Mentions légales

Politique de confidentialité et mentions légales

Dernière mise à jour : 1 juin 2026

Le respect de votre vie privée et la transparence sont au cœur de nos engagements. La présente politique détaille nos mentions légales ainsi que la manière dont nous traitons vos renseignements personnels, conformément à la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25) du Québec.

1.Mentions légales (identification)

Le présent service est édité par :

Raison sociale
Infserv
Numéro d'Entreprise du Québec (NEQ)
2282164187
Siège social
6256, rue de la Villanelle, Saint-Léonard (Québec) H1S 1W1, Canada
Courriel général
hello@infserv.ca
Téléphone
+1 514 882-1425

Le service est hébergé par :

Hébergeur applicatif
Hostinger (VPS Linux)
Coordonnées
www.hostinger.fr
Base de données et authentification
Supabase (PostgreSQL managé)

2.Responsable de la protection des renseignements personnels (RPRP)

Conformément à la Loi 25, la personne désignée comme responsable de l'application de la présente politique et de la sécurité de vos données est :

Identité
Nourreddine Boukhalfa, fondateur d'Infserv
Courriel dédié
privacy@infserv.ca

Pour toute question, demande d'exercice de vos droits ou plainte concernant la gestion de vos données, veuillez écrire au RPRP à l'adresse ci-dessus. Nous nous engageons à répondre dans un délai maximal de 30 jours.

3.Renseignements personnels collectés

Marges.ai est un service B2B d'analyse de marges destiné aux commerçants en ligne. Nous collectons uniquement les renseignements nécessaires aux finalités décrites à la section 4.

A. Données de compte (fournies volontairement)

  • Adresse courriel professionnelle (utilisée pour l'authentification par lien magique via Supabase Auth).
  • Nom de l'entreprise et identifiant utilisateur interne.

B. Données de facturation (gérées par Stripe)

Les informations relatives à votre carte de crédit (numéro, date d'expiration, CVC) ne transitent pas par nos serveurs : elles sont collectées et traitées directement de manière chiffrée par notre prestataire Stripe Inc., certifié PCI-DSS niveau 1. Nous conservons uniquement un identifiant client Stripe (stripe_customer_id) et le statut de votre abonnement.

C. Identifiants de connecteurs marchands

Pour calculer vos marges, le service se connecte en lecture seule à vos comptes Shopify, Amazon Seller Central et Stripe (le cas échéant). À cet effet, nous stockons :

  • Les jetons d'accès API de chaque connecteur, chiffrés au repos dans notre base de données via l'extension PostgreSQL pgcrypto.
  • L'URL de votre boutique et votre identifiant vendeur.

Ces jetons sont déchiffrés uniquement côté serveur, au moment d'un appel sortant vers la passerelle MCP. Vous pouvez les révoquer ou les supprimer à tout moment depuis la page Intégrations de votre tableau de bord.

D. Données métier dérivées

Lorsque vous déclenchez une synchronisation, nous récupérons et conservons sous forme agrégée : chiffre d'affaires brut, frais Stripe, coûts logistiques Amazon, et la marge nette calculée. Ces données restent strictement isolées par compte grâce aux politiques Row Level Security de Supabase.

E. Données collectées automatiquement

  • Témoin de session Supabase Auth (cookie strictement nécessaire au fonctionnement de l'application, non publicitaire).
  • Journaux techniques d'erreur côté serveur (capturés par Sentry en production, avec masquage automatique des secrets).
  • Adresse IP et en-tête User-Agent transmis au moteur de limitation de débit (Upstash), conservés moins de 24 heures.

Nous n'utilisons aucun cookie publicitaire ni traceur tiers à des fins marketing.

4.Finalités de la collecte

Vos renseignements sont collectés et utilisés exclusivement pour :

  • Authentifier votre accès au tableau de bord et sécuriser votre compte.
  • Récupérer vos données de vente, vos frais de transaction et vos coûts logistiques afin de calculer votre marge nette réelle.
  • Générer le Conseil de l'IA à l'aide du modèle Claude d'Anthropic, à partir des seuls indicateurs agrégés de marge (jamais des données nominatives de vos clients finaux).
  • Émettre la facturation de votre abonnement via Stripe Billing.
  • Vous notifier par courriel (Resend) lors d'une alerte de marge critique ou d'un événement de sécurité sur votre compte.
  • Améliorer la stabilité et les performances du service (journalisation d'erreur, mesure d'usage anonyme).

5.Sous-traitants et transferts hors Québec

Nous ne vendons, n'échangeons ni ne louons vos renseignements personnels à des tiers. Nous nous appuyons toutefois sur un nombre limité de sous-traitants pour faire fonctionner le service.

Sous-traitantFinalitéLocalisation
SupabaseBase de données, authentification, stockage chiffréÉtats-Unis / Union européenne
Stripe Inc.Encaissement de l'abonnement (PCI-DSS niveau 1)États-Unis
AnthropicGénération du Conseil IA (modèle Claude)États-Unis
ResendEnvoi de courriels transactionnelsÉtats-Unis
UpstashLimitation de débit (anti-abus)États-Unis / Union européenne
SentrySurveillance des erreurs en productionÉtats-Unis
HostingerHébergement du serveur applicatifUnion européenne

Certains de ces sous-traitants traitent vos données en dehors du Québec et du Canada, notamment aux États-Unis. Chacun adhère à des normes de sécurité internationales reconnues et encadre les transferts par des clauses contractuelles types garantissant un niveau de protection équivalent à celui exigé par la Loi 25.

6.Sécurité et durée de conservation

Nous appliquons des mesures techniques et organisationnelles rigoureuses pour protéger vos renseignements :

  • Transport chiffré de bout en bout (HTTPS/TLS 1.2+).
  • Chiffrement au repos des jetons d'API marchands via pgcrypto.
  • Isolation stricte entre comptes par Row Level Security PostgreSQL — un utilisateur ne peut techniquement pas lire les données d'un autre.
  • Authentification sans mot de passe par lien magique à usage unique (réduit le risque de compromission par fuite de mot de passe).
  • Limitation de débit sur l'ensemble des points d'API sensibles.

Vos données sont conservées pendant toute la durée de votre abonnement. À la fermeture de votre compte, elles sont supprimées dans un délai maximal de 30 jours, à l'exception des pièces comptables (factures) conservées 6 ans pour respecter nos obligations fiscales canadiennes.

7.Vos droits (accès, rectification, retrait, portabilité, suppression)

En vertu de la Loi 25 et des lois applicables, vous disposez à tout moment des droits suivants concernant vos renseignements personnels :

  • Droit d'accès — obtenir la liste des renseignements que nous détenons à votre sujet.
  • Droit de rectification — corriger toute donnée inexacte ou incomplète.
  • Droit de retrait du consentement — révoquer un connecteur, vous désabonner ou supprimer votre compte depuis la page Paramètres.
  • Droit à la portabilité — recevoir une copie structurée de vos analyses dans un format lisible par machine (CSV ou JSON).
  • Droit à l'effacement — demander la suppression définitive de votre compte et des données associées.

Pour exercer ces droits, écrivez au RPRP à privacy@infserv.ca. Une pièce d'identité pourra vous être demandée afin de prévenir toute usurpation. À défaut de réponse satisfaisante de notre part, vous pouvez introduire une plainte auprès de la Commission d'accès à l'information du Québec (CAI).

8.Gestion des incidents de confidentialité

En cas d'incident de confidentialité impliquant un accès non autorisé à vos renseignements personnels présentant un risque de préjudice sérieux, nous nous engageons à :

  • Aviser sans délai la Commission d'accès à l'information (CAI) du Québec.
  • Aviser directement toutes les personnes concernées.
  • Consigner l'incident dans notre registre interne obligatoire.
  • Documenter et corriger la cause racine afin d'éviter toute récurrence.

9.Modifications

La présente politique peut évoluer pour refléter les changements légaux ou techniques. La date de dernière mise à jour figure en tête du document. En cas de modification substantielle, nous vous en informerons par courriel.