Command Center

Politique de confidentialité

Entrée en vigueur : 22 avril 2026 · Dernière mise à jour : 22 avril 2026

La présente politique explique comment [LEGAL_ENTITY](« Command Center », « nous », « notre » ou « nos ») recueille, utilise, communique et protège les renseignements personnels lorsque vous utilisez notre site Web, notre application Web et les services connexes (collectivement, le « Service »).

Nous sommes établis à Montréal, au Québec, Canada. La présente politique est conçue pour respecter les normes les plus strictes qui s’appliquent, notamment :

  • Loi 25 du Québec (Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1)
  • LPRPDE (Loi sur la protection des renseignements personnels et les documents électroniques, fédérale)
  • RGPD (Règlement (UE) 2016/679) et RGPD du Royaume-Uni
  • CCPA / CPRA (lois californiennes sur la vie privée)

Table des matières

1. Qui nous sommes et comment nous joindre

Le responsable du traitement de vos renseignements personnels est [LEGAL_ENTITY], ayant son siège social à [BUSINESS_ADDRESS], Montréal (Québec), Canada.

Demandes générales en matière de confidentialité : privacy@cmdctr.cc.

2. Responsable de la protection des renseignements personnels

Conformément à la Loi 25, nous avons désigné une personne responsable de la protection des renseignements personnels :

  • Nom : [PRIVACY_OFFICER_NAME]
  • Titre : [PRIVACY_OFFICER_TITLE]
  • Courriel : privacy@cmdctr.cc
  • Adresse postale : [LEGAL_ENTITY] — a/s Responsable de la protection des renseignements personnels, [BUSINESS_ADDRESS], Montréal (Québec), Canada

Vous pouvez contacter le responsable pour exercer vos droits, poser des questions ou déposer une plainte.

3. Renseignements que nous recueillons

3.1 Renseignements que vous nous fournissez

  • Données de compte :adresse courriel, mot de passe haché, nom d’utilisateur, langue (français/anglais), devise préférée (CAD, USD, EUR).
  • Préférences de profil : thème (clair/sombre), disposition du tableau de bord, paramètres de notification.
  • Portefeuille et liste de surveillance :symboles boursiers, quantités d’actions, prix de revient, dates de transaction, notes.
  • Communications de soutien : messages que vous nous envoyez et leurs pièces jointes.

3.2 Renseignements recueillis automatiquement

  • Données techniques :adresse IP, type d’appareil, système d’exploitation, navigateur, langue, fuseau horaire, URL de provenance.
  • Données d’utilisation :pages consultées, fonctionnalités utilisées, durée des sessions, horodatages, journaux d’erreurs.
  • Témoins strictement nécessaires et jetons : identifiants de session et protection CSRF. Voir notre Politique sur les témoins.

Au lancement, nous n’utilisons pas d’outils d’analyse, de publicité ou de suivi tiers. Si cela change, nous mettrons à jour la présente politique, ajouterons une bannière de consentement et attendrons votre consentement préalable avant toute activation.

3.3 Renseignements reçus de tiers

  • Métadonnées de paiement (Stripe) :état de l’abonnement, pays de facturation, marque et quatre derniers chiffres de la carte, historique de factures. Nous ne recevons ni ne conservons jamais le numéro complet de carte — Stripe traite les données PCI directement.
  • Fournisseurs de données de marché et d’actualités : les cours, titres d’actualité et indices affichés proviennent de flux tiers et ne constituent pas des renseignements personnels sur vous.

3.4 Renseignements sensibles

Nous ne recueillons pasde catégories particulières de données au sens de l’article 9 du RGPD (santé, origine, opinions politiques, etc.) ni de « renseignements personnels sensibles » au sens du CPRA. Ne nous en transmettez pas.

Vos avoirs de portefeuille peuvent indirectement révéler votre situation financière. Nous les traitons de façon confidentielle et limitons les accès.

4. Fins d’utilisation et bases juridiques

En vertu du RGPD et de la Loi 25, nous traitons vos renseignements uniquement pour des fins précises, explicites et légitimes.

FinCatégories de donnéesBase juridique (RGPD)
Créer et sécuriser votre compte, authentifier les sessionsDonnées de compte, données techniquesExécution du contrat (art. 6(1)(b))
Fournir le tableau de bord : afficher avoirs, surveillance, cours, actualitésPortefeuille, données techniquesExécution du contrat (art. 6(1)(b))
Facturer et gérer votre abonnement ProDonnées de compte, métadonnées de paiementContrat (art. 6(1)(b)) ; obligation légale (art. 6(1)(c)) pour les registres fiscaux
Générer des analyses IA (forfait Pro)Portefeuille, liste de surveillanceContrat (art. 6(1)(b)) ; consentement pour les fonctions optionnelles (art. 6(1)(a))
Répondre au soutien techniqueDonnées de compte, messagesContrat ; intérêt légitime (art. 6(1)(f))
Prévenir la fraude, les abus et les incidents de sécuritéDonnées techniques, données d’utilisationIntérêt légitime (art. 6(1)(f)) ; obligation légale (art. 6(1)(c))
Respecter les obligations fiscales, comptables et légalesDonnées de compte, métadonnées de paiementObligation légale (art. 6(1)(c))
Envoyer des courriels transactionnels (reçus, alertes de sécurité)Données de compteExécution du contrat (art. 6(1)(b))
Envoyer des courriels promotionnels (si vous consentez)Données de compteConsentement (art. 6(1)(a)) ; consentement exprès LCAP pour les destinataires canadiens

Nous n’utiliserons pas vos renseignements à de nouvelles fins sensiblement différentes sans vous en informer et, lorsque requis, obtenir votre consentement.

5. Traitement par l’intelligence artificielle et décisions automatisées

Command Center utilise l’API Claude d’Anthropic pour générer des briefings de marché, des analyses d’idées de transaction et des commentaires sur les risques pour les abonnés Pro.

5.1 Ce que nous transmettons à Anthropic

  • Les symboles boursiers de votre portefeuille ou liste de surveillance.
  • Les données de marché publiques déjà récupérées (cours, données fondamentales, titres d’actualité).
  • Votre question ou requête, le cas échéant.

5.2 Ce que nous ne transmettons pas

  • Votre nom, courriel, informations de facturation ou autres identifiants.
  • Votre adresse IP.
  • Votre mot de passe ou vos jetons d’authentification.

5.3 Traitement par Anthropic

Anthropic agit à titre de sous-traitant (au sens du RGPD et de la Loi 25), lié par une entente écrite de traitement des données. Selon les conditions commerciales d’Anthropic, les entrées et sorties de nos appels API ne sont pas utilisées pour entraîner les modèles. Les données sont conservées uniquement pour la surveillance des abus et la conformité légale, pendant une période limitée.

5.4 Aucune décision automatisée à effets juridiques ou significatifs

Le contenu généré par l’IA est à titre informatif uniquement. Il ne constitue pas une décision automatisée produisant des effets juridiques ou des effets significatifs similaires (art. 22 RGPD ; art. 12.1 Loi 25). Nous n’exécutons pas de transactions, n’ouvrons ni ne fermons de comptes, et ne prenons aucune décision à votre place sur la base de résultats d’IA.

6. Avec qui nous partageons vos renseignements

Nous ne vendons pas vos renseignements personnels et ne les partageons pas pour de la publicité comportementale inter-sites. Nous les partageons uniquement avec :

  • Nos sous-traitants (hébergement, base de données, paiement, IA, courriels), liés contractuellement à des obligations de confidentialité et de sécurité. Voir la liste à jour de nos sous-traitants.
  • Nos conseillers professionnels (avocats, comptables, vérificateurs) soumis à une obligation de confidentialité.
  • Les autorités et les tierslorsque la loi l’exige ou pour protéger nos droits, votre sécurité ou l’intégrité du Service.
  • Un successeurdans le cadre d’une fusion, acquisition, financement ou vente d’actifs, sous réserve de confidentialité et avec avis aux utilisateurs concernés. La Loi 25 exige une évaluation préalable ; nous la réaliserons.

7. Transferts hors du Québec et du Canada

Nos fournisseurs peuvent conserver et traiter des données à l’extérieur de votre province, pays ou espace économique, notamment aux États-Unis et dans l’ Union européenne. Nous nous appuyons sur :

  • Clauses contractuelles types de l’UE(décision d’exécution (UE) 2021/914) avec des mesures techniques et organisationnelles complémentaires.
  • Accord international de transfert de données du Royaume-Uni ou addendum britannique.
  • Évaluation des facteurs relatifs à la vie privée (ÉFVP) Loi 25 avant tout transfert hors du Québec, tenant compte de la sensibilité des données, des fins, des protections et du régime juridique de destination.
  • Cadre UE–É.-U. sur la protection des données lorsque notre fournisseur y est certifié.

8. Durée de conservation

CatégorieDurée
Compte, portefeuille, liste de surveillanceJusqu’à la suppression du compte, plus un délai de grâce de 30 jours.
Correspondance de soutienJusqu’à 24 mois après résolution, puis supprimée ou anonymisée.
Registres de paiement et factures6 ans après la fin de l’exercice (fiscalité québécoise et fédérale).
Journaux de sécurité et d’auditJusqu’à 12 mois, puis supprimés ou agrégés.
SauvegardesRotation ≤ 35 jours.
Journaux des invites et réponses IAJusqu’à 30 jours pour le débogage et la prévention des abus.

9. Mesures de sécurité

  • Chiffrement TLS 1.2+ pour toutes les données en transit.
  • Chiffrement au repos pour les bases de données et sauvegardes.
  • Hachage des mots de passe avec un algorithme adaptatif moderne (bcrypt).
  • Principe du moindre privilège pour l’accès aux systèmes de production.
  • Authentification multifacteur pour les accès administratifs.
  • Séparation production / développement.
  • Journalisation et surveillance des accès aux renseignements personnels.
  • Revues de sécurité et correctifs de dépendances réguliers.
  • Entente écrite de traitement avec chaque sous-traitant.

10. Vos droits

Où que vous viviez, vous pouvez nous écrire à privacy@cmdctr.cc pour :

  • Accéder à vos renseignements personnels.
  • Demander la rectification d’informations inexactes ou incomplètes.
  • Demander la suppression de vos renseignements.
  • Recevoir une copie dans un format structuré et couramment utilisé.
  • Retirer votre consentement.
  • Vous opposer à certains traitements ou les limiter.
  • Vous désabonner des courriels promotionnels (toujours disponible dans chaque message).

Nous répondrons sans délai excessif et, en tout état de cause, dans les délais prévus par la loi applicable (généralement 30 jours). Nous pourrions avoir à vérifier votre identité. L’exercice de vos droits est gratuit ; vous ne ferez l’objet d’aucune mesure discriminatoire.

11. Droits des résidents de l’EEE et du Royaume-Uni (RGPD / UK GDPR)

  • Droit d’accès (art. 15), de rectification (art. 16), à l’effacement (art. 17), à la limitation (art. 18), à la portabilité (art. 20), d’opposition (art. 21).
  • Droit de ne pas faire l’objet d’une décision automatisée (art. 22) — sans objet ici, voir §5.
  • Droit de retirer votre consentement à tout moment.
  • Droit de porter plainte auprès de votre autorité locale. En France, la CNIL (cnil.fr) ; au Royaume-Uni, l’ICO (ico.org.uk).

12. Droits des résidents du Québec (Loi 25)

  • Droit d’accès et de rectification (art. 27 et 28).
  • Droit à la portabilité — recevoir vos renseignements informatisés dans un format technologique structuré et couramment utilisé (art. 27, en vigueur depuis septembre 2024).
  • Droit à la cessation de diffusion, au déréférencement et au réindexage lorsque la diffusion cause un préjudice sérieux ou que l’information n’est plus nécessaire (art. 28.1).
  • Droit d’être informé des décisions automatisées, de connaître les principaux facteurs et de présenter des observations à une personne en mesure de réviser la décision (art. 12.1). Nous n’utilisons pas de renseignements pour des décisions automatisées à effets significatifs (voir §5).
  • Droit de porter plainteà la Commission d’accès à l’information du Québec (cai.gouv.qc.ca).

13. Droits des autres résidents canadiens (LPRPDE)

  • Droit d’accès et de contestation de l’exactitude.
  • Droit de retirer le consentement, sous réserve des restrictions légales ou contractuelles.
  • Droit de porter plainte au Commissariat à la protection de la vie privée du Canada (priv.gc.ca) ou au régulateur provincial.

14. Droits des résidents de la Californie et d’autres États américains

  • Droit de savoir, de supprimer, de corriger, de se désengager de la « vente » ou du « partage », de limiter l’utilisation d’informations sensibles, et de ne pas subir de discrimination.
  • Des droits similaires existent en Virginie, Colorado, Connecticut, Utah, Texas, etc.

Exercez vos droits en écrivant à privacy@cmdctr.cc.

15. Personnes mineures

Le Service est destiné aux personnes de 18 ans et plus. Nous ne recueillons pas sciemment les renseignements des personnes mineures.

16. Notification des incidents de confidentialité

En cas d’incident présentant un risque de préjudice sérieux, nous aviserons sans délai les personnes concernées et les autorités compétentes, conformément :

  • à la Loi 25 (art. 3.5 et 3.7) — avis à la CAI et aux personnes concernées ;
  • à la LPRPDE — avis au CPVP et aux personnes concernées ;
  • aux articles 33/34 du RGPD — notification à l’autorité chef de file dans les 72 heures ;
  • aux lois américaines applicables.

Nous tenons un registre interne des incidents comme l’exige la Loi 25.

17. Témoins et technologies similaires

Nous utilisons uniquement des témoins strictement nécessaires (authentification de session et protection CSRF). Voir la Politique sur les témoins.

18. Modifications

Nous pouvons modifier la présente politique. En cas de changement important, nous vous aviserons par courriel ou par un avis bien en vue sur le Service au moins 30 jours avant l’entrée en vigueur, sauf si la loi exige une entrée en vigueur immédiate. Les versions antérieures sont disponibles sur demande.

19. Nous joindre et porter plainte

Responsable de la protection des renseignements personnels — [LEGAL_ENTITY]
Courriel : privacy@cmdctr.cc
Adresse : [BUSINESS_ADDRESS], Montréal (Québec), Canada