Dernière mise à jour : 6 juin 2026 · English version

Politique de confidentialité

DesignVault s'engage à protéger vos renseignements personnels conformément à la Loi 25 (Québec), à la LPRPDE (Canada) et au RGPD (Union européenne).

1. Responsable de la protection des renseignements personnels

Conformément à la Loi 25, la personne responsable de la protection des renseignements personnels chez DesignVault est :

Pascal Potvin, responsable de la protection des renseignements personnels
Courriel : privacy@designvault.net
Adresse : [À FAIRE : adresse postale], Sherbrooke (Québec), Canada

Si vous êtes en situation de handicap, vous pouvez demander cette politique dans un format adapté en écrivant à l'adresse ci-dessus.

2. Notre rôle : responsable et sous-traitant

DesignVault agit à deux titres distincts :

  • Comme responsable pour les données de compte (nom, courriel), les références de facturation et les journaux de sécurité et d'audit — le traitement décrit dans la présente politique.
  • Comme sous-traitant (processor) pour le contenu que votre organisation met dans le service (actifs, étiquettes, collections, commentaires, annotations, données des membres). Pour ces données, votre organisation est le responsable et notre traitement est régi par notre Entente de traitement des données. Pour toute question ou demande concernant du contenu appartenant à une organisation (par exemple un commentaire vous mentionnant), adressez-vous d'abord à cette organisation; nous l'aiderons à vous répondre.

3. Renseignements personnels recueillis

Nous recueillons les catégories de renseignements suivantes :

  • Identification : nom, adresse courriel
  • Authentification : jeton d'accès Figma (chiffré AES-256-GCM), données de session
  • Organisationnel : nom de l'organisation, rôle dans l'équipe
  • Financier (référence) : identifiant client Stripe (les données de paiement sont traitées par Stripe)
  • Technique : adresse IP et type de navigateur (journal d'audit et sécurité; nous ne suivons pas analytiquement les pages visitées)
  • Contenu : actifs de design importés, étiquettes, collections. Lorsque l'IA est activée pour votre organisation, le contenu des actifs (image et texte) est traité par OpenAI pour l'étiquetage automatique et la recherche sémantique

4. Finalités du traitement

Vos renseignements sont utilisés aux fins suivantes :

  • Fournir et maintenir le service DesignVault (fondement : contrat)
  • Authentifier les utilisateurs et sécuriser les comptes (intérêt légitime)
  • Importer des actifs depuis Figma via votre jeton d'accès (consentement exprès)
  • Traiter les paiements via Stripe (contrat)
  • Envoyer des courriels transactionnels : invitations, alertes, factures (contrat)
  • Fonctions d'intelligence artificielle — étiquetage automatique et recherche sémantique via OpenAI, uniquement si votre organisation les active (intérêt légitime; désactivables)
  • Envoyer des communications marketing — uniquement avec votre consentement exprès (aucune n'est envoyée par défaut)

5. Consentement

Conformément à la Loi 25 et au RGPD, nous obtenons votre consentement de façon granulaire pour chaque finalité qui l'exige. Vous pouvez retirer votre consentement en tout temps dans les paramètres de votre compte, aussi facilement qu'il a été donné.

Jeton Figma : la conservation de votre jeton d'accès Figma requiert un consentement exprès, car il donne accès à votre compte Figma. Ce jeton est chiffré en AES-256-GCM et n'est jamais accessible en clair.

6. Sous-traitants et transferts

Vos données peuvent être traitées par les sous-traitants suivants, avec lesquels nous avons des ententes de traitement des données :

  • Supabase — hébergement de la base de données et authentification (Canada — région ca-central-1, Toronto)
  • Vercel — hébergement de l'application (CDN mondial)
  • Stripe — traitement des paiements (États-Unis)
  • Resend — envoi de courriels (États-Unis)
  • OpenAI — étiquetage automatique et vecteurs IA, uniquement si l'IA est activée pour votre organisation (États-Unis)
  • Sentry — surveillance des erreurs et observabilité (États-Unis; configuré sans transmission de renseignements personnels directs — aucune IP, aucun témoin, aucun corps de requête)
  • Upstash — limitation de débit et protection contre les abus (États-Unis)
  • Figma (Adobe) — API de design (États-Unis) — responsable distinct

La liste à jour, avec rôles et localisations, est maintenue à designvault.net/fr/subprocessors. Nous donnons aux propriétaires d'organisation un préavis de 30 jours avant d'ajouter ou de remplacer un sous-traitant, tel que décrit dans notre Entente DPA.

Transferts : pour les transferts depuis l'EEE/le R.-U. vers des sous-traitants aux États-Unis, nous nous appuyons sur les clauses contractuelles types de la Commission européenne (décision (UE) 2021/914) ou, lorsque le sous-traitant est certifié, sur le Data Privacy Framework UE–É.-U. Avant de communiquer des renseignements personnels à l'extérieur du Québec, nous procédons à l'évaluation exigée par la Loi 25.

7. Vos droits

Vous disposez des droits suivants sur vos renseignements personnels :

  • Accès : obtenir une copie de vos données
  • Rectification : corriger des données inexactes
  • Suppression : supprimer votre compte et vos données
  • Portabilité : exporter vos données dans un format structuré (JSON)
  • Opposition : vous opposer au traitement pour certaines finalités
  • Limitation : restreindre le traitement dans certains cas

Pour exercer ces droits, allez dans Paramètres > Confidentialité ou écrivez à notre responsable à privacy@designvault.net. Nous répondrons dans un délai de 30 jours.

8. Conservation des données

Vos données sont conservées tant que votre compte est actif. Après la suppression du compte, vos données sont effacées dans les 30 jours, sauf lorsque la loi exige leur conservation (données financières : 7 ans).

9. Sécurité

Nous mettons en place les mesures suivantes pour protéger vos données :

  • Isolation multi-locataire via Row Level Security (RLS) PostgreSQL
  • Chiffrement AES-256-GCM des jetons Figma
  • HTTPS sur toutes les communications
  • Authentification sécurisée avec Supabase Auth
  • Rôles d'accès granulaires (propriétaire, admin, membre, observateur)
  • Validation de toutes les entrées utilisateur
  • Journal d'audit des actions sensibles

10. Témoins (cookies)

Nous utilisons uniquement des témoins de première partie :

  • Strictement nécessaires : authentification, session et mémorisation de votre choix de consentement (dv-cookie-consent).
  • Fonctionnels : préférence de langue/thème (dv-theme) et, si vous arrivez par un lien de parrainage, un témoin d'attribution dv_ref (90 jours).

Nous n'utilisons aucun témoin publicitaire ni traceur analytique tiers. Si nous en introduisions un jour, ils seraient soumis à votre consentement préalable via la bannière dédiée — où refuser est aussi simple qu'accepter — et gérables en tout temps.

11. Incidents de confidentialité

En cas d'incident de confidentialité présentant un risque sérieux de préjudice, nous avisons la Commission d'accès à l'information du Québec (CAI) et les personnes concernées conformément à la Loi 25. Pour les résidents de l'UE, l'autorité de protection des données compétente est avisée dans les 72 heures.

12. Plaintes

Si vous estimez que vos droits n'ont pas été respectés, vous pouvez déposer une plainte auprès de :

  • Commission d'accès à l'information du Québec (CAI) cai.gouv.qc.ca
  • Commissariat à la protection de la vie privée du Canada priv.gc.ca

13. Résidents de la Californie (CCPA/CPRA)

Si vous résidez en Californie, vous disposez des droits de savoir, d'accès, de suppression, de rectification et de non-discrimination en vertu du CCPA/CPRA. Vous pouvez les exercer via Paramètres > Confidentialité ou à privacy@designvault.net. Nous ne vendons ni ne « partageons » vos renseignements personnels au sens du CCPA (aucune publicité ciblée intercontexte), de sorte qu'aucun lien « Do Not Sell or Share » n'est requis. Nous ne vous pénalisons pas pour l'exercice de ces droits.

14. Intelligence artificielle

Certaines fonctions (étiquetage automatique, recherche sémantique, suggestions d'actifs similaires) reposent sur des modèles d'IA d'OpenAI. Elles ne sont actives que si votre organisation les a explicitement activées, et peuvent être désactivées en tout temps. Aucune décision exclusivement automatisée produisant des effets juridiques n'est prise à votre sujet. Le contenu traité par l'IA n'est pas utilisé pour entraîner des modèles de tiers.

15. Modifications

Nous pouvons modifier la présente politique. Tout changement important sera communiqué par courriel ou notification dans l'application. La version en vigueur est toujours disponible sur cette page.