintes non réversibles (hash) d'adresses IP ; aucun contenu de conversation n'est transmis.
• Sentry (États-Unis) — Journalisation technique et supervision des erreurs. Les données sensibles (messages de chat, courriels, en-têtes d'authentification) font l'objet d'un scrubbing automatique côté serveur avant tout envoi.
• Vercel (global) — Hébergement de l'application et exécution des fonctions Edge/Node.

Chacun de ces sous-traitants est lié par des engagements contractuels et des mesures techniques et organisationnelles appropriées.

Certains de nos sous-traitants traitent des renseignements personnels hors du Québec, notamment aux États-Unis. Conformément à l'article 17 de la Loi 25, nous avons procédé à une évaluation des risques et mis en place les mesures de mitigation suivantes :

• Chiffrement en transit (TLS 1.3) sur l'ensemble des flux.
• Chiffrement au repos pour la base de données.
• Accès restreint au strict nécessaire, avec journalisation.
• Scrubbing automatique des renseignements personnels identifiables (PII) dans les journaux techniques et la télémétrie.
• Minimisation : seuls les renseignements strictement nécessaires sont transmis à chaque sous-traitant.
• Engagements contractuels de confidentialité et de sécurité avec chacun des sous-traitants.

Malgré ces mesures, nous vous invitons à ne pas partager de renseignements personnels particulièrement sensibles dans la consultation.

La Loi 25 (articles 27 à 35 notamment) vous reconnaît un ensemble de droits que nous nous engageons à respecter :

• Droit d'accès — obtenir la confirmation que nous détenons des renseignements à votre sujet et en recevoir copie.
• Droit de rectification — corriger un renseignement inexact, incomplet ou équivoque.
• Droit d'effacement — demander la suppression de vos renseignements lorsque les conditions légales sont remplies.
• Droit de retrait du consentement — retirer votre consentement en tout temps, sans que cela remette en cause la licéité du traitement effectué antérieurement.
• Droit à la portabilité — recevoir vos renseignements dans un format technologique structuré et couramment utilisé (JSON).
• Droit à la désindexation — demander la cessation de la diffusion de vos renseignements ou leur désindexation, dans les cas prévus par la loi.
• Droit à l'information sur les décisions automatisées — être informé lorsqu'une décision est prise de manière exclusivement automatisée et demander une révision humaine.

Pour exercer l'un ou l'autre de ces droits, vous pouvez :

• Remplir le formulaire d'exercice des droits en fin de page ;
• Ou écrire directement au RPRP à privacy@elabsi-cpa.ca.

Nous vous répondrons au plus tard dans les 30 jours suivant la réception de votre demande. Nous pouvons vous demander de justifier votre identité avant de donner suite, afin de protéger vos renseignements.

Les réponses fournies par l'espace consultation sont générées par un modèle de langage de grande taille (LLM), accédé via la passerelle OpenRouter (par défaut : Claude d'Anthropic). Il s'agit d'un traitement partiellement automatisé, à vocation informative, qui ne constitue ni un avis professionnel personnalisé ni une recommandation formelle.

Conformément à l'article 12.1 de la Loi 25, vous pouvez, sur simple demande au RPRP :

• connaître les renseignements personnels utilisés pour générer la réponse et les principaux facteurs ayant mené à celle-ci ;
• présenter vos observations et demander une révision humaine par l'un de nos CPA.

Le cabinet applique des mesures techniques et organisationnelles raisonnables pour protéger les renseignements personnels contre l'accès, l'utilisation, la divulgation, la modification ou la destruction non autorisés :

• Chiffrement en transit (TLS 1.3).
• Chiffrement au repos côté base de données (Supabase).
• Row-Level Security (RLS) activée sur toutes les tables contenant des renseignements personnels.
• Journaux d'audit centralisés (audit_logs).
• Purge automatique quotidienne des conversations supprimées au-delà de 30 jours.
• Rate limiting sur l'ensemble des endpoints sensibles.
• Aucune journalisation des prompts côté passerelle OpenRouter (logging opt-in désactivé ; voir section 7 pour la transparence sur la rétention des fournisseurs).
• Scrubbing automatique des PII dans la supervision (Sentry).

Le site utilise un nombre très restreint de témoins, tous nécessaires au fonctionnement du service :

• elabsi_consent — témoin essentiel (12 mois) : enregistre votre choix de consentement afin de ne pas réafficher la bannière à chaque visite.
• elabsi-chat-store — stockage local de session (sessionStorage) : état temporaire du chat côté navigateur, non transmis à nos serveurs.
• Aucun cookie analytique ou publicitaire tiers n'est déposé par défaut. L'activation éventuelle d'outils d'analyse sera soumise à votre consentement explicite via la bannière « Personnaliser ».

Conformément aux articles 3.5 à 3.8 de la Loi 25, en cas d'incident présentant un risque qu'un préjudice sérieux soit causé, le cabinet s'engage à :

• notifier la Commission d'accès à l'information (CAI) dans les meilleurs délais, au plus tard 72 heures après la constatation de l'incident ;
• notifier les personnes concernées dans les meilleurs délais, sauf exception prévue par la loi ;
• tenir un registre des incidents pendant au moins cinq ans conformément à la réglementation.

Nous pouvons mettre à jour cette politique pour refléter l'évolution de nos pratiques, de notre technologie ou du cadre légal. La date de dernière mise à jour est affichée en tête de page. Les modifications substantielles donneront lieu à une réinitialisation du consentement : la bannière réapparaîtra afin de recueillir un nouvel accord explicite.

Pour toute question relative à cette politique ou à la protection de vos renseignements personnels :

• RPRP : Direction — Assurance qualité
• Courriel RPRP : privacy@elabsi-cpa.ca
• Courriel général : contact@elabsi-cpa.ca
• Adresse postale : Montréal, Québec, Canada

Si vous estimez que vos droits n'ont pas été respectés, vous pouvez également saisir la Commission d'accès à l'information du Québec : www.cai.gouv.qc.ca.