Politique de confidentialité

1. Introduction et portée

Sweet (« nous », « notre », « nos ») exploite la plateforme Sweet (le « Service »), accessible via le site Web et les applications mobiles, destinée à la gestion locative et à la mise en relation entre propriétaires et locataires au Québec et au Canada.

La présente Politique de confidentialité décrit comment nous collectons, utilisons, communiquons, conservons et protégeons vos renseignements personnels lorsque vous utilisez notre Service, conformément à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (ci-après « Loi québécoise »), à la Loi 25 modernisant des dispositions législatives en matière de protection des renseignements personnels, à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE/PIPEDA) et à toute autre législation applicable.

En utilisant le Service, vous reconnaissez avoir lu et compris la présente politique. Si vous n'acceptez pas les pratiques décrites ci-dessous, veuillez ne pas utiliser le Service.

Sweet se conforme également aux lois provinciales applicables en matière de protection des renseignements personnels, incluant notamment la Personal Information Protection Act (Alberta), la Personal Information Protection Act (Colombie-Britannique) ainsi que toute législation équivalente applicable dans d'autres juridictions canadiennes.

2. Définitions

Aux fins de la présente politique :

• « Renseignement personnel » : tout renseignement qui concerne une personne physique et permet de l'identifier directement ou indirectement, au sens de l'article 2 de la Loi québécoise.
• « Renseignement sensible » : renseignement personnel qui, de par sa nature ou en raison du contexte de son utilisation ou de sa communication, suscite un haut degré d'attente raisonnable en matière de vie privée (art. 12.1, Loi 25).
• « Consentement » : manifestation de volonté libre, éclairée et donnée à des fins spécifiques, pouvant être expresse ou implicite selon la sensibilité des renseignements.
• « Incident de confidentialité » : accès non autorisé, utilisation ou communication non autorisée, ou perte d'un renseignement personnel (art. 3.5, Loi 25).
• « Responsable de la protection des renseignements personnels » : la personne désignée au sein de Sweet pour veiller au respect de la présente politique et de la législation applicable.
• « Propriétaire » : un utilisateur inscrit sur la plateforme Sweet en tant que propriétaire ou tous les membres de l'équipe (gestionnaire immobilier).
• « Locataire » : un utilisateur inscrit sur la plateforme Sweet en tant que locataire actuel ou potentiel (Visiteur).

3. Renseignements personnels que nous collectons

Nous collectons les catégories de renseignements personnels suivantes :

• Renseignements d'identification : nom complet, adresse courriel, numéro de téléphone, adresse postale, photo de profil.
• Autre renseignement d'identification supplémentaire (membre de l'équipe) : Les informations relatives aux salaires des membres de l'équipe peuvent être accessibles selon le rôle défini par l'administrateur du profil Propriétaire.
• Renseignements de compte : identifiants de connexion, rôle (propriétaire, locataire), préférences linguistiques et de localisation.
• Renseignements financiers : informations de paiement traitées par Stripe, historique des transactions et détails de facturation.
• Renseignements relatifs aux biens immobiliers : adresses des propriétés, descriptions, photos, documents de bail, prix des loyers, disponibilité.
• Renseignements de communication : messages échangés entre propriétaires et locataires via la plateforme, demandes de soutien, notifications.
• Renseignements techniques : adresse IP, type de navigateur, système d'exploitation, identifiants d'appareil, pages visitées, durée de visite, URL de référence.
• Renseignements de géolocalisation : données de localisation approximatives basées sur l'adresse IP.
• Documents téléversés : baux, pièces d'identité, documents relatifs aux immeubles et tout autre fichier que vous choisissez de téléverser sur la plateforme.
• Données de signature électronique : images de signatures manuscrites numériques, horodatages, adresses IP, agents utilisateurs, données de géolocalisation, empreintes cryptographiques et journaux d'audit détaillés collectés lors du processus de signature de documents (voir la section 9 pour plus de détails).

4. Comment nous collectons vos renseignements

Nous collectons vos renseignements personnels par les moyens suivants :

• Directement auprès de vous : lors de votre inscription, de la création de votre profil, de la publication d'annonces, du téléversement de documents, de l'envoi de messages ou de la soumission de demandes de soutien.
• Automatiquement : par l'utilisation de témoins (cookies), de pixels espions et de technologies similaires lors de votre navigation sur la plateforme.
• Auprès de fournisseurs tiers : de services d'authentification (Auth0), de traitement de paiements (Stripe), de services de cartographie (Mapbox, OpenStreetMap) et de services d'analyse.
• Via des sources accessibles au public : registres fonciers, bases de données municipales pour la vérification d'adresses.

5. Fondements juridiques et finalités du traitement

Conformément à la Loi québécoise (art. 8, 14) et à la LPRPDE, nous traitons vos renseignements personnels sur les fondements suivants :

• Exécution de l'abonnement : pour fournir le Service, traiter les paiements, faciliter les communications entre propriétaires et locataires et gérer votre compte.
• Consentement : pour l'envoi de communications commerciales, l'utilisation de témoins non essentiels et le traitement de renseignements sensibles.
• Intérêts commerciaux raisonnables, conformément à l'article 5(3) de la LPRPDE et aux lois provinciales applicables, notamment pour améliorer le Service, assurer la sécurité de la plateforme, prévenir la fraude et effectuer des analyses internes.
• Obligation légale : pour respecter nos obligations en vertu des lois fiscales, de la réglementation anti-blanchiment d'argent et des ordonnances judiciaires.

6. Comment nous utilisons vos renseignements

Nous utilisons vos renseignements personnels aux fins suivantes :

• Fournir, exploiter et maintenir le Service, y compris la gestion des comptes et l'affichage des annonces.
• Traiter les transactions de paiement de loyer via Stripe et émettre des reçus.
• Faciliter la communication entre propriétaires et locataires via le système de messagerie de la plateforme (Pusher).
• Envoyer des notifications transactionnelles par courriel (via Nodemailer/SMTP) concernant votre compte, vos paiements et vos annonces.
• Alimenter les fonctionnalités de recherche et de recommandation d'annonces via Algolia.
• Afficher les emplacements des propriétés sur les cartes interactives via Mapbox et Leaflet/OpenStreetMap.
• Fournir des fonctionnalités d'assistance par intelligence artificielle (via OpenAI), telles que la génération de descriptions d'annonces et les recommandations de quartiers.
• Prévenir la fraude, détecter les abus et protéger la sécurité de la plateforme, notamment via Google reCAPTCHA v3.
• Respecter nos obligations légales et réglementaires.
• Améliorer et personnaliser le Service en fonction de vos préférences et de votre utilisation.
• Faciliter la signature électronique de documents juridiques (baux, avis, règlements) et maintenir un journal d'audit immuable pour garantir la validité juridique des signatures conformément à la LCCJTI.
• Vérifier l'authenticité et l'intégrité des documents signés via des certificats de signature et des empreintes cryptographiques SHA-256.

7. Partage et communication de vos renseignements

Nous ne vendons pas vos renseignements personnels. Nous pouvons communiquer vos renseignements dans les situations suivantes :

• Entre utilisateurs : les informations de profil des propriétaires sont visibles pour les locataires recherchant des annonces, et vice versa dans le cadre d'une relation locative établie.
• Avec des fournisseurs de services tiers : tel que décrit à la section 8 ci-dessous, pour le fonctionnement du Service.
• Conformément à la loi : lorsque requis par une ordonnance judiciaire, une assignation à comparaître ou une obligation légale, conformément à l'article 18(6) de la Loi québécoise.
• Pour protéger les droits : afin de faire valoir nos conditions d'utilisation, protéger nos droits, notre vie privée, notre sécurité ou nos biens, ou ceux d'autrui.
• Avec votre consentement : dans toute autre circonstance pour laquelle vous avez donné votre consentement explicite.
• Dans le cadre d'une transaction commerciale : en cas de fusion, acquisition, financement, réorganisation ou vente de tout ou partie de nos actifs, vos renseignements personnels pourraient être communiqués à un acquéreur potentiel ou réel, sous réserve des exigences de l'article 18.4 de la Loi québécoise et des lois canadiennes applicables.

Tout acquéreur ou successeur sera tenu de respecter les engagements énoncés dans la présente Politique de confidentialité ou de vous fournir un avis préalable en cas de modification substantielle de ses pratiques de protection des renseignements personnels.

8. Fournisseurs de services tiers

Nous faisons appel aux fournisseurs de services tiers suivants pour exploiter le Service. Chacun traite vos renseignements personnels conformément à ses propres politiques de confidentialité :

• Auth0 : authentification et gestion des identités — traite vos identifiants de connexion, vos jetons de session et les données de connexion.
• Stripe : traitement des paiements — traite les informations de paiement, les détails de facturation et l'historique des transactions.
• Amazon Web Services (AWS) : stockage infonuagique — héberge les photos, documents et fichiers téléversés sur la plateforme.
• Pusher : messagerie en temps réel — traite les messages et notifications échangés entre utilisateurs.
• Nodemailer/SMTP : envoi de courriels transactionnels — traite les adresses courriel et le contenu des notifications.
• Google reCAPTCHA v3 : protection contre les robots — traite les données d'interaction pour évaluer les risques de fraude.
• Mapbox : services de cartographie — traite les données de localisation pour l'affichage des cartes et la géolocalisation.
• Leaflet/OpenStreetMap : cartographie — traite les données de localisation pour le rendu des cartes.
• OpenAI : intelligence artificielle — traite les entrées textuelles pour la génération de descriptions d'annonces et les fonctionnalités d'assistance.
• Algolia : recherche — traite les données d'annonces et les requêtes de recherche pour fournir des résultats en temps réel.

9. Signatures électroniques et documents numériques

Sweet offre une fonctionnalité de signature électronique permettant aux propriétaires et aux locataires de signer, de consulter et de vérifier des documents juridiques (baux, avis, règlements d'immeuble, etc.) directement sur la plateforme. Conformément à la Loi concernant le cadre juridique des technologies de l'information du Québec (LCCJTI, L.R.Q., c. C-1.1, art. 2, 3, 5, 6 et 39), nous collectons et conservons les renseignements nécessaires pour garantir l'intégrité, l'authenticité et la non-répudiation de chaque signature électronique.

Lors du processus de signature, nous collectons les renseignements suivants :

• Image de la signature : votre signature manuscrite numérique, captée via un canevas HTML5 et stockée sous forme d'image encodée en base64 dans notre base de données.
• Horodatage : la date et l'heure exactes de chaque action (consentement, consultation du document, apposition de la signature, achèvement, refus).
• Adresse IP : votre adresse IP est enregistrée au moment du consentement, de la signature et de toute autre interaction avec le document, à partir des en-têtes x-forwarded-for, x-real-ip ou cf-connecting-ip.
• Agent utilisateur : le type de navigateur, le système d'exploitation et les informations relatives à l'appareil utilisé lors de la signature.
• Données de géolocalisation : pays, région et ville, lorsque disponibles via les en-têtes Cloudflare (cf-ipcountry, cf-region, cf-city).
• Suivi de consultation : nombre de consultations du document, date de première et de dernière consultation.
• Consentement : horodatage et adresse IP distincts enregistrés au moment où vous donnez votre consentement à signer.
• Empreinte cryptographique (SHA-256) : empreinte numérique du document original, du document signé et de chaque valeur de signature, permettant de détecter toute altération.
• Certificat de signature : un identifiant unique de certificat est généré pour chaque document complété, permettant la vérification publique de son authenticité.
• Journal d'audit immuable : un registre chronologique détaillé de chaque action effectuée sur le document (création, envoi, consultation, consentement, signature, achèvement, refus, vérification), incluant l'identité de l'acteur, l'adresse IP, l'agent utilisateur, la géolocalisation et l'état du document au moment de l'action. Ce journal n'est jamais modifié ni supprimé.
• Accusé de réception : pour les documents nécessitant uniquement une confirmation de lecture, nous enregistrons l'horodatage, l'adresse IP, l'agent utilisateur et la méthode de confirmation.
• Motif de refus : si vous refusez de signer un document, le motif que vous fournissez (le cas échéant) est enregistré.

Les documents originaux et signés sont stockés de manière sécurisée sur AWS S3, accessibles uniquement via des URL présignées à durée limitée (30 minutes pour la consultation, 5 minutes pour le téléversement). Le journal d'audit constitue une preuve légale de la validité de la signature et est conservé de manière permanente conformément aux exigences de la LCCJTI.

10. Intelligence artificielle et décisions automatisées

Sweet utilise des technologies d'intelligence artificielle (IA) fournies par OpenAI pour offrir certaines fonctionnalités, notamment la génération de descriptions d'annonces et l'assistance par chatbot.

Conformément à l'article 12.1 de la Loi 25, nous vous informons que :

Aucune décision fondée exclusivement sur un traitement automatisé n'est prise à votre égard sans que vous en soyez informé. Les fonctionnalités d'IA sont fournies à titre d'assistance uniquement et ne remplacent pas le jugement humain. Vous avez le droit d'être informé lorsqu'une décision vous concernant est fondée sur un traitement automatisé de vos renseignements personnels, de connaître les renseignements utilisés et les principaux facteurs ayant mené à la décision, et de faire réviser la décision par une personne physique.

Les données que vous soumettez aux fonctionnalités d'IA sont traitées conformément à la politique de confidentialité d'OpenAI et ne sont pas utilisées pour entraîner des modèles d'IA tiers.

Lorsque requis par la loi applicable, nous fournirons également aux utilisateurs résidant dans d'autres provinces canadiennes l'information requise concernant les décisions automatisées, conformément aux principes de transparence et d'équité prévus par la LPRPDE.

11. Témoins (cookies) et technologies de suivi

Nous utilisons des témoins (cookies) et des technologies similaires pour :

• Témoins essentiels : assurer le fonctionnement de base du Service, maintenir votre session et vos préférences de sécurité.
• Témoins de fonctionnalité : mémoriser vos préférences linguistiques, de localisation et d'affichage.
• Témoins d'analyse : comprendre comment vous utilisez le Service afin d'améliorer l'expérience utilisateur.
• Témoins de sécurité : Google reCAPTCHA v3 utilise des témoins pour protéger contre les robots et les abus.

Vous pouvez gérer vos préférences en matière de témoins via les paramètres de votre navigateur. La désactivation de certains témoins peut affecter le fonctionnement du Service. Conformément à la Loi 25, nous obtenons votre consentement avant de déployer des témoins non essentiels.

12. Sécurité des données

Nous mettons en œuvre des mesures de sécurité techniques et organisationnelles conformes aux normes de l'industrie pour protéger vos renseignements personnels, notamment :

• Chiffrement des données en transit (TLS/SSL) et au repos.
• Authentification sécurisée via Auth0 avec prise en charge de l'authentification multifacteur.
• Traitement des paiements conforme à la norme PCI-DSS via Stripe (nous ne stockons jamais vos informations complètes de carte de crédit).
• Stockage sécurisé des fichiers sur AWS S3 avec contrôle d'accès.
• Contrôle d'accès basé sur les rôles au sein de la plateforme.
• Audits de sécurité et évaluations de vulnérabilité régulières.
• Formation du personnel en matière de protection des renseignements personnels.

Malgré ces mesures, aucune transmission sur Internet ni aucun stockage électronique n'est totalement sécurisé. Nous ne pouvons garantir la sécurité absolue de vos renseignements.

13. Conservation et suppression des données

Nous conservons vos renseignements personnels aussi longtemps que nécessaire pour les fins pour lesquelles ils ont été collectés, conformément à l'article 12 de la Loi québécoise :

• Données de compte : conservées pendant la durée de votre compte actif, puis pendant 7 ans après sa fermeture conformément au délai de prescription de l'article 2925 du Code civil du Québec.
• Données transactionnelles : conservées pendant 7 ans conformément aux exigences fiscales et comptables.
• Messages et communications : conservés pendant la durée de la relation locative active, puis pendant 7 ans après sa fin.
• Documents téléversés : conservés pendant la durée de votre utilisation du Service et supprimés dans les 7 années suivant la suppression de votre compte.
• Journaux techniques et données d'analyse : conservés pendant un maximum de 7 ans à des fins de sécurité et d'amélioration du Service.
• Journal d'audit des signatures électroniques : conservé de manière permanente conformément aux exigences de la LCCJTI pour garantir la validité juridique à long terme des signatures électroniques. Ce journal constitue la preuve de l'intégrité et de l'authenticité de chaque document signé.
• Documents signés et certificats de signature : conservés de manière permanente ou jusqu'à la suppression du compte, après quoi ils sont conservés pendant la durée de la relation contractuelle sous-jacente plus le délai de prescription applicable (7 ans et ou en vertu de l'article 2925 du Code civil du Québec).
• Images de signatures sauvegardées : conservées pendant la durée de votre compte actif et supprimées dans les 7 ans suivant la suppression de votre compte.

Le journal d'audit des signatures électroniques est conservé aussi longtemps que nécessaire pour garantir l'intégrité juridique des documents signés et pour permettre l'exercice ou la défense de droits en justice, conformément aux lois applicables.

14. Vos droits en matière de protection des renseignements personnels

Conformément à la Loi québécoise et à la Loi 25, vous disposez des droits suivants :

• Droit d'accès (art. 27) : vous pouvez demander l'accès aux renseignements personnels que nous détenons à votre sujet.
• Droit de rectification (art. 28) : vous pouvez demander la correction de renseignements inexacts, incomplets ou équivoques.
• Droit à l'effacement : vous pouvez demander la suppression de vos renseignements personnels, sous réserve de nos obligations légales.
• Droit à la portabilité (art. 27, Loi 25) : vous pouvez demander une copie de vos renseignements dans un format technologique structuré et couramment utilisé.
• Droit de retrait du consentement : vous pouvez retirer votre consentement au traitement de vos renseignements à tout moment, sous réserve des restrictions légales ou contractuelles.
• Droit à la désindexation (art. 28.1, Loi 25) : vous pouvez demander la cessation de la diffusion de vos renseignements personnels ou la désindexation de tout hyperlien rattaché à votre nom.
• Droit d'être informé des décisions automatisées (art. 12.1, Loi 25) : vous avez le droit de savoir quand une décision vous concernant est fondée sur un traitement automatisé.

Pour exercer vos droits, veuillez nous contacter via notre page contact. Nous répondrons dans un délai de 30 jours conformément à l'article 32 de la Loi québécoise.

15. Consentement

Conformément à la Loi québécoise et à la Loi 25 :

Votre consentement à la collecte et à l'utilisation de vos renseignements personnels doit être manifeste, libre, éclairé et donné à des fins spécifiques. Pour les renseignements sensibles, votre consentement doit être explicite.

En créant un compte sur Sweet, vous consentez à la collecte et à l'utilisation de vos renseignements personnels tel que décrit dans la présente politique. Vous pouvez retirer votre consentement à tout moment en nous contactant. Le retrait du consentement peut toutefois limiter votre capacité à utiliser certaines fonctionnalités du Service.

Nous ne recueillons pas le consentement par le biais de clauses obscures ou de cases pré-cochées. Nous vous demandons un consentement distinct pour chaque finalité de traitement lorsque requis.

16. Protection des mineurs

Le Service n'est pas destiné aux personnes de moins de 18 ans. Nous ne collectons pas sciemment de renseignements personnels auprès de mineurs. Si nous apprenons que nous avons collecté des renseignements personnels d'un mineur, nous prendrons des mesures raisonnables pour les supprimer rapidement.

Conformément aux lois applicables, lorsqu'un mineur est autorisé à exercer certains droits en matière de protection des renseignements personnels de manière autonome, nous respecterons ces dispositions selon la province ou le territoire concerné.

Au Québec, les mineurs de 14 ans et plus peuvent exercer certains droits de manière autonome conformément à la Loi 25. Dans les autres provinces et territoires, ces droits sont exercés conformément aux lois applicables et au degré de maturité reconnu par celles-ci.

17. Transferts internationaux de données

Certains de nos fournisseurs de services tiers (notamment AWS, Stripe, Auth0, OpenAI et Algolia) peuvent traiter vos renseignements personnels dans des serveurs situés à l'extérieur du Québec ou du Canada, y compris aux États-Unis.

Conformément à l'article 17 de la Loi québécoise, avant de communiquer des renseignements personnels à l'extérieur du Québec, nous effectuons une évaluation des facteurs relatifs à la vie privée pour nous assurer que les renseignements bénéficieront d'une protection adéquate. Nous utilisons des clauses contractuelles et des ententes de traitement de données avec nos fournisseurs pour garantir un niveau de protection équivalent à celui offert par la législation québécoise et canadienne.

Ces transferts sont effectués conformément aux exigences de la LPRPDE et des lois provinciales applicables, qui exigent que les organisations utilisent des moyens contractuels ou autres pour assurer un niveau de protection comparable.

Vous pouvez obtenir de l'information sur nos politiques et pratiques encadrant la gouvernance des renseignements personnels transférés à l'étranger en nous contactant via notre page contact.

18. Incidents de confidentialité

Conformément aux articles 3.5 à 3.8 de la Loi 25, en cas d'incident de confidentialité présentant un risque sérieux de préjudice :

Nous aviserons la Commission d'accès à l'information du Québec avec diligence. Nous aviserons les personnes dont les renseignements sont concernés par l'incident sans délai. L'avis contiendra une description des renseignements visés, les circonstances de l'incident, les mesures prises ou envisagées pour diminuer les risques, et les coordonnées d'une personne-ressource.

Nous tenons un registre de tous les incidents de confidentialité, que ceux-ci présentent ou non un risque sérieux de préjudice, conformément à l'article 3.8 de la Loi 25. Ce registre est conservé pendant au moins cinq (5) ans et est disponible sur demande de la Commission d'accès à l'information.

19. Évaluation des facteurs relatifs à la vie privée

Conformément à l'article 3.3 de la Loi 25, nous réalisons des évaluations des facteurs relatifs à la vie privée (ÉFVP) avant :

Tout projet d'acquisition, de développement ou de refonte de systèmes d'information ou de prestation électronique de services impliquant la collecte, l'utilisation, la communication, la conservation ou la destruction de renseignements personnels. Toute communication de renseignements personnels à l'extérieur du Québec.

Ces évaluations tiennent compte de la sensibilité des renseignements concernés, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support, ainsi que des mesures de protection applicables. Les résultats de ces évaluations guident nos décisions de conception et nos pratiques de protection des renseignements personnels.

20. Responsable de la protection des renseignements personnels

Conformément à l'article 3.1 de la Loi 25, Sweet a désigné un Responsable de la protection des renseignements personnels dont les coordonnées sont les suivantes :

Responsable de la protection des renseignements personnels Sweet Courriel : privacy@sweet-kis.com

Le Responsable a pour fonction de veiller au respect de la Loi québécoise et de la Loi 25 au sein de notre organisation. Il est le point de contact principal pour toute question ou plainte relative à la protection de vos renseignements personnels.

21. Modifications de cette politique

Nous pouvons mettre à jour la présente Politique de confidentialité périodiquement afin de refléter les changements apportés à nos pratiques, à la technologie ou à la réglementation applicable.

En cas de modification substantielle, nous vous en aviserons par courriel ou par un avis bien visible sur la plateforme au moins 30 jours avant l'entrée en vigueur des changements. La date de « Dernière mise à jour » en haut de cette page indique la date de la dernière révision.

Votre utilisation continue du Service après la publication des modifications constitue votre acceptation de la politique révisée. Si vous n'acceptez pas les modifications, veuillez cesser d'utiliser le Service et supprimer votre compte.

22. Langue

Conformément à la Charte de la langue française (Loi 101, art. 55), la version française de la présente Politique de confidentialité prévaut en cas de divergence entre les versions française et anglaise.

La présente politique est disponible en français et en anglais afin de servir l'ensemble de nos utilisateurs.

23. Coordonnées et autorité de contrôle

Pour toute question, préoccupation ou plainte relative à la présente Politique de confidentialité ou au traitement de vos renseignements personnels, veuillez nous contacter via notre page contact.

Sweet, Sweet-kis.com, 9559-1475 Québec inc. — 3235 av. de la Gare, Mascouche, (Québec) J7K 3C1.

• Commission d'accès à l'information du Québec : organisme provincial chargé de veiller à l'application de la Loi québécoise et de la Loi 25. Téléphone : 1-888-528-7741.
• Commissariat à la protection de la vie privée du Canada : organisme fédéral chargé de veiller à l'application de la LPRPDE. Téléphone : 1-800-282-1376.