EasyMark est un produit d'automatisation marketing conçu par SZTek Inc., une entreprise ontarienne. Nous recueillons les renseignements que vous nous fournissez lorsque vous créez un compte et utilisez le produit (nom, coordonnées d'entreprise, informations de facturation, contenu que vous nous demandez de générer, et façon dont vous utilisez l'application). Nous nous en servons pour exploiter le produit en votre nom et pour vous facturer. Nous ne les partageons qu'avec les fournisseurs nécessaires à la prestation du service (listés ci-dessous), avec les plateformes où vous nous demandez de publier, et avec les autorités lorsque la loi l'exige. Nous ne vendons pas vos renseignements personnels. Vous pouvez en demander une copie, demander leur suppression, retirer votre consentement, ou porter plainte auprès de la Commission d'accès à l'information du Québec à tout moment. L'intelligence artificielle joue un rôle important dans le produit — nous expliquons où et comment, et vous pouvez demander qu'un humain révise toute décision automatisée qui vous concerne.

1. Qui nous sommes et comment nous joindre.

La présente Politique de confidentialité décrit la façon dont SZTek Inc., une société constituée sous le régime des lois de l'Ontario (Canada) dont le siège social est situé à Vaughan (Ontario), L6A 3A1, Canada, faisant affaire sous le nom EasyMark (« SZTek », « EasyMark », « nous », « notre » ou « nos »), recueille, utilise, communique, conserve et protège des renseignements personnels lorsqu'une personne physique interagit avec la plateforme EasyMark, les sites web marketing à easymark.ca, l'application dans le produit, les API publiques et tout service connexe (collectivement, le « Service »). Aux fins de la Loi sur la protection des renseignements personnels dans le secteur privé (Loi 25 du Québec), SZTek est l'entreprise responsable des renseignements personnels décrits dans la présente Politique. La personne responsable de la protection des renseignements personnels au sein de SZTek (le « Responsable ») est Zafer Khan. Le Responsable peut être joint à l'adresse privacy@easymark.ca ou par la poste à SZTek Inc., à l'attention du Responsable de la protection des renseignements personnels, Vaughan (Ontario), L6A 3A1, Canada (adresse du siège social en vigueur à la date d'effet; consultez la version la plus récente de la présente Politique pour l'adresse à jour). Lorsque la présente Politique fait référence à « vous », elle vise la personne physique dont les renseignements personnels font l'objet d'un traitement. Lorsque vous agissez au nom d'une organisation cliente ayant ses propres clients ou contacts (une relation « entreprise à entreprise »), la présente Politique décrit les renseignements personnels que SZTek traite directement vous concernant; les renseignements personnels que vous téléversez, générez ou traitez à propos de vos propres clients et contacts au moyen du Service sont régis par l'Entente de service entre vous et SZTek, par toute Annexe relative au traitement des données que SZTek offre, ainsi que par vos propres engagements de confidentialité envers ces personnes, à l'égard desquels SZTek agit comme fournisseur de services suivant vos instructions documentées et n'est pas l'entreprise responsable au sens de la Loi 25.

2. Fins pour lesquelles nous recueillons, utilisons et communiquons les renseignements personnels.

SZTek recueille, utilise et communique des renseignements personnels aux fins précises énumérées au présent article 2. Chaque fin est distincte. Lorsque la Loi 25 exige un consentement distinct pour une fin donnée, ce consentement est obtenu séparément à l'étape pertinente du parcours utilisateur (généralement à la création du compte, au moment de l'activation d'une fonctionnalité ou au moment de la connexion d'un canal tiers). Le retrait du consentement pour une fin n'entraîne pas, en soi, le retrait du consentement pour toute autre fin, et SZTek continuera, dans la mesure où cela est techniquement et contractuellement possible, à fournir les parties du Service dont la fin principale ne dépend pas du consentement retiré. Les fins sont les suivantes :

a) Création et gestion du compte — vérifier votre identité, créer votre compte, maintenir vos paramètres de sécurité, faire respecter les accès fondés sur les rôles au sein de votre organisation et communiquer avec vous au sujet de votre compte. Fondement juridique : exécution du contrat; intérêt légitime à la sécurité du compte.

b) Fourniture du Service — exploiter les flux d'automatisation marketing que vous configurez, planifier et publier du contenu vers les canaux que vous avez connectés, et tenir les journaux d'audit qui vous permettent de revoir les actions effectuées par le Service en votre nom. Fondement juridique : exécution du contrat.

c) Génération de contenu par IA — générer du contenu marketing, des images, des vidéos, du contenu audio et des recommandations à l'aide de modèles d'intelligence artificielle (qu'ils soient gérés par la plateforme, fournis par le Client par l'intermédiaire de l'option « IA-fournie-par-le-Client », ou les deux, comme décrit à l'article 7 des Conditions d'utilisation). Les directives, les briefs, les actifs de marque et les contenus générés sont transmis au fournisseur d'IA que vous avez configuré (ou au fournisseur géré par la plateforme pendant la Période d'essai ou lorsque vous avez adhéré à l'IA gérée par la plateforme). Fondement juridique : exécution du contrat; communication de la fin distincte au moment de la sélection du modèle.

d) Facturation et gestion des abonnements — débiter le moyen de paiement que vous avez autorisé, émettre des reçus et des factures, gérer la facturation des Abonnements, de l'Accès sur 5 ans, des Offres à vie (s'il y a lieu), des forfaits de Crédits et des recharges à l'utilisation, et recouvrer les sommes impayées. Fondement juridique : exécution du contrat; obligation légale (conservation des registres fiscaux).

e) Soutien à la clientèle et correspondance liée au compte — répondre à vos demandes de soutien, enquêter sur les problèmes que vous signalez et communiquer les questions opérationnelles telles que les pannes, les incidents de sécurité et les changements de service. Fondement juridique : exécution du contrat; intérêt légitime à fournir du soutien.

f) Détection de fraude et prévention des abus — détecter et prévenir la création frauduleuse de comptes, les abus de la Période d'essai (notamment l'utilisation d'outils automatisés, le « account farming » et la revente de contenu IA généré par la plateforme, comme décrit à l'article 7.3 des Conditions d'utilisation), la fraude de paiement et les abus du Service contre des tiers. Fondement juridique : intérêt légitime de SZTek à protéger le Service, ses clients et les tiers.

g) Marketing direct concernant EasyMark — envoyer des messages électroniques commerciaux concernant les fonctionnalités, les offres et le contenu éducatif d'EasyMark, uniquement lorsque vous avez donné un consentement exprès au sens de la Loi canadienne anti-pourriel (LCAP) ou lorsqu'une exception prévue par la LCAP s'applique. Fondement juridique : consentement exprès; exception relative à la relation d'affaires prévue par la LCAP, le cas échéant. Vous pouvez retirer ce consentement à tout moment sans incidence sur les autres fins.

h) Analyse de produit et amélioration — mesurer l'adoption des fonctionnalités, détecter les bogues, prioriser la feuille de route du produit et améliorer la sécurité et la précision des résultats de l'IA. Lorsque possible, nous effectuons cette analyse sur des données agrégées ou dépersonnalisées. Fondement juridique : intérêt légitime de SZTek à améliorer le Service.

i) Conformité, audit et procédures judiciaires — se conformer au droit applicable, y compris la conservation de registres fiscaux et comptables; répondre aux demandes légales d'autorités de réglementation, de tribunaux ou d'organismes d'application de la loi; faire respecter les Conditions d'utilisation; et établir, exercer ou défendre des réclamations juridiques. Fondement juridique : obligation légale; intérêt légitime à défendre des réclamations juridiques, sous réserve du droit applicable.

SZTek ne vend pas de renseignements personnels en contrepartie d'une rémunération et ne communique pas de renseignements personnels à des fins incompatibles avec celles énumérées au présent article 2 sans votre consentement distinct ou un autre fondement juridique. SZTek se réserve le droit, à sa seule discrétion, de préciser la description des fins ci-dessus lorsque cela accroît la clarté pour les utilisateurs; l'ajout d'une nouvelle fin nécessite un consentement renouvelé ou un autre fondement juridique lorsque la loi le prévoit.

3. Catégories de renseignements personnels que nous recueillons.

SZTek recueille les catégories de renseignements personnels suivantes. Les catégories sont illustratives et non exhaustives; SZTek peut recueillir des renseignements supplémentaires de nature et de sensibilité analogues lorsque cela est raisonnablement nécessaire à l'exploitation du Service.

a) Données d'identification du compte — prénom et nom; nom d'affichage préféré; adresse de courriel (servant d'identifiant de compte); mot de passe haché; inscription à l'authentification à deux facteurs (empreinte du secret TOTP, empreintes des codes de récupération, optionnellement un numéro de téléphone lorsque vous avez activé le deuxième facteur par SMS); langue et fuseau horaire préférés.

b) Données organisationnelles et de rôle — nom de l'organisation cliente, votre titre ou rôle professionnel, l'espace de travail et les attributions de rôle au sein d'EasyMark, ainsi que les entrées du journal d'audit décrivant les actions effectuées sur votre compte.

c) Données de facturation et fiscales — nom de facturation; adresse postale de facturation; numéro d'enregistrement fiscal (TPS / TVH / TVQ, TVA ou autre) lorsque vous en avez fourni un; métadonnées du moyen de paiement renvoyées par Stripe (quatre derniers chiffres de la carte, marque de la carte, mois et année d'expiration, identifiant du moyen de paiement); historique des transactions (factures, reçus, remboursements, rétrofacturations, notes de crédit). Les numéros de carte de paiement complets, les codes de sécurité (CVV) et les identifiants de compte bancaire sont recueillis directement par Stripe et ne sont jamais reçus ni conservés par SZTek.

d) Contenu de contexte d'affaires que vous fournissez au Service — actifs de marque (logos, palettes de couleurs, descripteurs de ton de voix); briefs de marque et descriptions de produits; documents téléversés alimentant la génération par IA; directives et gabarits enregistrés; briefs de campagne.

e) Identifiants et métadonnées de connexion de canaux — jetons d'accès et jetons de rafraîchissement OAuth pour les canaux tiers que vous connectez (incluant actuellement Meta / Facebook / Instagram, Google Business Profile et Google Ads, LinkedIn, X / Twitter, TikTok lorsque pris en charge, fournisseurs de courriel et d'autres que SZTek pourra ajouter); identifiants de comptes de canaux, identifiants de pages, noms de comptes; portées d'autorisation accordées; métadonnées de rotation et de rafraîchissement des jetons.

f) Directives IA, contenus générés et métadonnées IA — les directives que vous soumettez (saisies, dictées vocalement ou assemblées par la plateforme à partir du contexte de marque); les contenus générés par les modèles d'IA; les métadonnées de chaque génération (nom et version du modèle, modalité, nombre de jetons lorsque disponible, coût lorsque applicable, chronologie, états d'erreur).

g) Contenu d'audience et de listes de contacts que vous téléversez — noms, adresses de courriel, numéros de téléphone et autres attributs de contact de vos clients et prospects que vous téléversez, importez ou connectez au moyen du Service aux fins d'exécution de campagnes. Vous êtes responsable de ce contenu au sens de la Loi 25 et de la LPRPDE, et SZTek le traite suivant vos instructions documentées comme décrit à la Clause 1 et dans toute Annexe relative au traitement des données.

h) Télémétrie d'utilisation du Service — événements de consultation de pages et d'interaction avec les fonctionnalités; navigation dans le produit; clics; mesures de performance; rapports d'erreur; journaux d'action d'agents décrivant quels agents automatisés ont agi en votre nom.

i) Données techniques et de l'appareil — adresse IP; chaîne d'agent utilisateur et valeurs dérivées de navigateur, système d'exploitation et type d'appareil; métadonnées d'empreinte d'appareil dérivées de signaux non identifiants (utilisées uniquement aux fins de détection de fraude décrites à la Clause 3§2 f)); URL de référent; identifiants de témoins (décrits en détail dans la Politique relative aux témoins).

j) Correspondance de soutien — contenu des billets de soutien, échanges de courriels, messages de clavardage dans le produit, enregistrements d'écran ou captures d'écran que vous joignez volontairement, ainsi que les métadonnées de l'interaction de soutien (horodatages, identifiants d'agent, état de résolution).

SZTek ne recueille pas intentionnellement de renseignements personnels sensibles au sens de la Loi 25 (tels que la santé, les données biométriques, l'orientation sexuelle, la croyance religieuse, l'opinion politique, l'origine raciale ou ethnique, ou les renseignements judiciaires) et vous demande de ne pas téléverser de tels renseignements dans le Service. Lorsque des renseignements personnels sensibles sont incidemment présents dans le contenu que vous fournissez, SZTek les traite uniquement dans le cadre du flux de contenu général et leur applique les mêmes protections qu'aux autres renseignements personnels; il n'en tire pas d'informations distinctes. Le Service est destiné aux entreprises et aux professionnels adultes et n'est pas dirigé vers les enfants; SZTek ne recueille pas sciemment de renseignements personnels auprès de personnes n'ayant pas atteint l'âge de la majorité dans leur juridiction.

4. Consentement — comment nous l'obtenons, comment vous le retirez.

SZTek sollicite votre consentement au moment où une catégorie donnée de renseignements personnels est recueillie pour une fin donnée, conformément aux exigences de consentement de la Loi 25 du Québec et de la LPRPDE. Le consentement est manifeste, libre, éclairé et donné à des fins spécifiques.

a) À la création du compte (étape 5 d'intégration). Lors de la création du compte, il vous est demandé d'accepter les Conditions d'utilisation, la présente Politique de confidentialité et la Politique relative aux témoins. L'acceptation est consignée dans la table legal_acceptances avec le numéro de version de chaque document. L'acceptation couvre les fins décrites aux Clauses 3§2 a) à 3§2 c) et le traitement par témoins strictement nécessaires décrit dans la Politique relative aux témoins. L'acceptation n'autorise pas, en soi, le marketing direct visé à la Clause 3§2 g); une case de consentement marketing distincte est présentée à la création du compte et est décochée par défaut.

b) Au moment de l'activation d'une fonctionnalité. Lorsqu'une fonctionnalité déclenche une nouvelle fin de traitement (par exemple, la connexion d'un nouveau canal tiers prévue à la Clause 3§2 b), le téléversement d'une liste de contacts prévu à la Clause 3§5 g), ou l'adhésion à la facturation IA gérée par la plateforme prévue à l'article 7.6 des Conditions d'utilisation), le flux dans le produit présente une invite de consentement spécifique en langage clair et consigne votre réponse avec un horodatage et l'identifiant de la fonctionnalité.

c) Retrait du consentement. Vous pouvez retirer votre consentement pour toute fin à tout moment, sous réserve des restrictions légales applicables. Le retrait s'exerce au moyen des paramètres du compte (lorsqu'un mécanisme en libre-service est offert) ou par écrit à privacy@easymark.ca. Le retrait prend effet dans un délai raisonnable et, en tout état de cause, dans le délai exigé par la Loi 25. Le retrait du consentement pour une fin nécessaire à la fourniture du Service de base (telles que les Clauses 3§2 a) et b)) peut nécessiter la fermeture de votre compte; SZTek, sur demande et sous réserve du droit applicable, fournira l'exportation de données décrite à la Clause 13 avant la fermeture du compte.

d) Modalité du consentement. Le consentement est exprès lorsque la loi l'exige (notamment pour le marketing direct au sens de la LCAP et pour la collecte de tout renseignement classé comme sensible au sens de la Loi 25). Pour les fins raisonnablement nécessaires à l'exécution du contrat ou à l'exploitation du Service, le consentement est consigné à l'acceptation des Conditions d'utilisation conjointement avec la présente Politique. Pour les fins reposant sur l'intérêt légitime (telles que la détection de fraude prévue à la Clause 3§2 f) et l'analyse de produit prévue à la Clause 3§2 h)), SZTek s'appuie sur une évaluation d'intérêt légitime documentée et vous offre un moyen de vous opposer lorsque la loi le permet.

e) Enfants. Le Service n'est pas dirigé vers les personnes n'ayant pas atteint l'âge de la majorité dans leur juridiction, et SZTek ne recueille pas sciemment de renseignements personnels auprès de telles personnes. Si vous apprenez qu'une personne n'ayant pas atteint l'âge de la majorité a fourni des renseignements personnels à SZTek, veuillez communiquer avec privacy@easymark.ca et SZTek supprimera, lorsque requis, les renseignements concernés.

5. Conservation des renseignements personnels.

SZTek ne conserve les renseignements personnels que pour la durée nécessaire à l'accomplissement des fins pour lesquelles ils ont été recueillis, à laquelle s'ajoute toute période supplémentaire requise ou permise par la loi. La conservation est régie par les catégories ci-dessous; à l'expiration du délai de conservation applicable, SZTek supprime ou anonymise les renseignements personnels au moyen de processus automatisés documentés dans les journaux d'audit.

a) Données de compte actif (identification du compte, organisation, identifiants de canaux, contenu de contexte d'affaires, directives et résultats d'IA) — conservées pour la durée de la relation de compte active. À la fermeture du compte (qu'elle soit initiée par vous ou par SZTek), ces données sont conservées pendant une période supplémentaire de trente (30) jours afin de permettre une récupération en cas de suppression accidentelle, puis sont supprimées ou anonymisées de manière permanente, sous réserve des paragraphes e) et f) ci-dessous.

b) Données de facturation et fiscales — conservées pendant sept (7) ans à compter de la fin de l'exercice financier de la transaction concernée, conformément aux exigences canadiennes de conservation de registres fiscaux. Après le délai de conservation, les données sont supprimées; des statistiques agrégées et dépersonnalisées peuvent être conservées indéfiniment.

c) Jetons OAuth de canaux — conservés pour la durée de la connexion active du canal. À la déconnexion (qu'elle soit déclenchée par vous, par le fournisseur du canal ou par l'expiration du jeton), les jetons sont supprimés dans un délai de quarante-huit (48) heures.

d) Télémétrie d'utilisation du Service et données techniques (Clauses 3§5 h) et i)) — conservées sous forme identifiable pendant douze (12) mois, puis agrégées, dépersonnalisées ou supprimées. Les statistiques agrégées peuvent être conservées indéfiniment.

e) Journaux d'audit — conservés pendant sept (7) ans pour les catégories requises par les pratiques opérationnelles alignées sur la norme SOC 2, par les exigences de réponse aux incidents de la Loi 25 et par les exigences canadiennes de conservation de registres fiscaux. La période de conservation des journaux d'audit se prolonge au-delà de la fermeture du compte.

f) Registres d'acceptation des documents juridiques (legal_acceptances) — conservés pendant sept (7) ans après la fermeture du compte ayant donné l'acceptation, afin de pouvoir démontrer le fondement juridique du traitement passé.

g) Correspondance de soutien — conservée pendant trois (3) ans à compter de la date de la dernière interaction.

h) Sauvegardes — conservées de manière continue et écrasées dans le cours normal des activités. Les renseignements personnels présents dans les sauvegardes sont régis par les délais de conservation ci-dessus; lorsqu'une demande de suppression exige le retrait des sauvegardes, SZTek retirera les renseignements personnels des sauvegardes lors de leur prochaine rotation, et en tout état de cause dans un délai de quatre-vingt-dix (90) jours, sous réserve du droit applicable.

i) Anonymisation comme alternative à la suppression. Lorsque les intérêts légitimes de SZTek en analyse de produit, en recherche sur les modèles de fraude ou en évaluation de modèles d'IA justifient la conservation de données sous une forme qui ne permet plus d'identifier une personne, SZTek peut anonymiser les renseignements personnels à la fin du délai de conservation applicable au lieu de les supprimer. Les données anonymisées ne sont plus assujetties à la présente Politique.

SZTek se réserve le droit, à sa seule discrétion et sous réserve du droit applicable, de conserver des renseignements personnels pour une période plus longue que celles ci-dessus lorsque cela est requis pour se conformer à une obligation légale, répondre à une demande d'autorité de réglementation, enquêter sur un incident de sécurité ou de fraude, ou établir, exercer ou défendre une réclamation juridique.

6. Vos droits et comment les exercer.

Sous réserve de la vérification de votre identité et des exceptions prévues par le droit applicable, vous disposez des droits suivants à l'égard des renseignements personnels que SZTek détient à votre sujet. Les droits s'appliquent individuellement; l'exercice de l'un ne renonce pas aux autres.

a) Droit d'accès. Vous pouvez obtenir confirmation que SZTek traite des renseignements personnels à votre sujet et en obtenir copie, accompagnée des catégories de destinataires, des délais de conservation et des fins de traitement. La plupart des données au niveau du compte sont disponibles dans les paramètres du compte dans le produit; pour le dossier complet, écrivez à privacy@easymark.ca.

b) Droit de rectification. Vous pouvez corriger des renseignements personnels inexacts ou incomplets à tout moment au moyen des paramètres du compte ou en écrivant au Responsable.

c) Droit à la portabilité des données. Vous pouvez obtenir une copie des renseignements personnels que vous avez fournis à SZTek dans un format structuré, couramment utilisé et lisible par machine (par exemple, JSON ou CSV), et, lorsque cela est techniquement possible, demander que SZTek transmette directement ces renseignements à une autre organisation. Le droit à la portabilité est offert en application de l'article 27 de la Loi 25.

d) Droit à la suppression. Vous pouvez demander la suppression des renseignements personnels que SZTek détient à votre sujet. SZTek honorera la demande sous réserve des obligations de conservation décrites à la Clause 5 et des exceptions légales applicables. Les demandes de suppression de compte sont traitées au moyen du flux dédié dans le produit (qui écrit dans la file d'attente account_deletion_requests) ou en écrivant à privacy@easymark.ca.

e) Droit à la désindexation et à la cessation de la diffusion. En vertu de l'article 28.1 de la Loi 25, vous pouvez demander que SZTek cesse de diffuser des renseignements personnels vous concernant, ou que les hyperliens menant à ces renseignements soient désindexés, lorsque la diffusion vous cause un préjudice grave et que les conditions de l'article 28.1 sont satisfaites. Les demandes sont traitées par le Responsable.

f) Droit de retrait du consentement. Comme décrit à la Clause 4§4 c), vous pouvez retirer votre consentement pour toute fin à tout moment, sous réserve des restrictions légales applicables.

g) Droit d'opposition au traitement fondé sur un intérêt légitime. Pour les fins reposant sur l'intérêt légitime de SZTek (telles que la détection de fraude prévue à la Clause 3§2 f) et l'analyse de produit prévue à la Clause 3§2 h)), vous pouvez vous opposer pour des motifs liés à votre situation particulière. SZTek mettra en balance votre opposition et son évaluation d'intérêt légitime documentée et y répondra.

h) Droit à l'information sur la prise de décision automatisée. Comme décrit à la Clause 15 ci-dessous, vous pouvez demander les principaux facteurs et paramètres des décisions automatisées qui produisent des effets juridiques ou des effets d'importance similaire à votre égard, et vous pouvez demander une révision humaine.

i) Droit de porter plainte. Vous pouvez porter plainte auprès de la Commission d'accès à l'information du Québec (CAI), auprès du Commissariat à la protection de la vie privée du Canada (CPVP) ou auprès de toute autre autorité de réglementation compétente. SZTek vous demande de communiquer d'abord avec le Responsable afin que SZTek puisse traiter votre préoccupation directement; il s'agit d'une courtoisie et non d'une condition préalable.

Délai de réponse. SZTek répond aux demandes de droits vérifiables dans les trente (30) jours suivant la réception, sauf lorsque la Loi 25 ou la LPRPDE prévoit un délai différent ou lorsque du temps supplémentaire est raisonnablement requis compte tenu de la complexité de la demande, auquel cas SZTek vous avisera de la prolongation et du motif. Aucuns frais ne sont exigés pour une première demande raisonnable dans une période de douze mois; SZTek peut exiger des frais raisonnables pour des demandes ultérieures ou manifestement non fondées ou excessives, sous réserve du droit applicable, et tous frais sont divulgués avant que SZTek n'y donne suite.

Vérification de l'identité. SZTek exige une vérification de votre identité proportionnée à la sensibilité de la demande et à la sensibilité des renseignements personnels concernés, afin de prévenir les demandes frauduleuses contre votre compte.

7. Tiers à qui nous communiquons des renseignements personnels.

SZTek communique des renseignements personnels aux catégories de tiers énumérées ci-dessous, chacun aux fins précises indiquées et sous réserve d'engagements écrits selon lesquels ces parties protègent les renseignements personnels à un niveau de protection équivalent à celui assuré par SZTek. SZTek tient à jour la liste de ses sous-traitants et de ses principaux destinataires tiers et la met à jour au fur et à mesure des changements.

a) Processeur de paiement — Stripe, Inc. (États-Unis). Reçoit les données de facturation et fiscales (Clause 3§5 c)) aux fins du traitement des paiements, de la gestion des abonnements et du recouvrement des sommes impayées. Stripe est assujettie à son propre avis de confidentialité et aux protections contractuelles que SZTek maintient avec elle.

b) Fournisseurs d'IA — OpenAI (États-Unis), Anthropic (États-Unis), Fal.ai (États-Unis), Kling AI / Kuaishou (international), ElevenLabs (États-Unis), Stability AI (États-Unis) et d'autres fournisseurs d'IA que SZTek peut ajouter ou substituer. Reçoivent les directives IA et le contexte d'appui (Clauses 3§5 d) et f)) aux fins de la génération de contenu IA. Lorsque vous avez configuré des identifiants BYO-AI, les directives et les contenus sont transmis au fournisseur dont vous avez configuré les identifiants en vertu de votre propre entente avec ce fournisseur; SZTek n'est pas responsable du traitement effectué par ce fournisseur.

c) API de canaux — Meta Platforms (États-Unis/Irlande), Google (États-Unis/Irlande), LinkedIn Corporation (États-Unis/Irlande), X Corp. (États-Unis), TikTok / ByteDance (international), fournisseurs de livraison de courriel et autres canaux de publication que vous choisissez de connecter. Reçoivent les jetons OAuth de canaux et le contenu que vous demandez à SZTek de publier (Clause 3§5 e) et contenu IA) aux fins de publication en votre nom.

d) Hébergement infonuagique — Oracle Corporation, Canada Cloud Region (principal, Montréal et Toronto). Héberge l'essentiel de l'infrastructure du Service et traite les renseignements personnels suivant les directives de SZTek aux fins de fournir le calcul, le stockage et la mise en réseau sous-jacents.

e) Livraison de courriel — fournisseurs sélectionnés par SZTek de temps à autre (fournisseurs actuels énumérés dans la liste des sous-traitants). Reçoit la catégorie d'adresses de courriel des renseignements personnels aux fins de la livraison de courriels transactionnels et (lorsque consentis) marketing.

f) Analyse et observabilité — fournisseurs sélectionnés par SZTek de temps à autre (actuellement Plausible Analytics, auto-hébergé sur Oracle Cloud Infrastructure (région Canada) — une plateforme d'analytique sans témoins, respectueuse de la vie privée, qui ne dépose aucun témoin de suivi tiers et ne nécessite pas de bandeau de consentement en vertu de la Loi 25 du Québec ou de la LPRPDE. SZTek n'utilise pas Google Analytics, Meta Pixel ni aucun traceur publicitaire intersite dans l'application). Reçoivent de la télémétrie dépersonnalisée ou agrégée lorsque possible; lorsque des renseignements personnels sont reçus, ils ne sont traités qu'aux fins d'analyse et d'observabilité décrites à la Clause 3§2 h).

g) Conseillers professionnels et assureurs — reçoivent des renseignements personnels uniquement lorsque cela est nécessaire à des fins juridiques, comptables, d'audit ou d'assurance, sous le sceau de la confidentialité.

h) Successeurs dans une opération de société — dans le cadre d'une fusion, d'une acquisition, d'un financement, d'une réorganisation, d'une faillite ou d'une vente d'actifs, lorsque le destinataire accepte d'honorer les engagements de la présente Politique; SZTek vous avisera du changement dans la mesure requise par la loi.

i) Autorités de réglementation, tribunaux et organismes d'application de la loi — lorsque cela est requis par le droit applicable, par une ordonnance d'un tribunal ou par une demande légale et contraignante d'une autorité de réglementation, ou lorsque cela est raisonnablement nécessaire pour enquêter sur la fraude, les incidents de sécurité ou les menaces aux personnes ou aux biens, dans chaque cas dans la mesure et de la manière permises par le droit applicable et à la seule discrétion de SZTek pour déterminer si la demande satisfait à ces conditions.

SZTek ne vend pas de renseignements personnels en contrepartie d'une rémunération. SZTek ne communique pas de renseignements personnels à des courtiers de données ou à des réseaux publicitaires, sauf comme décrit ci-dessus lorsque vous avez vous-même configuré la connexion du canal. La liste actuelle des sous-traitants est publiée à https://easymark.ca/fr/sub-processors et est mise à jour à mesure que des tiers sont ajoutés ou retirés; nous vous invitons à la consulter pour la liste à jour. SZTek se réserve le droit, à sa seule discrétion, de substituer des fournisseurs équivalents au sein d'une catégorie donnée, auquel cas la liste est mise à jour et la poursuite de l'utilisation du Service après la mise à jour vaut acceptation de la substitution dans la mesure permise par le droit applicable.

8. Transferts transfrontaliers de données et posture pour les résidents du Québec.

Plusieurs des destinataires énumérés à la Clause 7 exploitent, ou traitent des renseignements personnels, à l'extérieur de la province de Québec — notamment aux États-Unis, dans l'Union européenne, au Royaume-Uni et dans d'autres juridictions. Conformément à l'article 17 de la Loi 25, avant de communiquer des renseignements personnels à l'extérieur du Québec, SZTek effectue une évaluation des facteurs relatifs à la vie privée qui considère, parmi d'autres facteurs : a) la sensibilité des renseignements personnels; b) les fins pour lesquelles les renseignements personnels sont communiqués; c) les mesures de protection, y compris contractuelles, qui s'appliqueraient aux renseignements dans la juridiction de destination; et d) le cadre juridique applicable dans la juridiction de destination, y compris les principes de protection des renseignements personnels qui y sont applicables. Lorsque l'évaluation conclut que les renseignements personnels bénéficieront d'un niveau de protection adéquat dans la juridiction de destination (que ce soit en vertu du cadre juridique, de mesures contractuelles ou d'une combinaison), SZTek procède à la communication; lorsque l'évaluation ne conclut pas en ce sens, SZTek ne communique pas les renseignements personnels à l'extérieur du Québec, ou ne les communique qu'après que des mesures de protection additionnelles ont été mises en place.

Mesures de protection contractuelles. Les contrats de SZTek avec ses sous-traitants et ses destinataires tiers comportent des engagements à : i) traiter les renseignements personnels uniquement suivant les directives documentées de SZTek ou les directives documentées des clients de SZTek (selon le rôle); ii) protéger les renseignements personnels à un niveau de protection équivalent à celui assuré par SZTek; iii) aviser SZTek de tout incident de confidentialité sans délai déraisonnable; iv) se soumettre à des droits d'audit et d'inspection raisonnables; et v) retourner ou détruire les renseignements personnels à la fin de la relation contractuelle, sous réserve des exceptions de conservation prévues par la loi.

Votre reconnaissance. En utilisant le Service, vous reconnaissez que des renseignements personnels vous concernant peuvent être communiqués et traités dans les juridictions décrites à la Clause 7, et que les lois de ces juridictions peuvent différer de celles du Québec, y compris quant aux pouvoirs des autorités publiques de ces juridictions d'accéder aux renseignements personnels. Les mesures de protection contractuelles de SZTek ne supplantent pas, et ne peuvent supplanter, le régime juridique de la juridiction de destination; elles réduisent, sans éliminer, cette considération. Lorsque vous n'êtes pas disposé à accepter le traitement transfrontalier décrit au présent article, votre solution de rechange consiste à ne pas utiliser le Service; SZTek vous fournira, sur demande et avant la résiliation, l'exportation de données décrite à la Clause 11 c).

9. Prise de décision automatisée et traitement assisté par l'IA.

Plusieurs fonctions du Service comportent un traitement automatisé de renseignements personnels susceptible de produire des effets à votre égard. En vertu de l'article 12.1 de la Loi 25, SZTek décrit ces fonctions ci-dessous et vous informe de votre droit de demander des renseignements sur les principaux facteurs et paramètres des décisions prises à votre égard sur ce fondement, et de demander une révision humaine.

a) Conseiller IA et agents de génération de contenu. Le Service utilise des modèles d'IA pour générer du contenu marketing, des résumés, des recommandations, ainsi que pour traduire ou réécrire du contenu. Ces résultats sont des soutiens à la décision que vous, l'utilisateur, examinez et approuvez avant publication ou exécution. Ils ne constituent pas, en eux-mêmes, des décisions prises par SZTek à votre égard qui produisent des effets juridiques ou des effets d'importance similaire à votre égard.

b) Agents d'optimisation et de planification. Le Service utilise un traitement automatisé pour optimiser le calendrier, l'attribution de canaux et la répartition de budget des campagnes marketing que vous avez configurées. Ces optimisations fonctionnent dans les paramètres que vous fixez et sont soumises à votre approbation au stade de la configuration; elles ne constituent pas des décisions prises par SZTek à votre égard.

c) Automatisation de détection de fraude pendant la Période d'essai. Pendant la Période d'essai décrite à l'article 7 des Conditions d'utilisation, SZTek utilise un traitement automatisé pour détecter les habitudes d'abus, notamment les anomalies de création de compte, la déduplication au niveau de l'empreinte d'appareil, la limitation du débit au niveau de l'adresse IP, la limitation comportementale et d'autres mesures mentionnées à l'article 7.3 des Conditions d'utilisation. Ces évaluations automatisées peuvent entraîner que SZTek limite, suspende ou (lorsque la limitation prévue à l'article 7.7 des Conditions d'utilisation ne s'applique pas) révoque votre accès aux services d'IA gérés par la plateforme pendant la Période d'essai. Cette catégorie de traitement automatisé produit des effets à votre égard au sens de l'article 12.1 de la Loi 25. Vous pouvez demander à SZTek de vous fournir des renseignements sur les principaux facteurs et paramètres utilisés dans l'évaluation automatisée, et demander une révision humaine de toute décision de limitation, de suspension ou de révocation, en communiquant avec privacy@easymark.ca. SZTek fournira une révision humaine et une réponse écrite dans un délai raisonnable. Les seuils précis, les limites de débit, les fenêtres d'empreinte et les paramètres comportementaux de l'automatisation de détection de fraude ne sont pas divulgués publiquement afin d'en préserver l'efficacité contre les abus; SZTek fournira, sur demande au titre de l'article 12.1, les principaux facteurs et paramètres de l'évaluation dans la mesure compatible avec l'intégrité du système de détection de fraude, en exerçant sa seule discrétion pour mettre en balance les deux intérêts sous réserve du droit applicable.

d) Filtrage de fraude de paiement. Stripe applique un filtrage automatisé de fraude aux transactions traitées au moyen du Service. Le filtrage est exploité par Stripe selon ses propres conditions; lorsqu'une décision de filtrage entraîne le refus d'un paiement, vous pouvez demander une révision humaine directement auprès de Stripe. SZTek vous aidera à acheminer la demande à Stripe sur demande.

e) Absence d'actions défavorables au compte entièrement automatisées. SZTek n'emploie pas, à la date d'effet de la présente Politique, de prise de décision entièrement automatisée pour prendre des mesures défavorables finales contre votre compte (telles que la résiliation définitive du compte, la récupération de remboursement ou le recouvrement post-Période-d'essai du coût de l'IA gérée par la plateforme) sans révision humaine. Lorsque l'article 7.3 des Conditions d'utilisation envisage de telles mesures, la limitation prévue à l'article 7.7 des Conditions d'utilisation s'applique en attendant la confirmation d'un conseiller juridique canadien, et SZTek n'applique opérationnellement que les voies souples (limitation et suspension avec prise de contact du soutien).

10. Sécurité et avis d'incident de confidentialité.

SZTek maintient des mesures de protection administratives, techniques et physiques conçues pour protéger les renseignements personnels contre la perte, le vol, l'accès non autorisé, la communication, l'altération ou la destruction. Ces mesures sont raisonnables compte tenu de la sensibilité des renseignements personnels et des pratiques actuelles de l'industrie, et comprennent : a) le chiffrement des renseignements personnels en transit (TLS 1.3 ou successeur) et au repos (AES-256 ou équivalent); b) des contrôles d'accès fondés sur les rôles avec attribution selon le principe du moindre privilège et exigence d'authentification à deux facteurs pour l'accès du personnel aux systèmes contenant des renseignements personnels; c) la journalisation d'audit des accès et des modifications aux renseignements personnels; d) l'isolation des locataires dans l'infrastructure partagée; e) les évaluations de sécurité des fournisseurs avant l'engagement et périodiquement par la suite; f) les procédures de réponse aux incidents; g) la formation du personnel sur la protection des renseignements personnels. Aucune méthode de transmission ou de stockage n'est parfaitement sécuritaire, et SZTek ne peut garantir une sécurité absolue.

Avis d'incident de confidentialité. Lorsqu'un incident de confidentialité visant des renseignements personnels détenus par SZTek présente un risque qu'un préjudice sérieux soit causé à une ou plusieurs personnes, SZTek, conformément à la Loi 25 du Québec (articles 3.5 et 3.6) et à la LPRPDE (article 10.1) et dans les délais prescrits par ces lois : i) avisera la Commission d'accès à l'information du Québec (CAI); ii) avisera les personnes concernées; et iii) avisera le Commissariat à la protection de la vie privée du Canada lorsque la LPRPDE l'exige. SZTek tiendra un registre de tous les incidents de confidentialité et le fournira, sur demande, à une autorité de réglementation conformément au droit applicable. Les facteurs que SZTek considère pour évaluer le risque de préjudice sérieux comprennent la sensibilité des renseignements personnels en cause, l'utilisation apparente ou anticipée des renseignements personnels, le nombre de personnes touchées et d'autres facteurs prévus par la Loi 25 et ses règlements.

Renseignements sur le document. Ce document a été rédigé par une intelligence artificielle (depuis la version 1.0). Les obligations de fond et la concordance bilingue sont en cours d'examen par un conseiller juridique canadien. Version du document : v2.0. Date d'entrée en vigueur : [À déterminer par SZTek lors de la publication]. Dernière révision juridique : à venir.

Modifications de la présente Politique. SZTek peut mettre à jour la présente Politique de temps à autre. Les modifications importantes seront communiquées par avis dans le produit, par courriel ou sur les sites web au moins trente (30) jours avant leur entrée en vigueur, et (conformément au mécanisme de réacceptation décrit à l'article 23 des Conditions d'utilisation) l'acceptation de la nouvelle version est demandée à la prochaine connexion. Les modifications non importantes (corrections de fautes de frappe, précisions qui ne modifient pas des obligations de fond) prennent effet à l'affichage. La date d'« entrée en vigueur » apparaît en haut de la présente page. Après la signature d'un conseiller juridique canadien, la mention « en cours d'examen par un conseiller juridique canadien » est remplacée par « révisé par un conseiller juridique canadien le [date] » avec horodatage, et une nouvelle version du document (v2.1 ou ultérieure) est créée.