Confidentialité

Politique de Confidentialité

Dernière mise à jour : 19 avril 2026

Capturia (« nous », « notre ») exploite une plateforme d'automatisation des ventes destinée aux PME québécoises et canadiennes. La présente politique de confidentialité décrit de manière exhaustive comment nous collectons, utilisons, stockons, partageons et protégeons vos renseignements personnels lorsque vous utilisez nos services, notre site web capturia.io et nos sous-domaines (app.capturia.io, admin.capturia.io, tool.capturia.io). Elle s'applique aux clients PME, à leurs utilisateurs internes (administrateurs, vendeurs), aux prospects, aux visiteurs du site, ainsi qu'aux personnes qui interagissent avec les outils de pré-suasion publiés par nos clients sur leurs propres domaines.

1. Renseignements que nous collectons

Nous collectons des renseignements de quatre façons : directement auprès de vous, automatiquement via notre plateforme, par l'intermédiaire de services tiers que vous connectez volontairement, et indirectement lorsque vous interagissez avec un outil de pré-suasion qu'un client Capturia a publié sur son propre site.

Renseignements fournis directement : nom, prénom, adresse courriel, numéro de téléphone, nom d'entreprise, site web, industrie, réponses aux formulaires et questionnaires de qualification, messages échangés avec notre équipe ou nos agents IA, informations de rendez-vous (date, heure, participants, notes de rencontre), données saisies dans le portail client.
Renseignements collectés automatiquement : adresse IP, type de navigateur et système d'exploitation, pages visitées sur la plateforme et durée de consultation, données de géolocalisation approximative déduites de l'adresse IP, identifiants de session, cookies essentiels au fonctionnement (voir section 16). Notre outil de monitoring d'erreurs Sentry capture également les traces d'exécution (stack traces) avec votre adresse IP et un contexte applicatif lorsqu'une erreur survient, afin de diagnostiquer les bogues.
Renseignements provenant des intégrations tierces que vous activez volontairement : données de calendrier Google (disponibilités, événements, adresse courriel du compte Google) si vous connectez Google Calendar ; profil Zoom (nom, courriel), données de réunions et enregistrements si vous connectez Zoom ; données transactionnelles et de paiement traitées par Stripe ; transcriptions d'appels générées par notre service de transcription AssemblyAI.
Renseignements collectés via les outils de pré-suasion embarqués sur les sites de nos clients : réponses aux quiz, calculateurs et diagnostics, adresse courriel et coordonnées laissées volontairement par les visiteurs. Pour ce flux, c'est le client Capturia qui est le responsable du traitement principal au sens de la Loi 25 (voir section 4) ; Capturia agit comme sous-traitant et stocke ces données pour le compte du client.

2. Catégories de personnes concernées

Cette politique couvre quatre catégories distinctes de personnes dont les renseignements personnels peuvent être traités par Capturia :

Clients PME — entreprises ayant souscrit à un abonnement Capturia. Les renseignements traités concernent l'entreprise elle-même (raison sociale, adresse), son représentant légal, et les informations de paiement.
Utilisateurs internes des clients PME — administrateurs, vendeurs et collaborateurs invités par un client à utiliser la plateforme. Les renseignements traités sont les identifiants de compte, les préférences, les activités sur la plateforme et le contenu produit dans le cadre de leur travail (réponses aux quiz internes, configurations de funnels).
Visiteurs du site capturia.io et prospects — personnes qui consultent notre site marketing, remplissent un formulaire de contact, s'inscrivent à un webinaire ou interagissent avec nos agents IA de qualification.
Visiteurs des outils de pré-suasion et des sites publiés via le renderer — consommateurs finaux qui interagissent avec les quiz, calculateurs ou pages de capture qu'un client Capturia a publiés sur son propre domaine. Ces personnes n'ont aucune relation directe avec Capturia ; le client PME est le responsable du traitement principal et c'est sa propre politique de confidentialité qui s'applique en premier.

3. Utilisation de vos renseignements

Nous utilisons vos renseignements exclusivement pour fournir, maintenir, sécuriser et améliorer les services que vous avez demandés. Chaque utilisation est directement liée à une fonctionnalité visible de la plateforme.

Synchroniser les calendriers de vos vendeurs avec Google Calendar pour afficher les disponibilités sur les pages de réservation publiques et créer automatiquement les événements et salles Google Meet lors de la confirmation d'un rendez-vous.
Créer et gérer des réunions vidéo via Zoom (salles permanentes par vendeur, liens automatiques dans les invitations).
Traiter les paiements de votre abonnement Capturia via Stripe.
Envoyer des SMS (via Twilio) et des courriels transactionnels (via Resend) dans le cadre de vos workflows — confirmations de rendez-vous, suivis, relances. Pour les courriels envoyés au nom d'un client Capturia, nous provisionnons automatiquement un sous-domaine d'envoi dédié de la forme « {nom-client}.mail.capturia.io » via Resend.
Générer du contenu, des analyses, des résumés et des recommandations à l'aide de nos fournisseurs d'intelligence artificielle (Anthropic Claude, Google Gemini, OpenAI) — agents conversationnels, builder de funnels, coaching de vente, résumés post-rencontre, qualification de leads.
Transcrire les appels de vente via AssemblyAI pour alimenter le coaching et l'assurance qualité.
Compiler et publier les outils de pré-suasion clients sur l'infrastructure Cloudflare (Workers, R2, KV) servie depuis tool.capturia.io et sur les domaines personnalisés des clients.
Mesurer l'utilisation des outils publiés via notre fonction edge « renderer-track » qui collecte des métriques d'usage anonymes (pages vues, événements de conversion) sans identifiants persistants.
Assurer la sécurité de la plateforme, prévenir la fraude, surveiller les erreurs (via Sentry) et diagnostiquer les problèmes techniques.

4. Notre rôle : Capturia comme responsable et comme sous-traitant

Au sens de la Loi 25, Capturia n'a pas un rôle unique. Selon le flux de données concerné, Capturia agit soit comme responsable du traitement, soit comme sous-traitant agissant pour le compte d'un client.

Capturia agit comme responsable du traitement (controller) pour : les renseignements collectés via le site capturia.io (visiteurs, prospects, formulaires de contact), les renseignements de compte des clients PME (raison sociale, paiement, configuration), et les renseignements des utilisateurs internes des clients (vendeurs, administrateurs).
Capturia agit également comme responsable du traitement pour les renseignements recueillis via les pages de réservation (booking) hébergées sur capturia.io et ses sous-domaines, lorsqu'un visiteur réserve un rendez-vous avec un client PME. Dans ce flux, Capturia opère le système de collecte (formulaire, validation, agent IA, courriels de préparation, agenda) et la présente politique s'applique au visiteur. Le client PME concerné, dont l'identité est affichée sur la page de réservation, devient destinataire des coordonnées du visiteur après la confirmation du rendez-vous, pour son propre suivi commercial. Pour toute question portant sur l'utilisation des coordonnées par le client PME après la prise de rendez-vous (suivi commercial, ajout à un CRM, communications ultérieures), le visiteur peut s'adresser directement au client PME.
Capturia agit comme sous-traitant (processor) pour : les renseignements des leads finaux capturés via les outils de pré-suasion qu'un client Capturia a publiés sur son propre site (domaine personnalisé du client, distinct de capturia.io). Dans ce cas, c'est le client PME qui détermine les finalités, et Capturia traite les données strictement selon ses instructions, dans le cadre du contrat d'abonnement.
Pour ce dernier flux (outils de pré-suasion sur domaine personnalisé du client), le client PME est responsable de fournir sa propre politique de confidentialité aux personnes concernées et de recueillir le consentement requis. Un addendum de traitement des données (DPA) est disponible pour les clients PME qui en font la demande à [email protected]. Le DPA encadre les obligations de Capturia comme sous-traitant et liste les sous-sous-traitants utilisés (Anthropic, Google Gemini, Cloudflare, etc.) avec un droit d'objection.
Capturia ne fusionne jamais les données traitées pour un client avec celles traitées pour un autre client : l'isolation est garantie au niveau de la base de données par Row Level Security (voir section 10).

5. Intégrations et services tiers

Capturia s'intègre avec plusieurs services tiers pour offrir ses fonctionnalités. Chaque intégration est activée volontairement par vous et peut être déconnectée à tout moment depuis les paramètres de la plateforme. Lors de la déconnexion, les tokens d'accès OAuth sont immédiatement supprimés de nos systèmes. Voici le détail de chaque intégration :

Google Calendar et Google Meet — Données accédées : calendrier (disponibilités et événements), adresse courriel du compte Google. Finalité : synchroniser les disponibilités des vendeurs, créer des événements de rendez-vous, générer des salles Google Meet. Scopes OAuth demandés : calendar.readonly, calendar.events, userinfo.email. Les tokens d'accès et de rafraîchissement OAuth sont chiffrés avec AES-256-CBC avant stockage. Capturia ne stocke pas le contenu détaillé de vos événements existants — seules les plages de disponibilité sont consultées. Révocation : depuis les paramètres Capturia ou via myaccount.google.com/permissions.
Zoom — Données accédées : profil utilisateur (nom, courriel), création et gestion de réunions, liste des enregistrements. Finalité : créer automatiquement des réunions pour les rendez-vous, générer des salles permanentes par vendeur, accéder aux enregistrements pour le coaching. Les tokens OAuth sont chiffrés avec AES-256-CBC avant stockage. Capturia ne stocke pas votre mot de passe Zoom. Révocation : déconnecter depuis les paramètres Capturia (Capturia appelle immédiatement l'endpoint OAuth revoke de Zoom) ou désinstaller via marketplace.zoom.us > Manage > Added Apps (Zoom nous envoie un événement de désautorisation et Capturia confirme la suppression des données à Zoom).
Microsoft Teams — Données accédées : métadonnées des réunions Teams (participants, dates, identifiants), enregistrements des réunions lorsqu'ils sont disponibles. Finalité : compléter le coaching et l'analyse des appels pour les vendeurs qui utilisent Teams plutôt que Zoom ou Google Meet. Les tokens OAuth sont chiffrés avant stockage et révocables depuis les paramètres Capturia.
DocuSign — Données traitées : informations du signataire (nom, courriel), contenu du contrat, signature électronique avec horodatage et adresse IP. Finalité : faire signer les contrats DFY par les clients PME au moment de la conversion. Le webhook de DocuSign déclenche la transition du compte client de l'état démo vers l'état actif. Politique de DocuSign : docusign.com/company/privacy-policy.
Stripe — Finalité : traitement des paiements de l'abonnement Capturia. Capturia ne stocke pas vos numéros de carte de crédit — ils sont traités directement par Stripe (certifié PCI-DSS Niveau 1). Politique de Stripe : stripe.com/privacy.
Stripe Connect — Pour les clients PME qui le souhaitent, Stripe Connect permet à Capturia de traiter les paiements de leurs propres clients via la plateforme. Le client PME contrôle ses comptes Connect, ses produits, ses prix et ses payment links. Capturia ne voit ni ne stocke les numéros de carte des clients du client PME.
Anthropic (Claude API) — Données traitées : contenu des conversations envoyées à nos agents IA, contexte des leads, prompts de génération de contenu pour le builder de funnels. Finalité : alimenter les agents conversationnels, le builder de funnels assisté par IA et l'analyse de copy. Selon les Conditions Commerciales d'Anthropic et son DPA en vigueur depuis le 1er janvier 2026, les données envoyées via l'API ne sont pas utilisées pour entraîner les modèles. Anthropic conserve les données API par défaut pendant 7 jours pour des fins de sécurité et de prévention des abus, puis les supprime. Politique : privacy.claude.com.
Google Gemini API — Données traitées : prompts envoyés au builder de funnels assisté par IA et à certaines fonctions de génération. Finalité : génération de contenu, suggestions, analyse. Selon le « Cloud Data Processing Addendum » de Google Cloud, les prompts envoyés à Gemini for Google Cloud ne sont pas utilisés pour entraîner les modèles.
OpenAI — Données traitées : contenu des conversations de vente, transcriptions d'appels, données de contexte des leads pour certains agents legacy. Finalité : alimenter les agents IA conversationnels et la génération de résumés post-rencontre. Selon la politique API d'OpenAI, les données soumises via l'API ne sont pas utilisées pour entraîner les modèles.
AssemblyAI — Données traitées : fichiers audio d'appels de vente. Finalité : transcription automatique des appels pour le coaching et l'assurance qualité. Les fichiers audio sont supprimés par AssemblyAI après transcription.
Fireflies.ai — Données traitées : enregistrements et transcripts des réunions vidéo (Zoom, Google Meet, Microsoft Teams) lorsque le bot Fireflies est invité dans la réunion. Finalité : transcription et analyse des rencontres de vente pour alimenter le coaching post-rencontre. Capturia reçoit les transcripts via webhook après traitement par Fireflies.
Twilio — Données traitées : numéros de téléphone des contacts, contenu des messages SMS, métadonnées et enregistrements d'appels téléphoniques, voicemails. Finalité : envoi et réception de SMS, appels téléphoniques et messagerie vocale dans le cadre de vos workflows. Twilio applique également la gestion des opt-out (STOP) via mots-clés réglementaires.
WhatsApp Business — Données traitées : numéros de téléphone, contenu des messages WhatsApp entrants et sortants. Finalité : conversations WhatsApp dans l'inbox unifié des clients qui activent ce canal. La désinscription est gérée par contact dans la base de données.
Resend — Données traitées : adresses courriel des destinataires et contenu des courriels transactionnels. Finalité : livraison des courriels. Pour chaque client Capturia, nous provisionnons automatiquement un sous-domaine d'envoi dédié sous mail.capturia.io via Resend, ce qui améliore la délivrabilité et l'isolation par client.
Meta (Facebook, Instagram) — Données accédées : pages Facebook connectées, comptes Instagram professionnels, publicités Facebook Ads. Finalité : (a) recevoir les leads soumis via les Lead Ads Facebook directement dans la plateforme Capturia, (b) envoyer des événements de conversion serveur-à-serveur (Conversions API) pour mesurer la performance des campagnes — par exemple un événement Lead à l'inscription au webinaire, un événement Purchase à l'achat du Blueprint. Les tokens OAuth Meta sont chiffrés avant stockage.
GoHighLevel — Données traitées : pour les clients qui utilisent Layla (le bot SMS principal de Capturia) ou les flux de capture des landing pages, certaines informations de contact (nom, courriel, téléphone, étiquettes) sont synchronisées vers GoHighLevel pour les clients dont le CRM principal y reste hébergé. Cette synchronisation est progressivement remplacée par le CRM natif Capturia.
Cloudflare — Finalité : hébergement des outils de pré-suasion publiés (Workers + stockage R2 + KV pour le routage), CDN, pare-feu applicatif (WAF), gestion des domaines personnalisés des clients via Cloudflare for SaaS. Cloudflare peut traiter les adresses IP et les en-têtes HTTP des visiteurs pour assurer la sécurité et la délivrance du contenu.
ENTRI — Composant tiers chargé côté navigateur dans le tableau de bord client lors de l'ajout d'un domaine personnalisé. ENTRI permet la configuration DNS en un clic auprès de plus de 60 registrars. Capturia ne stocke aucun identifiant de registrar et n'effectue aucune écriture DNS depuis ses serveurs.

6. Utilisation des données Google — Conformité Google API Services User Data Policy

L'utilisation par Capturia des informations reçues des API Google respecte la Google API Services User Data Policy (developers.google.com/terms/api-services-user-data-policy), y compris les exigences d'utilisation limitée (Limited Use requirements). Capturia s'engage aux restrictions suivantes :

Capturia accède aux données Google Calendar uniquement pour fournir les fonctionnalités de synchronisation de calendrier, de gestion de rendez-vous et de création de salles de réunion directement visibles dans l'interface utilisateur de la plateforme.
Capturia n'utilise ni ne transfère les données reçues des API Google pour aucune des finalités interdites suivantes par Google : (1) publicité ciblée, (2) vente à des courtiers de données, (3) fourniture à des revendeurs d'information, (4) évaluation de la solvabilité, (5) finalités de prêt, (6) publicité utilisateur, (7) publicité personnalisée, (8) publicité de reciblage, (9) publicité basée sur les intérêts, (10) création de bases de données, (11) entraînement, affinage ou amélioration de modèles d'intelligence artificielle, qu'ils soient développés en interne ou par nos fournisseurs d'IA tiers (Anthropic, Google Gemini, OpenAI).
Capturia ne vend jamais les données Google à des tiers.
Capturia ne permet pas à des humains de lire les données reçues des API Google, sauf : (a) avec votre consentement explicite et éclairé, (b) lorsque nécessaire à des fins de sécurité (enquête sur un abus, une vulnérabilité), (c) pour se conformer à une obligation légale, ou (d) sous forme agrégée et anonymisée pour des opérations internes qui ne permettent pas de vous identifier.
Les tokens d'accès et de rafraîchissement OAuth Google sont chiffrés avec l'algorithme AES-256-CBC avant stockage dans notre base de données et ne sont jamais stockés en clair. Les tokens sont transmis exclusivement via des connexions HTTPS chiffrées. À la déconnexion d'une intégration Google, les tokens sont supprimés immédiatement et les données Google associées ne sont plus accessibles à Capturia. À la résiliation de votre compte, tous les tokens sont supprimés dans les 30 jours conformément à la procédure de suppression de compte décrite à la section 14.

7. Partage des renseignements et sous-traitants

Nous ne vendons jamais vos renseignements personnels. Nous ne partageons vos renseignements qu'avec les catégories de destinataires suivantes, dans la mesure strictement nécessaire aux finalités décrites dans cette politique :

Clients PME destinataires de leads après réservation — lorsqu'un visiteur réserve un rendez-vous via une page de booking hébergée sur capturia.io, ses coordonnées (nom, courriel, téléphone, notes éventuelles, réponses aux questions de qualification) sont transmises au client PME concerné pour permettre la tenue du rendez-vous et son suivi commercial subséquent.
Fournisseurs d'infrastructure — Supabase (base de données, authentification, fonctions edge — hébergé sur Amazon Web Services), Vercel (hébergement de l'application web), Cloudflare (Workers, R2, KV, WAF, gestion des domaines personnalisés clients).
Fournisseurs d'intelligence artificielle — Anthropic Claude (agents conversationnels, builder de funnels), Google Gemini (génération de contenu IA), OpenAI (agents IA legacy et coaching).
Fournisseurs de communications — Twilio (SMS, voix, voicemails), Resend (courriels transactionnels et sous-domaines d'envoi par client), WhatsApp Business (messages WhatsApp pour les clients qui activent ce canal).
Fournisseurs de transcription et d'analyse audio — AssemblyAI (appels téléphoniques), Fireflies.ai (réunions vidéo Zoom, Google Meet et Microsoft Teams).
Fournisseurs de vidéoconférence — Zoom, Google Meet, Microsoft Teams (selon le choix du vendeur).
Fournisseurs de paiement — Stripe (traitement des paiements d'abonnement Capturia), Stripe Connect (pour les clients PME qui traitent les paiements de leurs propres clients via Capturia).
Fournisseur de signature électronique — DocuSign (signature des contrats DFY).
Fournisseurs publicitaires — Meta (gestion des Lead Ads Facebook, envoi d'événements serveur-à-serveur via Conversions API pour mesurer la performance des campagnes).
Synchronisation CRM externe — GoHighLevel (synchronisation des contacts et étiquettes pour les clients dont le CRM principal y reste hébergé, déclenchée notamment par Layla).
Fournisseur d'observabilité — Sentry (collecte des erreurs et traces d'exécution avec contexte technique pour le débogage, incluant Session Replay).
Notifications internes — Slack (notifications opérationnelles à l'équipe Capturia, par exemple lors d'une nouvelle inscription au webinaire ou d'un incident technique). Aucune donnée personnelle de leads finaux n'est externalisée vers Slack au-delà des résumés contextuels nécessaires.
Composants tiers chargés côté navigateur — ENTRI (configuration DNS un-clic dans le wizard de domaines personnalisés).
Services tiers connectés volontairement par vous — Google, Zoom, Microsoft Teams, dans la mesure nécessaire au fonctionnement de l'intégration que vous avez activée.
Autorités légales — uniquement si requis par une ordonnance judiciaire valide, une loi applicable ou pour protéger nos droits légaux. Nous contestons toute demande qui nous semble disproportionnée.

8. Transferts de renseignements hors du Québec

Capturia est une entreprise établie au Québec, Canada. Dans le cadre de la fourniture de nos services, certains de vos renseignements personnels peuvent être transférés et traités en dehors du Canada par nos sous-traitants technologiques. Avant tout transfert, nous nous assurons que le destinataire offre un niveau de protection adéquat conformément aux exigences de la Loi 25 et qu'un contrat de traitement des données est en place. Voici la localisation principale de nos sous-traitants :

Supabase — base de données et authentification, hébergé sur Amazon Web Services, États-Unis.
Vercel — hébergement de l'application web, États-Unis.
Cloudflare — Workers, R2, KV et WAF, infrastructure multi-régions avec présence aux États-Unis et internationale.
Anthropic (Claude API) — États-Unis. Les données API ne sont pas utilisées pour l'entraînement, rétention par défaut de 7 jours.
Google (Calendar, Meet, Gemini API) — États-Unis, soumis à la Google API Services User Data Policy et au Cloud Data Processing Addendum.
Microsoft (Teams) — États-Unis et autres régions, soumis aux clauses contractuelles types Microsoft.
OpenAI — États-Unis. Les données API ne sont pas utilisées pour l'entraînement.
Zoom — États-Unis.
Stripe et Stripe Connect — États-Unis, certifié PCI-DSS Niveau 1.
DocuSign — États-Unis, conforme aux normes industrielles d'eIDAS et SOC 2.
Sentry — États-Unis, agit comme sous-traitant pour la collecte des erreurs.
AssemblyAI — États-Unis.
Fireflies.ai — États-Unis.
Twilio — États-Unis.
WhatsApp Business (Meta) — États-Unis et autres régions Meta.
Meta — États-Unis (Lead Ads et Conversions API).
Resend — États-Unis.
GoHighLevel — États-Unis.
Slack — États-Unis (notifications internes à l'équipe Capturia).

9. Évaluations des facteurs relatifs à la vie privée (EFVP)

Conformément à l'article 3.3 de la Loi 25, Capturia conduit une évaluation des facteurs relatifs à la vie privée pour chaque transfert de renseignements personnels hors du Québec ainsi que pour tout nouveau projet de traitement à risque. L'EFVP examine la sensibilité des données, les finalités, les mesures de protection contractuelles et techniques, le cadre juridique du pays destinataire, et les recours disponibles pour les personnes concernées. Les EFVP réalisées par Capturia sont disponibles sur demande raisonnable pour les clients B2B et pour la Commission d'accès à l'information du Québec (CAI). Cette procédure est revue à intervalles réguliers et lors de tout changement majeur de sous-traitant.

10. Sécurité des renseignements

Nous mettons en œuvre des mesures de sécurité techniques et organisationnelles conformes aux standards de l'industrie pour protéger vos renseignements contre l'accès non autorisé, la perte, la modification ou la divulgation :

Chiffrement de toutes les données en transit via HTTPS/TLS entre votre navigateur et nos serveurs.
Chiffrement AES-256-CBC de tous les tokens OAuth (Google, Zoom) et des informations d'authentification sensibles avant stockage dans la base de données.
Isolation stricte des données par client dans la base de données via Row Level Security (RLS) — un client ne peut jamais accéder aux données d'un autre client.
Contrôle d'accès basé sur les rôles (propriétaire, administrateur, vendeur) avec vérification côté serveur à chaque requête.
Protection CSRF (Cross-Site Request Forgery) sur tous les flux d'authentification OAuth via des cookies httpOnly à usage unique.
Sessions authentifiées avec rafraîchissement automatique des tokens et expiration configurable.
Pare-feu applicatif Cloudflare (WAF) en frontal des outils publiés pour bloquer les attaques connues et limiter le débit.
Journalisation des accès aux données sensibles pour la détection d'anomalies, et collecte des erreurs applicatives par Sentry pour identifier rapidement les vulnérabilités.
Principe du moindre privilège pour l'accès interne aux données de production : seul le personnel strictement nécessaire dispose d'un accès, journalisé et révocable.

11. Analytique comportementale et enregistrement de session

Capturia utilise deux mécanismes distincts d'enregistrement, à des fins différentes. Premièrement, sur la plateforme (capturia.io, app.capturia.io, admin.capturia.io), l'intégration « Session Replay » de Sentry enregistre une visualisation anonymisée de votre session uniquement lorsqu'une erreur applicative survient (aucune capture en condition normale, capture déclenchée par l'erreur). Cet enregistrement sert exclusivement au diagnostic du bogue. Les champs sensibles (mots de passe, informations de paiement) sont masqués automatiquement par défaut. Deuxièmement, sur les funnels et outils de pré-suasion publiés par les clients Capturia sur leurs propres sites, un mécanisme de heatmap fondé sur la bibliothèque rrweb collecte les clics, défilements et mouvements anonymes pour aider le client PME à optimiser son funnel. Pour ce second flux, c'est le client PME qui est responsable du traitement au sens de la Loi 25 (voir section 4) et Capturia agit comme sous-traitant. Aucun de ces enregistrements n'est vendu ni utilisé à des fins publicitaires. Conformément à l'article 8.1 de la Loi 25 (technologies pouvant identifier, localiser ou profiler), un mécanisme de consentement explicite préalable est planifié. En attendant, vous pouvez vous opposer à ces enregistrements en nous contactant à [email protected].

12. Intelligence artificielle

Capturia utilise l'intelligence artificielle dans plusieurs aspects de sa plateforme. Nous croyons à la transparence sur l'utilisation de ces technologies :

Agents conversationnels IA — des agents automatisés (propulsés principalement par Anthropic Claude, et par OpenAI pour certains agents legacy) qualifient les leads entrants, posent des questions de qualification et collectent les informations pertinentes. Les conversations sont stockées dans la plateforme et accessibles aux vendeurs.
Builder de funnels et de copy — Anthropic Claude et Google Gemini génèrent du contenu marketing (titres, sections, copies) à partir des prompts saisis par les vendeurs. Le contenu généré est toujours éditable par l'humain avant publication.
Coaching de vente — l'IA analyse les transcriptions d'appels et de conversations pour fournir des recommandations personnalisées aux vendeurs : points forts, axes d'amélioration, suggestions de suivi.
Résumés post-rencontre — après chaque appel transcrit, l'IA génère un résumé structuré avec les points clés, les engagements et les prochaines étapes.
Automatisation de workflows — l'IA peut déclencher ou personnaliser certaines étapes dans les séquences de suivi (contenu de SMS et de courriels, priorisation des leads).
Aucun de ces fournisseurs (Anthropic, Google, OpenAI) n'utilise les données envoyées via leurs API commerciales pour entraîner ses modèles, en vertu de leurs DPAs respectifs en vigueur en 2026.

13. Décisions exclusivement automatisées

Conformément à l'article 12.1 de la Loi 25, Capturia s'engage à informer les personnes concernées des décisions prises uniquement par un traitement automatisé qui produiraient un effet juridique ou les affecteraient de manière significative. À ce jour, Capturia ne prend aucune décision de cette nature : toutes les analyses, scores, classements et recommandations générés par l'IA sont des outils d'aide à la décision destinés à un humain (vendeur, administrateur, équipe Capturia), qui demeure l'unique décideur final. Si nous devions à l'avenir introduire une décision exclusivement automatisée affectant une personne (par exemple un refus automatique de service), nous : (a) en informerions explicitement la personne au moment de la décision, (b) lui communiquerions les renseignements personnels utilisés, les principaux facteurs et la logique générale du traitement, (c) lui offririons le droit de présenter ses observations et de demander la révision de la décision par un humain, à [email protected].

14. Conservation des renseignements

Nous conservons vos renseignements personnels selon les durées suivantes, après quoi ils sont supprimés ou anonymisés :

Données de compte client actif (profil, entreprise, configuration) — conservées pendant toute la durée de la relation contractuelle, puis 3 ans après la fin du contrat pour satisfaire aux obligations légales et fiscales.
Données des prospects et des leads finaux capturés via les outils de pré-suasion (réponses aux quiz, formulaires, conversations IA) — 24 mois après le dernier contact ou la dernière interaction, sauf instruction contraire du client PME responsable.
Enregistrements d'appels et transcriptions — 12 mois après la date de création, puis supprimés automatiquement.
Données de paiement et de facturation — conservées selon les exigences fiscales applicables au Québec (minimum 6 ans).
Journaux de connexion et données de sécurité — 12 mois.
Erreurs, traces d'exécution et enregistrements Session Replay capturés par Sentry — conservés selon la politique de rétention de notre fournisseur Sentry, typiquement entre 30 et 90 jours selon la catégorie de données et notre plan, puis purgés automatiquement.
Heatmaps et événements anonymes collectés sur les funnels publiés des clients — conservés au maximum 24 mois pour permettre au client PME d'analyser la performance de ses funnels, puis purgés.
Données envoyées aux fournisseurs d'IA (Anthropic, Google Gemini, OpenAI) — Anthropic conserve les requêtes API pendant 7 jours par défaut puis les supprime ; les autres fournisseurs appliquent des politiques équivalentes selon leurs DPAs commerciaux.
Tokens OAuth des intégrations tierces — supprimés immédiatement lors de la déconnexion de l'intégration. En cas de résiliation du compte, tous les tokens sont supprimés dans les 30 jours.

15. Vos droits — Loi 25 du Québec

Conformément à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (Loi 25, RLRQ c. P-39.1) et à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) au niveau fédéral, vous disposez des droits suivants sur vos renseignements personnels détenus par Capturia :

Droit d'accès — Vous pouvez demander une copie de tous les renseignements personnels que nous détenons à votre sujet, incluant leur provenance, les catégories de personnes y ayant accès et la durée de conservation prévue.
Droit de rectification — Vous pouvez demander la correction de renseignements inexacts, incomplets ou équivoques.
Droit de suppression et droit à la désindexation — Vous pouvez demander la suppression de vos renseignements lorsqu'ils ne sont plus nécessaires aux fins pour lesquelles ils ont été collectés, sous réserve de nos obligations légales de conservation.
Droit de retrait du consentement — Vous pouvez retirer votre consentement à un traitement spécifique à tout moment. Le retrait n'affecte pas la légalité du traitement effectué avant le retrait.
Droit à la portabilité — Vous pouvez demander de recevoir vos renseignements dans un format technologique structuré et couramment utilisé, ou de les faire transmettre à un autre organisme.
Droit d'opposition aux technologies de profilage et d'enregistrement de session — Voir section 11 pour les modalités d'opposition.
Pour exercer l'un de ces droits, envoyez votre demande à [email protected] en précisant votre identité et le droit que vous souhaitez exercer. Nous accuserons réception dans les 5 jours ouvrables et traiterons votre demande dans un délai maximal de 30 jours conformément à la Loi 25.
Mécanismes déjà en place dans la plateforme : (a) les clients PME et leurs utilisateurs internes peuvent demander la suppression de leur compte directement depuis les paramètres du tableau de bord, ce qui déclenche un processus de purge avec période de grâce ; (b) un export complet de leurs données est disponible à la demande depuis le tableau de bord ; (c) pour les contacts gérés dans le CRM par un client PME, le droit à l'effacement est exécuté automatiquement par un travail planifié quotidien — la suppression est effective dans un délai cible de 48 heures suivant la demande, avec un journal d'audit interne ; (d) la double authentification (2FA) est disponible pour tous les comptes.
Pour les droits portant spécifiquement sur l'utilisation de vos coordonnées par un client PME après une réservation effectuée sur capturia.io (suivi commercial, ajout à un CRM, communications ultérieures), vous pouvez aussi contacter directement le client PME concerné, dont l'identité figure sur la page de réservation. Capturia facilitera votre demande en cas de besoin et reste votre point de contact principal pour la phase de collecte.
Si nous ne pouvons donner suite à votre demande (par exemple en raison d'une obligation légale de conservation), nous vous en informerons par écrit avec les motifs du refus et les voies de recours disponibles.

16. Cookies et témoins

Capturia utilise un nombre limité de cookies strictement nécessaires au fonctionnement de la plateforme. Nous n'utilisons actuellement aucun cookie de publicité, de reciblage ni d'analyse marketing sur nos propres domaines (capturia.io, app.capturia.io, admin.capturia.io). Les cookies essentiels incluent : les cookies de session Supabase (authentification et maintien de la connexion), les cookies CSRF temporaires pour sécuriser les flux OAuth (Google Calendar, Zoom — httpOnly, supprimés après utilisation), et les préférences de langue. Sentry et le mécanisme heatmap décrits à la section 11 ne déposent pas de cookies persistants servant à vous identifier ou vous localiser. Pour plus de détails, consultez notre Politique de Cookies.

17. Notification d'incident de confidentialité

En cas d'incident de confidentialité présentant un risque qu'un préjudice sérieux soit causé aux personnes concernées, Capturia s'engage à : (a) notifier sans délai injustifié — visant un délai de 72 heures suivant la prise de connaissance — la Commission d'accès à l'information du Québec (CAI) ainsi que les personnes affectées, (b) tenir un registre interne de tous les incidents de confidentialité, conservé au moins 5 ans, (c) coopérer avec la CAI et toute autre autorité compétente, (d) prendre toute mesure raisonnable pour contenir l'incident et en réduire l'impact. Si vous suspectez un incident impliquant vos renseignements, contactez-nous immédiatement à [email protected] en indiquant « Incident » en objet.

18. Procédure de plainte

Si vous estimez que Capturia n'a pas respecté vos droits en matière de protection des renseignements personnels, nous vous invitons d'abord à nous écrire à [email protected] en décrivant la situation. Nous accuserons réception dans les 5 jours ouvrables et nous vous fournirons une réponse motivée dans les 30 jours. Si la réponse ne vous satisfait pas, vous pouvez porter plainte auprès de la Commission d'accès à l'information du Québec (CAI) via cai.gouv.qc.ca, ou auprès du Commissariat à la protection de la vie privée du Canada (CPVP) via priv.gc.ca pour les enjeux de portée fédérale. Aucune mesure de représailles ne sera prise contre une personne ayant exercé ses droits ou déposé une plainte.

19. Responsable de la protection des renseignements personnels

Conformément à l'article 3.1 de la Loi 25, le responsable de la protection des renseignements personnels (RPRP) au sein de Capturia est, par défaut et en l'absence de délégation écrite, le dirigeant principal de Capturia Le RPRP est joignable à : [email protected] — Capturia, Québec (Québec), Canada. Le RPRP supervise l'application de la présente politique, traite les demandes d'exercice des droits, coordonne la réponse aux incidents de confidentialité, et représente Capturia auprès de la CAI. Toute correspondance écrite peut être adressée à l'attention du « Responsable de la protection des renseignements personnels ».

20. Modifications de cette politique

Nous pouvons mettre à jour cette politique de confidentialité pour refléter des changements dans nos pratiques, nos services ou les lois applicables. La date de dernière mise à jour est indiquée en haut de la page. En cas de modification substantielle, nous vous en informerons par courriel ou par un avis bien visible sur la plateforme avant que les changements ne prennent effet. Votre utilisation continue des services après notification constitue votre acceptation des modifications. Nous vous encourageons à consulter cette politique régulièrement.

21. Contact et version officielle

Pour toute question concernant cette politique de confidentialité, pour exercer vos droits ou pour signaler un incident, contactez le responsable de la protection des renseignements personnels de Capturia à : [email protected] — Capturia, Québec (Québec), Canada. La présente politique est rédigée en français et en anglais. En cas de divergence d'interprétation entre les deux versions, la version française fait foi.