Politique de confidentialité

1. À propos de cette politique

HonkIO (« nous », « notre », « nos ») s'engage à protéger la confidentialité de ses clients et utilisateurs finaux conformément à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (Loi 25), et aux autres lois provinciales applicables en matière de protection de la vie privée. Cette politique explique comment nous collectons, utilisons et protégeons les renseignements personnels.

2. Renseignements que nous collectons

Informations de compte : Nom, adresse courriel, informations de facturation et identifiants API lors de la création d'un compte.

Données de message : Numéros de téléphone (expéditeur et destinataire), contenu du message, horodatages de livraison et informations d'état lors de l'envoi de messages SMS via notre API.

Dossiers de consentement : Dossiers de consentement LCAP que vous soumettez, incluant les numéros de téléphone, le type de consentement, l'horodatage, l'adresse IP et la description du consentement.

Données d'utilisation : Journaux d'appels API, événements de limite de débit et entrées du grand livre de facturation à des fins opérationnelles et de conformité.

3. Résidence des données et transferts transfrontaliers

Ce qui reste au Canada : Tous les renseignements personnels sont stockés au Canada. Notre base de données (Supabase PostgreSQL) et notre cache en mémoire (Upstash Redis) sont hébergés dans la région ca-central-1 (Montréal, Québec). Aucun renseignement personnel n'est écrit sur disque hors de la juridiction canadienne.

Traitement transfrontalier : La couche applicative API de HonkIO est actuellement hébergée sur une infrastructure qui peut être située à l'extérieur du Canada (États-Unis). Les renseignements personnels (y compris les numéros de téléphone, le contenu des messages et les données de consentement) peuvent être transmis et traités par cette infrastructure à chaque requête API avant d'être écrits dans un stockage hébergé au Canada. HonkIO a l'intention de migrer la couche API vers une infrastructure hébergée au Canada ; jusqu'à la fin de cette migration, ce traitement transfrontalier peut se produire.

Divulgation en vertu de la Loi 25 du Québec : Avant de mettre en œuvre cette architecture, HonkIO a mené une Évaluation des facteurs relatifs à la vie privée (EFVP) conformément à la Loi 25 du Québec (Loi 25) §3.3. L'EFVP a conclu que des mesures contractuelles et techniques adéquates sont en place, notamment : un Accord de traitement des données avec notre hébergeur API exigeant la confidentialité et interdisant l'utilisation secondaire ; le chiffrement TLS 1.3 en transit ; aucune persistance des données côté hébergeur ; et un accès limité à l'exécution de l'application. Un résumé de l'EFVP est disponible pour les clients entreprise sur demande à privacy@honkio.ca.

Nous aviserons les clients concernés avant tout changement important à cet accord de transfert transfrontalier.

4. Comment nous utilisons les renseignements personnels

• Fournir et exploiter le service de passerelle SMS
• Traiter la facturation et gérer les crédits de compte
• Appliquer les règles de consentement LCAP et la conformité LNNTE en votre nom
• Générer des journaux d'audit de conformité conformément à la LCAP
• Communiquer les mises à jour du service, les avis de sécurité et les alertes de facturation
• Détecter et prévenir la fraude et les abus

Nous ne vendons pas de renseignements personnels. Nous n'utilisons pas le contenu des messages à des fins publicitaires ou d'entraînement de modèles.

5. Conservation des données

Le contenu des messages est conservé pendant 90 jours par défaut. Les clients peuvent configurer des périodes de conservation plus courtes via l'API. Les métadonnées des messages (expéditeur, destinataire, horodatages, état) sont conservées pendant 3 ans à des fins de facturation et de conformité.

Les dossiers d'audit du consentement LCAP sont conservés pendant un minimum de 3 ans à compter de la date du dernier consentement ou désabonnement, conformément aux recommandations du CRTC.

Les données de compte sont conservées pour la durée de vie du compte plus 12 mois après la fermeture du compte.

6. Vos droits (LPRPDE et Loi 25)

Vous avez le droit de :

• Accéder aux renseignements personnels que nous détenons à votre sujet
• Corriger les renseignements personnels inexacts
• Retirer votre consentement au traitement (sous réserve de restrictions légales et contractuelles)
• Effacement (droit à l'oubli) : Demander la suppression de renseignements personnels via le point de terminaison API DELETE /v1/compliance/erasure ou en envoyant un courriel à privacy@honkio.ca
• Portabilité des données : Recevoir une copie de vos données dans un format lisible par machine
• Déposer une plainte auprès du Commissariat à la protection de la vie privée du Canada (CPVP) à priv.gc.ca

Les résidents du Québec bénéficient également de droits en vertu de la Loi 25, notamment le droit d'être informé des décisions automatisées qui vous concernent.

7. Fournisseurs de services tiers

Nous partageons des données limitées avec les sous-traitants conformes aux normes canadiennes suivants :

• Telnyx LLC (États-Unis) — agrégateur d'opérateurs télécom. Les numéros de téléphone et le contenu des messages sont transmis à Telnyx pour la livraison. Telnyx a signé un Avenant de traitement des données avec HonkIO.
• Hébergeur d'infrastructure API (peut être situé hors du Canada) — hébergement de l'application API. Les renseignements personnels peuvent être traités en transit par cette infrastructure à chaque requête. Aucune donnée personnelle n'est persistée par l'hébergeur. Un Accord de traitement des données est en place limitant l'utilisation à la prestation de services.
• Supabase Inc. — hébergement de base de données, limité à ca-central-1 (Montréal). Toutes les données personnelles persistantes sont stockées ici.
• Upstash Inc. — hébergement de cache Redis, limité à ca-central-1 (Montréal). Utilisé pour la limitation de débit et l'état de session.
• Stripe Inc. (États-Unis) — traitement des paiements. Les informations de facturation sont gérées directement par Stripe et ne sont pas stockées par HonkIO.

Nous avons des Accords de traitement des données avec tous les sous-traitants qui traitent des renseignements personnels. Les sous-traitants dont l'infrastructure peut être située hors du Canada sont soumis à des garanties contractuelles supplémentaires, comme documenté dans notre EFVP.

8. Sécurité

Nous mettons en œuvre des mesures de sécurité conformes aux normes de l'industrie, notamment TLS 1.3 en transit, AES-256 au repos, hachage des clés API (bcrypt), signatures webhook HMAC et contrôles d'accès au niveau réseau. Les clés API sont hachées avant stockage — nous ne pouvons pas récupérer votre clé en cas de perte. Nous effectuons des évaluations de sécurité régulières et consignons tous les accès privilégiés.

9. Témoins et suivi

Notre site Web de marketing utilise des témoins (cookies) internes minimaux pour la gestion de session et l'analytique. Nous n'utilisons pas de témoins publicitaires tiers. L'API elle-même n'utilise pas de témoins — l'authentification se fait via des clés API dans les en-têtes de requête.

10. Évaluations des facteurs relatifs à la vie privée

Conformément à la Loi 25 du Québec §3.3, HonkIO effectue des Évaluations des facteurs relatifs à la vie privée (EFVP) avant de mettre en œuvre de nouveaux flux de données impliquant des renseignements personnels hors du Québec.

Une EFVP a été réalisée le 3 avril 2026, portant sur le transfert transfrontalier de renseignements personnels via l'API hébergée sur Railway de HonkIO (voir §3 ci-dessus). L'évaluation a examiné la sensibilité des données en transit, le cadre juridique de la juridiction réceptrice (États-Unis), les protections contractuelles en place, les contrôles techniques et les risques résiduels. L'EFVP a conclu qu'une protection adéquate existe et que le transfert peut procéder. Des résumés d'EFVP sont disponibles pour les clients entreprise sur demande écrite à privacy@honkio.ca.

11. Contacter notre responsable de la protection de la vie privée

Notre responsable désigné de la protection de la vie privée peut être joint à :

12. Modifications de cette politique

Nous vous aviserons par courriel de toute modification importante de cette politique de confidentialité au moins 14 jours avant son entrée en vigueur. La date de « dernière mise à jour » en haut de cette page reflétera toujours la version actuelle.