← BackEnglish

Politique de confidentialité

Plateforme AI Native Transformation app.ai-native-transformation.com Dernière mise à jour : 4 avril 2026

1. Introduction

La présente Politique de confidentialité décrit comment la plateforme AI Native Transformation (« Plateforme », « nous ») collecte, utilise, conserve et communique les renseignements personnels lorsque vous utilisez notre application web à l'adresse app.ai-native-transformation.com.

Il s'agit d'un outil de travail déployé par votre employeur (« Organisation »). Les administrateurs de votre Organisation ont accès à vos données dans leur compte. Pour toute question sur la façon dont votre employeur utilise ces données, veuillez contacter l'équipe responsable de la protection des renseignements personnels ou des ressources humaines de votre Organisation.

En utilisant la Plateforme, vous reconnaissez avoir lu et compris la présente politique.

2. Qui nous sommes

La Plateforme est exploitée en tant que produit SaaS fourni aux Organisations pour aider leurs employés à réaliser un programme de transformation IA. Vos données personnelles sont traitées à la fois par nous (à titre de responsable du traitement) et par votre Organisation (à titre de responsable du traitement pour ses employés).

3. Renseignements que nous collectons

3.1 Identité (via Google Sign-In)

Lors de votre authentification, nous collectons :

  • Votre nom complet
  • Votre adresse courriel professionnelle
  • Votre photo de profil

L'authentification est gérée via Google OAuth en utilisant uniquement les portées openid, profile et email. Nous n'accédons pas à votre Google Drive, votre Agenda, vos Contacts ni à tout autre service Google.

Votre session est maintenue via un témoin sécurisé de type HttpOnly, SameSite=Lax, qui expire approximativement tous les 30 jours.

3.2 Profil de l'employé (fourni par l'administrateur)

L'administrateur de votre Organisation peut fournir ou importer les renseignements suivants vous concernant :

  • Titre de poste et département
  • Nom de l'entreprise
  • Relation hiérarchique (gestionnaire)
  • Définition du rôle (description de vos responsabilités)
  • Préférence linguistique (français ou anglais)
  • Statut du compte (actif ou inactif)
  • Nom d'utilisateur GitHub (facultatif, pour les métriques de développement)

3.3 Contenu que vous créez

Au fil de votre progression dans le programme de coaching, les contenus suivants sont collectés et conservés :

TypeDescription
Messages de coachingTous les messages échangés entre vous et le coach IA
Artéfacts d'étapesDocuments structurés produits à chacune des 6 étapes de coaching
Évaluation de maturité IAVos réponses au questionnaire et les scores de maturité calculés
Documentation des flux de travailDescriptions de vos processus de travail, incluant les estimations de temps, les outils, les participants et les points de friction
Plan de transitionVotre plan de transformation IA, soumis à la révision et à l'approbation de votre gestionnaire

3.4 Journaux système

La Plateforme génère automatiquement les journaux suivants :

Type de journalCe qui est enregistréConservation
Journal d'auditActions de l'utilisateur (connexion, création, mise à jour, approbation, anonymisation), identité de l'acteur, enregistrement ciblé, adresse IP, horodatageIndéfinie
Journal d'utilisation IANombre de jetons par appel API (organisation, utilisateur, point d'accès, modèle)Indéfinie
Journal des requêtes IAHorodatage des requêtes par utilisateur (utilisé pour la limitation de débit)Indéfinie

Nous n'appliquons actuellement aucune politique de suppression automatique. Toutes les données sont conservées jusqu'à ce que votre Organisation ou vous-même exerciez un droit de suppression ou d'anonymisation (voir Section 8).

4. Utilisation de vos données

Nous utilisons vos renseignements personnels pour :

  • Authentifier et gérer votre compte
  • Offrir des séances de coaching IA adaptées à votre rôle et à vos responsabilités
  • Générer et conserver vos artéfacts de coaching, vos résultats d'évaluation et votre plan de transition
  • Permettre à votre gestionnaire de réviser, d'évaluer et d'approuver votre plan de transition
  • Permettre aux administrateurs de votre Organisation de suivre la progression du programme au sein de leurs équipes
  • Appliquer les limites de débit et prévenir les abus
  • Maintenir une piste d'audit à des fins de sécurité et de conformité
  • Mesurer l'utilisation de la Plateforme et améliorer le produit (voir PostHog, Section 5.4)
  • Synchroniser les métriques de productivité des développeurs si GitHub est activé (voir Section 5.3)

5. Communication de données à des tiers

5.1 Anthropic (API Claude) — Principal sous-traitant IA

Il s'agit du partage de données tiers le plus important sur cette plateforme.

Pour offrir les séances de coaching IA, nous transmettons vos contenus personnels et professionnels à l'API d'Anthropic. Cela comprend :

  • Votre nom, votre titre et votre définition de rôle
  • L'historique complet de vos conversations de coaching
  • Vos artéfacts d'étapes complétés (étapes 1 à 5)
  • Votre documentation de flux de travail (noms, descriptions, données de temps, outils, participants, scores IA)
  • Vos scores d'évaluation

Pour la notation automatisée par IA (déclenchée par l'administrateur de votre Organisation), les éléments suivants sont également transmis :

  • Le contenu de votre plan de transition
  • Vos données de flux de travail
  • Le contenu de vos artéfacts d'étapes

Point d'accès : https://api.anthropic.com Modèle : Claude Sonnet 4 (ou selon la configuration de votre Organisation) Région : Anthropic traite les données selon ses propres conditions d'infrastructure.

Une Entente de traitement des données (ETD) avec Anthropic est requise pour l'utilisation commerciale de cette plateforme. Votre Organisation doit confirmer que cette entente est en vigueur.

Politique de confidentialité d'Anthropic : https://www.anthropic.com/legal/privacy

5.2 Google (authentification uniquement)

Nous utilisons Google OAuth uniquement à des fins d'authentification. Après la connexion, nous n'effectuons aucun appel à l'API Google. Votre photo de profil est mise à jour à chaque connexion depuis votre profil Google.

5.3 GitHub (facultatif, configuré par l'administrateur)

Si votre Organisation active l'intégration GitHub, nous récupérons les données suivantes depuis GitHub via une installation d'application GitHub à portée limitée :

  • Les commits, demandes de tirage (pull requests) et révisions de code associés à votre nom d'utilisateur GitHub
  • Les agrégats quotidiens des lignes de code ajoutées et supprimées

Ces données sont visibles par les administrateurs de l'Organisation et conservées dans la Plateforme. Il s'agit d'une intégration facultative activée par votre Organisation. Pour savoir si elle est active, contactez votre administrateur.

5.4 PostHog (analytique)

Si activé par l'opérateur de la Plateforme, des données analytiques de base sont transmises à PostHog, un service d'analyse basé aux États-Unis. Cela comprend :

  • Votre adresse courriel et votre nom (pour l'identification de l'utilisateur)
  • Les pages consultées et les événements de départ de page

PostHog utilise le localStorage du navigateur (et non des témoins) pour le suivi côté client.

Si vous vous trouvez dans une juridiction exigeant un consentement pour l'utilisation de services d'analyse, votre Organisation doit s'assurer que des mécanismes appropriés d'avis ou de consentement sont en place.

Politique de confidentialité de PostHog : https://posthog.com/privacy

5.5 Fournisseurs d'infrastructure

Vos données sont hébergées sur l'infrastructure américaine suivante :

FournisseurRôleRégion
VercelHébergement de l'application (sans serveur)États-Unis
Supabase (AWS)Base de données (PostgreSQL)AWS US-West-2

6. Qui peut accéder à vos données

Vous

Vous pouvez consulter et modifier vos propres séances de coaching, artéfacts, évaluations, flux de travail et plan de transition. Vous ne pouvez pas accéder aux données des autres employés.

Votre gestionnaire

Votre gestionnaire peut lire, évaluer, commenter et approuver ou rejeter votre plan de transition. Il ne peut pas accéder à vos conversations de coaching, à vos artéfacts d'étapes, à vos réponses d'évaluation ni à vos détails de flux de travail.

Vous serez informé avant de soumettre votre plan de transition que celui-ci deviendra visible par votre gestionnaire.

Les administrateurs de votre Organisation

Les administrateurs de votre Organisation ont un accès complet en lecture à l'ensemble des données des employés de leur compte, notamment les séances de coaching, les artéfacts, les évaluations, les flux de travail, les plans, les journaux d'audit et les métriques d'utilisation. Ils peuvent également exporter vos données et déclencher une anonymisation.

L'opérateur de la Plateforme (super-administrateur)

L'opérateur de la Plateforme dispose d'un accès administratif inter-organisations à des fins d'exploitation et de soutien. Cet accès est consigné dans les journaux.

7. Témoins (cookies)

TémoinFinalitéTypeExpiration
__Secure-next-auth.session-tokenSession d'authentificationHttpOnly, Secure, SameSite=Lax~30 jours

Nous n'utilisons pas de témoins publicitaires ni de témoins de suivi tiers. L'analytique PostHog utilise le localStorage du navigateur.

8. Vos droits

Selon votre juridiction, vous pouvez disposer des droits suivants concernant vos renseignements personnels :

  • Accès — Demander une copie de l'ensemble des données vous concernant
  • Rectification — Demander la correction de données inexactes
  • Effacement / Anonymisation — Demander la suppression ou l'anonymisation de vos renseignements personnels
  • Portabilité — Demander vos données dans un format structuré et lisible par machine
  • Opposition — Vous opposer à certaines activités de traitement

Comment exercer vos droits

L'administrateur de votre Organisation peut exporter l'ensemble de vos données ou déclencher une anonymisation depuis le panneau d'administration.

L'exportation des données produit un fichier JSON complet contenant votre profil, vos évaluations, vos séances de coaching et vos messages, vos artéfacts d'étapes, votre plan de transition et ses révisions, vos flux de travail et vos entrées du journal d'audit.

L'anonymisation est irréversible et supprime tous les identifiants personnels du système. Votre nom est remplacé par « Utilisateur anonymisé », votre adresse courriel est supprimée, et le contenu de vos messages de coaching, artéfacts et plan est effacé. Les scores agrégés peuvent être conservés à des fins de rapports organisationnels.

Pour exercer vos droits, contactez l'administrateur de votre Organisation ou communiquez avec nous à l'adresse indiquée à la Section 15.

9. Conservation des données

Nous n'appliquons actuellement aucune politique de suppression automatique ni de durée de vie des données. Toutes les données sont conservées pour la durée du compte de votre Organisation, à moins qu'elles ne soient anonymisées ou supprimées manuellement.

Nous recommandons aux Organisations d'établir une politique de conservation alignée sur leurs pratiques en matière d'emploi, par exemple en conservant les données pour la durée de l'emploi plus une période définie (p. ex., 12 mois).

10. Sécurité

Nous mettons en œuvre les mesures techniques suivantes pour protéger vos données :

  • Protection CSRF via la validation de l'en-tête Origin sur toutes les requêtes modifiant des données
  • Limitation de débit par utilisateur sur les points d'accès IA (20 requêtes par heure)
  • Verrouillage des requêtes simultanées (une seule requête IA à la fois par utilisateur)
  • Isolation des données multitenant : tous les enregistrements sont délimités par orgId avec des contraintes de clé étrangère appliquées
  • Chiffrement des informations d'identification des extensions au repos (AES-256-GCM)
  • Restriction de connexion par domaine : seuls les domaines de courriel autorisés peuvent s'authentifier
  • Journalisation de toutes les actions significatives des utilisateurs et des administrateurs, incluant l'adresse IP

11. Loi applicable et réglementations

La présente Politique de confidentialité est régie par les lois de la province de Québec et les lois fédérales du Canada qui s'y appliquent.

Les pratiques de traitement des données de la Plateforme sont conçues pour se conformer aux lois suivantes :

  • Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, en vigueur depuis septembre 2023), incluant :
    • Le droit d'accès, de rectification et de suppression des renseignements personnels
    • L'obligation de publier et de maintenir une politique de confidentialité accessible
    • Les obligations d'évaluation des facteurs relatifs à la vie privée (EFVP) pour les systèmes collectant des renseignements personnels, incluant les systèmes de traitement par IA
    • Les obligations de notification de violation à la Commission d'accès à l'information (CAI) et aux personnes concernées
  • LPRPDE (Loi sur la protection des renseignements personnels et les documents électroniques) — applicable aux activités de compétence fédérale et aux flux de données transfrontaliers
  • LCAP (Loi canadienne anti-pourriel) — applicable à toute communication électronique envoyée via la Plateforme

Transferts hors Québec : Vos données sont traitées sur une infrastructure américaine (Vercel, Supabase/AWS) et transmises à des tiers américains (Anthropic, PostHog et optionnellement GitHub). En vertu de la Loi 25, tout transfert de renseignements personnels à l'extérieur du Québec exige la réalisation d'une évaluation des facteurs relatifs à la vie privée (EFVP) confirmant que la juridiction destinataire offre une protection adéquate et comparable aux standards québécois. Les Organisations déployant cette Plateforme sont responsables de la réalisation ou de l'obtention de cette évaluation avant toute utilisation par des employés résidant au Québec.

Autorité de surveillance : L'autorité réglementaire en matière de protection des renseignements personnels au Québec est la Commission d'accès à l'information (CAI) : www.cai.gouv.qc.ca

12. Données des mineurs

La Plateforme est un outil professionnel destiné aux adultes dans un contexte d'emploi. Nous ne collectons pas sciemment de renseignements personnels auprès de personnes âgées de moins de 16 ans.

13. Modifications de la présente politique

Nous pouvons mettre à jour la présente Politique de confidentialité de temps à autre. Le cas échéant, nous mettrons à jour la date de « Dernière mise à jour » figurant en haut du document. Pour les modifications importantes, nous informerons les utilisateurs ou les Organisations via la Plateforme ou par courriel.

14. Responsable de la protection des renseignements personnels

Conformément à la Loi 25, toute Organisation utilisant la Plateforme doit désigner un responsable de la protection des renseignements personnels. Cette désignation doit être publiée sur le site web de l'Organisation.

Pour toute question relative à la protection des renseignements personnels au sein de votre Organisation, communiquez avec le responsable désigné par votre employeur.

15. Nous joindre

Pour toute question relative à la confidentialité ou pour exercer vos droits, communiquez avec nous :

AI Native Transformation privacy@ai-native-transformation.com

Si votre demande concerne la façon dont votre employeur utilise vos données dans la Plateforme, veuillez communiquer directement avec votre Organisation.