Documents légaux
Politique de confidentialité de Gestioo
Dernière mise à jour : 9 juillet 2026
La présente Politique de confidentialité explique comment Gestioo (« Gestioo », « nous », « notre » ou « nos ») collecte, utilise, conserve, communique et protège les renseignements personnels dans le cadre de l’utilisation de notre site Web et de notre plateforme SaaS accessible à l’adresse https://gestioo.co.
Gestioo fournit une plateforme de signature électronique, de gestion documentaire, de gestion de contrats et de génération ou conservation de certificats liés aux documents et signatures.
1. Responsable de la protection des renseignements personnels
9570-1207 Québec inc.
Gestioo, Gestion Municipale
2260 rue KENNAN-JENCKES
Sherbrooke, Québec
Canada, J1M 0A5
Courriel confidentialité : privacy@gestioo.co
Courriel support : support@gestioo.co
2. Renseignements personnels collectés ou traités
Selon l’utilisation de Gestioo, nous pouvons collecter ou traiter :
- nom, prénom, courriel, organisation, rôle et permissions;
- renseignements d’authentification liés au SSO Microsoft 365 ou Google Workspace;
- adresse IP, navigateur, appareil, système d’exploitation et journaux techniques;
- actions effectuées dans la plateforme;
- documents complets, contrats, pièces jointes, signatures, certificats et métadonnées;
- PDF templates, documents applicatifs, fichiers temporaires ou documents générés;
- fragments d’adresse ou adresses complètes lorsque l’autofill d’adresse est utilisé;
- données d’audit, horodatages, journaux de preuve et informations de signataires;
- renseignements de facturation et d’abonnement traités par Stripe;
- données analytiques et de performance traitées seulement lorsqu'un fournisseur analytics est configuré et accepté;
- index et vecteurs dérivés du contenu des documents, générés et conservés localement au Québec pour l’assistant documentaire, la recherche et le classement.
3. Finalités
Nous utilisons les renseignements personnels pour :
- créer, gérer et sécuriser les comptes;
- fournir la plateforme Gestioo;
- permettre l’authentification SSO Microsoft 365 ou Google Workspace;
- permettre l’autofill ou la validation d’adresse lorsque cette fonctionnalité est activée;
- permettre la signature électronique;
- gérer les documents, contrats, PDF templates et certificats;
- produire des journaux d’audit et preuves;
- traiter les paiements et abonnements;
- fournir le support;
- prévenir la fraude et les accès non autorisés;
- diagnostiquer les problèmes techniques;
- fournir l’assistant documentaire IA et répondre aux questions avec citations;
- indexer et vectoriser les documents pour la recherche et l’assistance;
- suggérer un classement des documents selon le calendrier de conservation;
- proposer un caviardage assisté des renseignements sensibles;
- respecter nos obligations légales, contractuelles et de conformité.
Tout le traitement d’intelligence artificielle — assistance documentaire, indexation, vectorisation, suggestion de classement et caviardage — s’exécute localement sur l’infrastructure de Gestioo au Québec. Aucun document ni renseignement personnel n’est transmis à un service d’intelligence artificielle externe.
Gestioo ne vend pas les renseignements personnels.
4. Données sensibles
Gestioo peut être utilisé pour traiter des documents contenant des renseignements sensibles. Les clients sont responsables de déterminer si leur utilisation de Gestioo est appropriée pour les renseignements qu’ils téléversent, signent ou traitent.
Les clients doivent éviter de téléverser des renseignements sensibles qui ne sont pas nécessaires à l’utilisation prévue de Gestioo.
5. Fournisseurs et emplacements
Gestioo utilise les fournisseurs présentés ci-dessous. Lorsqu’un changement de fournisseur peut avoir un impact matériel sur le traitement des renseignements personnels, Gestioo mettra la présente liste à jour et fournira un avis raisonnable lorsque requis ou approprié.
| Sous-traitant | Service | Résidence des données |
|---|---|---|
| OVH | Hébergement applicatif (VPS avec Coolify), routage HTTPS, stockage objet, sauvegarde et archivage | Beauharnois, Québec, Canada |
| Supabase | Base de données, backend, authentification applicative, Supabase Storage | Montréal, Québec, Canada |
| Microsoft Entra ID / Microsoft 365 | SSO Microsoft 365 et import d’annuaire minimal | Canada |
| Google Workspace | SSO Google Workspace et import d’annuaire minimal | États-Unis |
| Pingram.io | Courriels transactionnels et services applicatifs | Montréal, Québec, Canada |
| Mapbox | Autofill, suggestion ou validation d’adresse | États-Unis |
| SignatureAPI | Signature électronique, documents, certificats | États-Unis |
| Stripe | Paiement, facturation et abonnements | États-Unis |
La liste des sous-traitants est également publiée à https://gestioo.co/sous-traitants.
6. Microsoft Entra ID / Microsoft 365
Lorsque le SSO Microsoft 365 est utilisé, Gestioo peut recevoir ou traiter des renseignements provenant de Microsoft Entra ID, notamment le nom, le courriel, l’identifiant utilisateur, le tenant, certains groupes ou rôles et des métadonnées d’authentification.
7. Mapbox et autofill d’adresse
Lorsque l’autofill d’adresse est activé, Gestioo peut transmettre à Mapbox les informations nécessaires pour suggérer, compléter ou valider une adresse.
Ces informations peuvent inclure des fragments d’adresse, une adresse complète, une ville, une province, un code postal, des coordonnées approximatives ou des métadonnées techniques nécessaires au fonctionnement de la fonctionnalité.
8. Stockage
Gestioo utilise OVH Object Storage (Beauharnois, Québec, Canada) et Supabase Storage (Montréal, Québec, Canada) pour stocker des documents, PDF templates, documents applicatifs, fichiers générés, sauvegardes ou archives.
9. Fournisseurs de signature et certificats
Certaines fonctionnalités de signature électronique, de certification ou de validation peuvent nécessiter la transmission du document complet ou de données de signature à un fournisseur spécialisé.
Ces fonctionnalités s’appuient sur SignatureAPI.
Lorsque SignatureAPI est utilisé, le document complet peut être transmis aux États-Unis.
10. SignatureAPI et transfert aux États-Unis
Certaines fonctionnalités de signature électronique, de certification ou de validation nécessitent la transmission du document complet à SignatureAPI.
Lorsque cette fonctionnalité est utilisée, les données suivantes peuvent être transmises :
- document complet;
- métadonnées du document;
- informations des signataires;
- données nécessaires à la signature ou validation;
- certificats, audit trail, horodatages ou éléments techniques connexes.
SignatureAPI utilise une infrastructure située aux États-Unis. Des renseignements personnels, incluant des renseignements sensibles contenus dans les documents, peuvent donc être transférés ou rendus accessibles à l’extérieur du Québec et du Canada.
Après la complétion de la signature, Gestioo télécharge le livrable signé, sauvegarde le PDF signé ainsi que les preuves nécessaires, puis demande la suppression de l’enveloppe SignatureAPI via l’API. Cette demande de suppression rend l’enveloppe inaccessible ou réduit sa conservation selon les capacités de l’API et les modalités de SignatureAPI, sans garantir un effacement permanent immédiat des systèmes, journaux, sauvegardes ou mécanismes de récupération du fournisseur.
11. Conservation
Les données de compte et données clients sont conservées pendant la durée de l’abonnement ou de la relation contractuelle.
Les documents municipaux classés sont conservés selon les délais du calendrier de conservation, dérivés du recueil BAnQ MUN-2025 par rubrique. Tant qu’un document n’est pas classé, il est conservé par défaut plutôt que supprimé (sur-rétention). Aucune destruction n’est automatique : la disposition d’un document ne s’effectue que par une approbation humaine, avec production d’un procès-verbal de destruction et journalisation. Les documents scellés ou archivés sont protégés par un verrouillage d’archives (Object Lock) et, le cas échéant, une retenue légale (Legal Hold).
Les documents scellés, archivés, placés sous Object Lock, Legal Hold ou autre mécanisme de conservation, ainsi que les certificats, audit trails, preuves de signature, exports et journaux nécessaires à la preuve, sont conservés selon la configuration du client, la finalité de preuve, les obligations contractuelles, les obligations légales ou les paramètres d’archivage applicables.
Après la fermeture d’un compte, les données de compte et les documents résiduels non scellés, non classés et non soumis à un mécanisme de conservation particulier peuvent être conservés jusqu’à 90 jours, sauf si une conservation plus longue est requise par la loi, un litige, une obligation de sécurité, fiscale, comptable ou de conformité.
Les sauvegardes sont conservées jusqu’à 30 jours.
Certaines données minimales peuvent être conservées plus longtemps pour respecter des obligations légales, fiscales, comptables, de sécurité, d’audit ou de preuve.
12. Sécurité
Gestioo met en œuvre des mesures raisonnables, incluant :
- chiffrement des communications en transit;
- contrôles d’accès;
- authentification sécurisée;
- gestion des rôles et permissions;
- journalisation;
- sauvegardes;
- séparation logique des données;
- principe du moindre privilège;
- surveillance technique;
- processus de réponse aux incidents.
Aucune méthode de transmission ou de stockage électronique n’est toutefois entièrement sécurisée.
13. Droits des personnes concernées
Sous réserve des limites prévues par la loi, vous pouvez demander l’accès, la rectification, le retrait du consentement lorsque applicable, la suppression de certains renseignements, et des informations sur l’utilisation ou la communication de vos renseignements.
Pour exercer vos droits : privacy@gestioo.co.
Lorsque Gestioo traite les renseignements pour le compte d’un client, nous pouvons rediriger la demande vers ce client.
14. Témoins et technologies similaires
Gestioo peut utiliser des témoins, journaux techniques ou technologies similaires pour maintenir les sessions, sécuriser l’authentification, prévenir la fraude, mesurer la performance, diagnostiquer les erreurs et améliorer l’expérience utilisateur.
15. Incidents de confidentialité
En cas d’incident de confidentialité, Gestioo prendra des mesures raisonnables pour évaluer la situation, réduire les risques, sécuriser les systèmes, documenter l’incident et effectuer les avis requis lorsque la loi l’exige.
16. Modifications
La version la plus récente de cette Politique sera disponible à https://gestioo.co/politique-confidentialite.
17. Contact
9570-1207 Québec inc.
Gestioo, Gestion Municipale
2260 rue KENNAN-JENCKES
Sherbrooke, Québec
Canada, J1M 0A5
Courriel confidentialité : privacy@gestioo.co
Courriel support : support@gestioo.co
