Politique de confidentialité

En résumé

L'essentiel de notre politique en 6 points.

Nous ne recueillons que les renseignements personnels nécessaires aux finalités explicitement déclarées (contact, ressources téléchargées, candidatures, services).
Nous ne vendons jamais vos renseignements personnels. Ils ne sont partagés qu'avec nos sous-traitants opérationnels (hébergeur, messagerie, infonuagique Microsoft) sous contrat de confidentialité.
L'hébergement principal de vos données s'effectue sur les régions canadiennes (Microsoft Azure Canada Central et Canada Est).
Vous avez en tout temps un droit d'accès, de rectification, de retrait de consentement, de portabilité et de désindexation.
Notre Responsable de la protection des renseignements personnels (RPRP) répond à vos demandes dans un délai maximum de 30 jours.
Aucune décision affectant une personne (embauche, services, tarification) n'est prise par io4 Technologies de manière exclusivement automatisée.

1. Notre engagement

io4 Technologies inc. (« io4 », « nous », « notre ») accorde une importance fondamentale à la protection de la vie privée et à la confidentialité des renseignements personnels qui lui sont confiés.

La présente politique décrit, en termes clairs et accessibles, comment nous recueillons, utilisons, communiquons, conservons et protégeons vos renseignements personnels lorsque vous interagissez avec notre Site web (www.io4tech.com), nos services-conseils, nos communications ou tout autre point de contact avec io4.

Cette politique est rédigée conformément à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (RLRQ, c. P-39.1, ci-après « Loi 25 ») et, lorsqu'applicable, à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE, L.C. 2000, ch. 5).

2. Responsable de la protection des renseignements personnels (RPRP)

Conformément à l'article 3.1 de la Loi 25, io4 Technologies inc. a désigné un Responsable de la protection des renseignements personnels, chargé d'assurer le respect et la mise en œuvre des obligations en matière de protection des renseignements personnels.

Pour joindre le RPRP

Nom : Louis-Philippe Rousseau
Fonction : Responsable de la protection des renseignements personnels
Courriel : info@io4tech.com
Téléphone : 514-447-2851
Objet du courriel : « RPRP - protection des renseignements personnels »
Adresse postale : io4 Technologies inc., à l'attention du RPRP, 1010-666, Sherbrooke Ouest, Montréal, H3B 1E7

3. Champ d'application

La présente politique s'applique à tous les renseignements personnels recueillis par io4 Technologies inc. dans le cadre de :

votre navigation sur le Site www.io4tech.com et ses sous-domaines
votre utilisation des formulaires de contact, de demande de diagnostic ou de réservation
votre demande de téléchargement d'un livre blanc, guide ou ressource
votre inscription à une liste de notification (webinaires, ressources)
votre candidature à un poste publié sur la page Carrières
la prestation de services-conseils Microsoft, Azure, Copilot ou de cybersécurité
vos échanges téléphoniques, par courriel ou en réunion avec nos experts
votre participation à un événement, atelier ou webinaire organisé par io4

Elle ne couvre pas les pratiques de confidentialité de tiers vers lesquels nous pourrions diriger des hyperliens (sites partenaires, documentation Microsoft, articles de presse). Nous vous invitons à consulter leurs propres politiques.

4. Renseignements personnels recueillis

Nous limitons la collecte aux renseignements personnels nécessaires aux finalités décrites à la section 5. Les catégories suivantes peuvent être recueillies, selon vos interactions :

4.1 Renseignements d'identification et de contact

Prénom, nom, courriel professionnel, numéro de téléphone, fonction, nom de l'organisation, taille d'organisation, secteur d'activité, adresse postale (le cas échéant).

4.2 Contenu des échanges

Messages, demandes, descriptions de besoin, comptes rendus de réunions, courriels échangés, documents partagés volontairement.

4.3 Renseignements de candidature

Curriculum vitæ, lettre de présentation, parcours professionnel, formation, certifications, prétentions salariales le cas échéant, éléments transmis lors d'un processus de recrutement.

4.4 Renseignements de navigation et techniques

Adresse IP (anonymisée lorsque possible), type d'appareil, type de navigateur, système d'exploitation, pages visitées, durée des visites, source de référence, témoins de navigation (voir section 16).

4.5 Renseignements professionnels (clients et prospects)

Informations sur votre environnement technologique partagées volontairement dans le cadre d'un mandat (architecture Microsoft 365, Azure, contexte sectoriel) - strictement limitées à ce qui est nécessaire à la prestation des services.

Renseignements sensibles : nous ne recueillons pas sciemment de renseignements personnels sensibles au sens de la Loi 25 (santé, origine raciale, opinions politiques, données biométriques, orientation sexuelle, condamnations) via notre Site. Si vous nous transmettez de tels renseignements de votre propre initiative, ils bénéficient d'une protection renforcée et d'un consentement explicite distinct sera sollicité.

5. Finalités du traitement

Vos renseignements personnels sont traités uniquement pour des finalités déterminées, explicites et légitimes :

5.1 Répondre à vos demandes

Traiter vos demandes de contact, de diagnostic, de soumission, ou toute question adressée à io4. Base : exécution d'une démarche précontractuelle ou contractuelle à votre initiative.

5.2 Vous fournir une ressource demandée

Vous donner accès aux livres blancs, guides, checklists ou autres ressources que vous avez explicitement demandées via un formulaire. Base : exécution de votre demande.

5.3 Communications commerciales et marketing

Avec votre consentement préalable distinct, vous envoyer des invitations à des webinaires, des publications du blog, des nouveautés sur nos services. Vous pouvez retirer ce consentement à tout moment, sans frais. Base : consentement.

5.4 Prestation de services-conseils

Réaliser les mandats que vous nous confiez (Microsoft 365, Azure, Copilot, sécurité, Loi 25, etc.) et en assurer le suivi. Base : exécution d'un contrat.

5.5 Gestion des candidatures

Évaluer votre candidature à un poste, vous contacter dans le cadre d'un processus de recrutement, conserver votre dossier pour des opportunités futures avec votre accord. Base : démarche à votre initiative + consentement pour la conservation prolongée.

5.6 Amélioration du Site et de l'expérience utilisateur

Analyser les statistiques de fréquentation (de manière agrégée et anonymisée lorsque possible) pour améliorer le contenu et la performance du Site. Base : intérêt légitime, avec mesures de minimisation.

5.7 Sécurité et prévention des incidents

Détecter et prévenir les tentatives de fraude, d'intrusion, d'abus ou de violation des conditions d'utilisation. Base : intérêt légitime et obligations légales.

5.8 Conformité légale et réglementaire

Répondre à nos obligations légales et fiscales (facturation, conservation comptable, déclarations), et coopérer le cas échéant avec les autorités compétentes (CAI, ARC, Revenu Québec, etc.).

Vos renseignements ne sont jamais utilisés à des fins incompatibles avec celles pour lesquelles ils ont été recueillis sans votre consentement préalable, sauf exception prévue par la loi.

6. Consentement

Conformément à la Loi 25, votre consentement à la collecte et au traitement de vos renseignements personnels est manifeste, libre, éclairé et donné à des fins spécifiques. Il est demandé séparément de toute autre information et de manière granulaire pour les finalités distinctes (par exemple, le consentement à recevoir des communications marketing est distinct du consentement nécessaire au traitement d'une demande de contact).

Vous pouvez retirer votre consentement à tout moment, sans frais et sans justification, en écrivant à notre RPRP. Le retrait du consentement ne remet pas en cause la légalité des traitements effectués avant ce retrait. Selon la finalité, le retrait du consentement peut nous empêcher de continuer à vous fournir certains services.

7. Destinataires et sous-traitants

Vos renseignements personnels sont accessibles uniquement aux personnes qui en ont besoin pour les finalités déclarées, selon le principe du moindre privilège :

Personnel autorisé d'io4 Technologies inc. (experts, dirigeants, équipe administrative) tenu à une obligation contractuelle de confidentialité
Sous-traitants techniques agissant pour le compte d'io4, sous contrat assurant un niveau de protection équivalent à la Loi 25
Autorités publiques compétentes lorsque la loi l'exige (CAI, tribunaux, autorités fiscales, forces de l'ordre sur fondement légal)

Sous-traitants principaux :

Sous-traitant	Finalité	Localisation
Microsoft Corporation	Hébergement Microsoft 365 et Azure, productivité interne, courriels professionnels, gestion documentaire	Canada Central (Toronto) et Canada Est (Québec) par défaut. Azure France Central (Paris) disponible sur demande pour clients européens.

Chaque sous-traitant est lié à io4 par une entente écrite encadrant la confidentialité, la sécurité, la durée de conservation et la restitution ou destruction des données en fin de relation.

Nous ne vendons ni ne louons jamais vos renseignements personnels à des tiers à des fins commerciales.

8. Communication de renseignements hors-Québec (article 17)

Conformément à l'article 17 de la Loi 25, nous vous informons que certains de vos renseignements personnels peuvent être communiqués ou hébergés à l'extérieur du Québec :

Au sein du Canada : hébergement principal sur les infrastructures Microsoft Azure Canada Central (Toronto, Ontario) et Canada Est (Québec), ainsi que la sauvegarde géo-redondante associée.
Aux États-Unis : hébergement applicatif du Site (Vercel), certains services de messagerie transactionnelle et certains modules CRM peuvent traiter des données aux États-Unis ou via des opérateurs ayant des installations américaines.

Avant toute communication à l'extérieur du Québec, io4 procède à une évaluation des facteurs relatifs à la vie privée (EFVP) qui prend en compte :

le caractère adéquat de la protection juridique offerte dans la juridiction de destination,
les mesures contractuelles imposées au destinataire (clauses de confidentialité, audit, restitution, destruction),
les mesures techniques en place (chiffrement au repos et en transit, contrôles d'accès, journalisation, segmentation, ségrégation des données),
la sensibilité des renseignements communiqués et les finalités poursuivies.

La communication hors-Québec n'est effectuée que si l'EFVP conclut à une protection équivalente. Pour obtenir le résumé d'une EFVP sur un traitement précis, vous pouvez écrire au RPRP.

9. Décisions automatisées et intelligence artificielle

Conformément à l'article 12.1 de la Loi 25 (en vigueur depuis le 22 septembre 2023), nous vous informons que :

Aucune décision concernant une personne identifiable (embauche, évaluation, refus de service, tarification individualisée) n'est prise par io4 Technologies de manière exclusivement automatisée. Toute décision significative implique une intervention humaine qualifiée.
Nos experts utilisent des outils d'intelligence artificielle (notamment Microsoft 365 Copilot) à des fins de productivité interne - rédaction, synthèse, recherche documentaire. Ces usages ne donnent jamais lieu à une décision automatisée vous concernant.
Si, dans le cadre d'un mandat futur, io4 venait à mettre en œuvre un système de décision exclusivement automatisée vous concernant, vous en seriez préalablement informé et auriez le droit de demander la révision de la décision par une personne physique.

10. Durée de conservation et destruction

Nous conservons vos renseignements personnels uniquement pendant la durée nécessaire aux finalités déclarées, ou pendant la durée minimale exigée par la loi :

Type de renseignement	Durée de conservation
Demandes de contact (prospects)	24 mois à compter du dernier échange, sauf relation contractuelle subséquente
Téléchargement de ressources (livres blancs)	36 mois à compter du téléchargement, sauf retrait du consentement marketing
Dossiers clients actifs	Durée du mandat + 7 ans (obligations comptables et fiscales en vertu de la Loi sur les impôts du Québec et la Loi de l'impôt sur le revenu du Canada)
Candidatures retenues	Durée de la relation d'emploi + délais légaux applicables
Candidatures non retenues	12 mois, prolongeables avec consentement explicite (banque de candidatures)
Témoins de navigation	Voir section 16
Registre des incidents de confidentialité	5 ans à compter de la date de l'incident (obligation légale)

À l'expiration de la durée de conservation, les renseignements personnels sont soit détruits de manière sécurisée (suppression logique et physique des supports), soit anonymisés irréversiblement lorsque conservation agrégée à des fins statistiques.

11. Mesures de sécurité

io4 Technologies, en tant que Microsoft Solutions Partner spécialisé en cybersécurité, met en œuvre des mesures techniques et organisationnelles rigoureuses pour protéger vos renseignements personnels contre l'accès non autorisé, la perte, l'altération ou la divulgation :

Chiffrement des données au repos (AES-256) et en transit (TLS 1.2+)
Authentification multifacteur obligatoire pour tous les accès aux systèmes contenant des renseignements personnels
Contrôles d'accès basés sur le principe du moindre privilège, revus trimestriellement
Microsoft Defender XDR pour la détection et la réponse aux incidents (endpoint, identité, courriel)
Microsoft Purview pour la classification, l'étiquetage et la prévention de fuite de données (DLP)
Conditional Access et Privileged Identity Management (PIM) pour les comptes administratifs
Journalisation centralisée et conservation des journaux d'audit pour un minimum de 12 mois
Sauvegardes chiffrées géo-redondantes au Canada
Formation annuelle obligatoire en cybersécurité et protection des renseignements personnels pour tout le personnel
Engagement contractuel de confidentialité signé par chaque employé et chaque sous-traitant
Procédure documentée d'évaluation des facteurs relatifs à la vie privée (EFVP) pour tout nouveau traitement
Plan de réponse aux incidents avec procédure de notification CAI et personnes concernées

Malgré ces mesures, aucun système d'information ne peut garantir une sécurité absolue. En cas d'incident, nous appliquons notre procédure décrite à la section 12.

12. Incidents de confidentialité

Tout incident de confidentialité (accès, utilisation, communication ou perte non autorisés de renseignements personnels) est consigné dans un registre interne tenu par le RPRP.

Lorsqu'un incident présente un risque qu'un préjudice sérieux soit causé aux personnes concernées, io4 procède sans délai :

à la notification à la Commission d'accès à l'information (CAI) ;
à la notification individuelle des personnes concernées, sauf circonstances exceptionnelles ;
à la mise en œuvre des mesures de mitigation, de remédiation et de prévention.

13. Vos droits

Sous réserve des exceptions prévues par la loi, vous disposez des droits suivants à l'égard de vos renseignements personnels :

Droit d'accès

Obtenir confirmation que des renseignements vous concernant sont détenus et en recevoir copie.

Droit de rectification

Faire corriger des renseignements inexacts, incomplets ou équivoques.

Droit au retrait du consentement

Retirer en tout temps un consentement précédemment donné, sans frais ni justification.

Droit à la portabilité

Recevoir vos renseignements personnels informatisés dans un format technologique structuré et couramment utilisé, ou demander leur transfert direct à un tiers.

Droit à la désindexation

Demander la cessation de la diffusion, la désindexation ou la réindexation lorsque la diffusion cause un préjudice sérieux à votre réputation ou à votre vie privée.

Droit à l'information sur les décisions automatisées

Connaître les principaux facteurs ayant mené à une décision automatisée vous concernant et demander une révision humaine.

14. Comment exercer vos droits

Pour exercer l'un de ces droits, adressez votre demande écrite au RPRP d'io4 Technologies inc. :

Par courriel : info@io4tech.com (objet : « RPRP - exercice de droit Loi 25 »)
Par courrier : io4 Technologies inc., à l'attention du RPRP, 1010-666, Sherbrooke Ouest, Montréal, H3B 1E7

Afin de protéger vos renseignements personnels, nous pouvons vous demander de confirmer votre identité avant de donner suite à votre demande (par exemple, en répondant depuis l'adresse courriel utilisée lors de la collecte).

Nous répondons à votre demande dans un délai maximum de 30 jours à compter de sa réception. Si nous ne pouvons donner suite à votre demande, nous vous en expliquerons les raisons et vous indiquerons les recours possibles.

Pour le droit à la portabilité, les renseignements informatisés vous sont fournis dans un format structuré et couramment utilisé (par exemple JSON ou CSV), ou peuvent être transférés directement à un tiers désigné, sous réserve de faisabilité technique.

L'exercice de vos droits est gratuit. Toutefois, si une demande est manifestement abusive ou répétitive, nous pourrons exiger des frais minimes raisonnables ou refuser d'y donner suite, en vous en expliquant les motifs.

15. Recours auprès de la Commission d'accès à l'information

Si vous n'êtes pas satisfait du traitement de votre demande par notre RPRP, ou si vous estimez que vos droits n'ont pas été respectés, vous pouvez déposer une plainte auprès de la Commission d'accès à l'information du Québec (CAI) :

Commission d'accès à l'information du Québec

2045, rue Stanley, bureau 900
Montréal (Québec) H3A 2V4
Téléphone : 1 888 528-7741
Courriel : cai.communications@cai.gouv.qc.ca
Site web : www.cai.gouv.qc.ca

Lorsque la LPRPDE s'applique (activités commerciales interprovinciales), vous pouvez également vous adresser au Commissariat à la protection de la vie privée du Canada (CPVP) : www.priv.gc.ca.

16. Témoins de navigation (cookies)

Le Site utilise des témoins (cookies) et technologies similaires pour assurer son bon fonctionnement, mesurer son audience et, si vous y consentez, améliorer votre expérience.

Conformément à la position de la CAI, les témoins non essentiels sont désactivés par défaut et ne sont activés qu'après votre consentement explicite (opt-in). Vous pouvez modifier vos préférences à tout moment depuis le bandeau de gestion des témoins.

Catégorie	Finalité	Consentement	Durée
Témoins essentiels	Sécurité, session, équilibrage de charge, mémorisation de votre choix de consentement	Non requis (nécessaires)	Session à 12 mois
Mesure d'audience — Google Analytics 4 & Google Tag Manager	Statistiques agrégées de fréquentation (pages vues, source de référence, durée des visites), adresse IP tronquée. Service fourni par Google.	Opt-in	13 mois maximum
Préférences et amélioration	Mémorisation de vos préférences d'affichage et de langue	Opt-in	12 mois

Outils de mesure et consentement

Pour mesurer la fréquentation du Site, nous utilisons Google Analytics 4 et Google Tag Manager, services fournis par Google LLC. Nous appliquons le mode Consentement (Google Consent Mode v2) : par défaut, aucun témoin de mesure ou publicitaire n'est déposé. Ces témoins ne sont activés qu'après votre consentement explicite (clic sur « Tout accepter » dans le bandeau). Si vous refusez, aucune mesure d'audience n'est effectuée.

Vous pouvez modifier ou retirer votre choix à tout moment via le lien « Gérer mes cookies » situé en bas de chaque page, qui rouvre le bandeau de consentement.

Ces outils peuvent impliquer un transfert de données vers les États-Unis (siège de Google). Ce transfert est encadré par des garanties appropriées (clauses contractuelles types de la Commission européenne et adhésion de Google au Data Privacy FrameworkUE–États-Unis). L'adresse IP est tronquée afin de limiter l'identification.

Vous pouvez également configurer votre navigateur pour bloquer ou supprimer les témoins, sachant que cela peut affecter le fonctionnement de certaines parties du Site.

17. Renseignements concernant les mineurs

Le Site et les services d'io4 Technologies inc. sont destinés à un public professionnel (entreprises, organismes publics, OBNL) et ne s'adressent pas aux mineurs de moins de 14 ans.

Nous ne recueillons pas sciemment de renseignements personnels concernant des mineurs de moins de 14 ans. Si vous estimez qu'un mineur nous a communiqué des renseignements personnels sans l'autorisation requise, veuillez communiquer immédiatement avec notre RPRP pour que nous procédions à leur suppression.

18. Mises à jour de la politique

La présente politique peut être modifiée pour refléter l'évolution de nos pratiques, des technologies utilisées ou du cadre légal applicable. La date de la dernière mise à jour figure en tête de cette page.

En cas de modification substantielle affectant vos droits, nous vous en informerons par un moyen approprié (avis sur le Site, courriel si vous êtes inscrit à une liste, sollicitation d'un nouveau consentement le cas échéant) avant l'entrée en vigueur des changements.

Nous vous recommandons de consulter cette page périodiquement.

19. Nous joindre

Pour toute question, préoccupation ou demande relative à la présente politique ou à la protection de vos renseignements personnels :

io4 Technologies inc. - Responsable de la protection des renseignements personnels

Courriel : info@io4tech.com

Téléphone : 514-447-2851

1010-666, Sherbrooke Ouest, Montréal, H3B 1E7

La présente politique est rédigée en langue française. Une version anglaise peut être disponible à titre de courtoisie. Conformément à la Charte de la langue française du Québec, la version française fait foi.

Politique de confidentialité.