POLITIQUE DE CONFIDENTIALITÉ
Dernière mise à jour : 15 mai 2026
Référence du document : Politique de confidentialité Upclick Version actuelle : 3.0 Date d'entrée en vigueur : 15 mai 2026 Remplace : Version 2.0 du 15 avril 2026 Les versions précédentes sont disponibles sur demande à l'adresse : dpo@upclick.com
La présente Politique de Confidentialité (la « Politique ») décrit les pratiques de collecte et de traitement des données d'Avanquest Software SAS dba Upclick et de ses filiales et sociétés affiliées (« UpClick », « nous » ou « notre ») concernant (i) les visiteurs de notre site disponible à l'adresse : www.upclick.com ou https://u-bill.com/ ou tout autre site web renvoyant à la présente Politique de Confidentialité (respectivement « Visiteurs » et « Site web ») ; (ii) les clients de nos Partenaires commerciaux utilisant nos Services lors de l'achat d'un produit en ligne (tous tels que détaillés et définis ci-dessous) (« Clients ») ; et (iii) nos affiliés et marchands (« Partenaires commerciaux »).
Responsable du traitement. Avanquest Software SAS est le responsable du traitement des Données personnelles fournies qui sont traitées dans le cadre des Services.
7270356 Canada Inc., opérant sous le nom d'Avanquest Canada, est une filiale d'Avanquest Software SAS et soutient l'exploitation des Services au Canada, notamment en matière de relations clientèle, de conformité locale et de fonctions administratives.
Vous pouvez nous contacter à l'adresse suivante : pour les demandes d'informations générales, ou à l'adresse dpo@upclick.com pour toute demande relative à la protection des données.
Aux fins de la présente politique, les « Service(s) » comprennent les services de traitement des paiements et de facturation fournis directement aux Partenaires commerciaux ou aux Clients achetant des produits et services de nos clients professionnels.
Nous présentons ci-dessous des informations sur les données personnelles que nous collectons, la manière dont nous les traitons et les utilisons, ainsi que les bases juridiques sur lesquelles nous procédons. Un tableau de correspondance complet entre chaque finalité de traitement et sa base juridique est fourni dans le tableau des Bases juridiques du traitement des données personnelles ci-dessous.
En guise d'aperçu général :
- Lorsqu'un Partenaire commercial s'inscrit à nos Services ou les utilise, le traitement est fondé sur l'exécution d'un contrat (RGPD art. 6(1)(b)) ;
- Lorsqu'un Client achète des biens ou des services via notre plateforme, le traitement est fondé sur l'exécution d'un contrat (RGPD art. 6(1)(b)) ;
- Lorsque nous traitons des données à des fins de fonctionnalité du site web, de prévention de la fraude, de sécurité et d'opérations commerciales, nous nous appuyons sur l'intérêt légitime (RGPD art. 6(1)(f)) ;
- Lorsque nous envoyons des newsletters ou plaçons des cookies non essentiels, nous nous appuyons sur votre consentement (RGPD art. 6(1)(a) et directive ePrivacy art. 5(3)) ;
- Lorsque nous conservons des données à des fins fiscales, comptables ou réglementaires, nous nous appuyons sur le respect d'une obligation légale (RGPD art. 6(1)(c)).
Lorsque nous nous appuyons sur l'intérêt légitime, nous avons effectué une Analyse d'Impact sur les Intérêts Légitimes (LIA) afin de mettre en balance nos intérêts avec vos droits et libertés. Un résumé est disponible sur demande auprès de dpo@upclick.com. Vous avez le droit de vous opposer à tout moment au traitement fondé sur l'intérêt légitime en contactant dpo@upclick.com. Lorsque nous ne pouvons pas démontrer des motifs légitimes impérieux prévalant sur vos intérêts, droits et libertés, nous cesserons le traitement.
Bases juridiques du traitement des données personnelles
Le tableau ci-dessous présente chaque finalité pour laquelle nous traitons vos données personnelles, la base juridique sur laquelle nous nous appuyons en vertu du droit applicable, ainsi que la référence juridique correspondante. Lorsque nous nous appuyons sur l'intérêt légitime, une Analyse d'Impact sur les Intérêts Légitimes (LIA) a été réalisée ; un résumé est disponible sur demande auprès de dpo@upclick.com.
| Finalité du traitement |
Catégories de données personnelles |
Base juridique |
Référence juridique |
Notes juridictionnelles |
| Traitement des paiements et facilitation des transactions |
Nom, adresse e-mail, adresse de facturation, identifiants de carte de paiement (BIN, quatre derniers chiffres), code postal, pays, numéro de TVA |
Exécution d'un contrat |
RGPD art. 6(1)(b) |
LGPD art. 7(V) ; PPIPS du Québec art. 12 |
| Prévention de la fraude, scoring anti-fraude et détection des abus |
Adresse IP, identifiants d'appareils, données de paiement, signaux comportementaux, données des réseaux de cartes |
Intérêt légitime - prévention de la criminalité financière et protection des clients et de l'entreprise |
RGPD art. 6(1)(f) |
LGPD art. 7(IX) ; CASL art. 6(6) ; Réf. LIA : CLA-LIA-2026-003 |
| Comptabilité, facturation et tenue des registres financiers |
Nom, adresse de facturation, relevés de transactions, factures, numéros de TVA/fiscaux |
Respect d'une obligation légale |
RGPD art. 6(1)(c) - Code de commerce art. L123-22 (conservation 10 ans) ; LPF art. L102 B (droit de contrôle fiscal 6 ans) |
LGPD art. 7(II) ; PPIPS du Québec art. 12 |
| Conformité fiscale et déclarations réglementaires |
Nom, adresse, CPF/CNPJ (Brésil), numéro de TVA, données de transaction |
Respect d'une obligation légale |
RGPD art. 6(1)(c) |
LGPD art. 7(II) ; réglementations fiscales applicables selon la juridiction |
| Inscription et gestion des comptes |
Nom, adresse e-mail, mot de passe (haché), nom de l'entreprise, numéro de téléphone |
Exécution d'un contrat |
RGPD art. 6(1)(b) |
LGPD art. 7(V) ; PPIPS du Québec art. 12 |
| Livraison des produits et Services achetés |
Nom, adresse e-mail, données de licence, identifiants d'appareils, enregistrements d'activation |
Exécution d'un contrat |
RGPD art. 6(1)(b) |
LGPD art. 7(V) ; PPIPS du Québec art. 12 |
| Renouvellements d'abonnements et gestion de la facturation |
Nom, adresse e-mail, identifiants de paiement, données d'abonnement |
Exécution d'un contrat |
RGPD art. 6(1)(b) |
LGPD art. 7(V) |
| Support client et service d'assistance |
Nom, adresse e-mail, contenu des tickets d'assistance, journaux de chat, historique des achats |
Exécution d'un contrat - ou intérêt légitime lorsque le support est fourni à des contacts non contractuels |
RGPD art. 6(1)(b) / 6(1)(f) |
LGPD art. 7(V) / 7(IX) ; Réf. LIA : CLA-LIA-2026-003 |
| Communications liées aux services destinées aux clients et Partenaires commerciaux existants |
Nom, adresse e-mail, données du compte |
Intérêt légitime - maintien de la relation commerciale et exploitation des Services |
RGPD art. 6(1)(f) |
Exemption transactionnelle CASL art. 6(6) ; LGPD art. 7(V) ; Réf. LIA : CLA-LIA-2026-003 |
| Communications marketing de newsletters et promotionnelles |
Nom, adresse e-mail, données d'interaction marketing |
Consentement |
RGPD art. 6(1)(a) + directive ePrivacy art. 5(3) |
CASL S.C. 2010 c.23 - consentement exprès ou implicite ; LGPD art. 7(I) |
| Analyse du site web et mesure du trafic (cookies non essentiels) |
Adresse IP (anonymisée), cookies, comportement de navigation, données d'appareils, URL de référence |
Consentement |
Directive ePrivacy art. 5(3) ; RGPD art. 6(1)(a) |
Loi 25 du Québec - consentement requis ; CPRA - droit d'opposition à la vente/au partage |
| Cookies strictement nécessaires et gestion des sessions |
Identifiants de session, jetons CSRF, jetons d'équilibrage de charge |
Intérêt légitime / techniquement nécessaire - exempté de l'obligation de consentement |
Directive ePrivacy art. 5(3) - exemption pour les cookies techniquement nécessaires |
La même exemption s'applique en vertu de la Loi 25 du Québec et du CPRA |
| Publicité, reciblage et publicité programmatique (non essentiels) |
Cookies, identifiants d'appareils, adresse IP, segments d'audience, comportement de navigation |
Consentement |
Directive ePrivacy art. 5(3) ; RGPD art. 6(1)(a) |
CPRA - droit d'opposition à la vente/au partage des données personnelles ; Loi 25 du Québec - consentement requis |
| Fonctionnalité du site web, compatibilité et lutte contre le spam |
Adresse IP, agent de navigateur, identifiants d'appareils, cookies |
Intérêt légitime - garantir la sécurité, la compatibilité et la fonctionnalité du site we |
RGPD art. 6(1)(f) |
LGPD art. 7(IX) ; Réf. LIA : CLA-LIA-2026-003 |
| Sécurité des réseaux et de l'information, protection contre les DDoS et les bots |
Adresse IP, données de requêtes HTTP, identifiants d'appareils, signaux comportementaux |
Intérêt légitime - protection des systèmes, des utilisateurs et de l'entreprise contre les menaces de sécurité |
RGPD art. 6(1)(f) |
LGPD art. 7(IX) ; Réf. LIA : CLA-LIA-2026-003 |
| Recrutement et gestion des candidats |
Nom, adresse e-mail, numéro de téléphone, CV, dossiers de candidature |
Mesures précontractuelles prises à la demande du candidat |
RGPD art. 6(1)(b) - précontractuel |
LGPD art. 7(V) ; PPIPS du Québec art. 12 |
| Respect des ordonnances judiciaires, procédures légales et demandes réglementaires |
Toute donnée pertinente pour l'obligation légale ou la procédure |
Respect d'une obligation légale |
RGPD art. 6(1)(c) |
LGPD art. 7(II) ; droit procédural applicable |
| Exercice et défense de droits en justice |
Toute donnée pertinente pour la réclamation ou la procédure |
Intérêt légitime - établissement, exercice ou défense de droits légaux |
RGPD art. 6(1)(f) ; art. 17(3)(e) - conservation à des fins de réclamations légales |
LGPD art. 7(VI) ; Réf. LIA : CLA-LIA-2026-003 |
| Opérations d'entreprise (fusions, acquisitions, cessions d'actifs) |
Données de compte, données de transaction, données des partenaires commerciaux |
Intérêt légitime - continuité des activités et gouvernance d'entreprise |
RGPD art. 6(1)(f) |
LGPD art. 7(IX) |
| Reporting à l'échelle du groupe et veille économique (anonymisés) |
Données entièrement anonymisées et agrégées uniquement - aucune donnée personnelle conservée |
Non applicable - les données anonymisées sont en dehors du champ d'application du RGPD (considérant 26) |
RGPD considérant 26 |
Le même principe s'applique en vertu du LGPD et de la Loi 25 du Québec |
| Prise de décision automatisée et profilage (scoring anti-fraude) |
Données de paiement, empreinte numérique de l'appareil, adresse IP, schémas de transactions |
Intérêt légitime - prévention de la fraude et de la criminalité financière |
RGPD art. 6(1)(f) ; art. 22 - prise de décision automatisée avec supervision humaine |
LGPD art. 7(IX) |
| Brésil - collecte de CPF/CNPJ à des fins de conformité fiscale et de paiement |
CPF / CNPJ (identifiant fiscal individuel ou d'entreprise brésilien) |
Respect d'une obligation légale |
LGPD art. 7(II) - obligation légale ou réglementaire ; réglementations fiscales et de paiement brésiliennes |
Brésil uniquement |
Notes sur les bases juridiques :
Intérêt légitime : Lorsque nous nous appuyons sur l'intérêt légitime comme base juridique, nous avons évalué que notre intérêt n'est pas supplanté par vos droits, libertés ou intérêts, en tenant compte de la nature des données, des attentes raisonnables des personnes concernées et des mesures de protection en place. Vous avez le droit de vous opposer à tout moment au traitement fondé sur l'intérêt légitime en contactant dpo@upclick.com. Lorsque nous ne pouvons pas démontrer des motifs légitimes impérieux prévalant sur vos intérêts, nous cesserons le traitement.
Consentement : Lorsque nous nous appuyons sur le consentement, vous avez le droit de le retirer à tout moment sans affecter la licéité du traitement effectué avant ce retrait. Le retrait du consentement pour les cookies non essentiels peut être exercé via le centre de préférences des cookies disponible sur chaque page de notre site web. Le retrait du consentement pour les communications marketing peut être exercé via le lien de désabonnement figurant dans chaque message ou en contactant dpo@upclick.com.
Exécution d'un contrat : Lorsque le traitement est nécessaire à l'exécution d'un contrat, la fourniture des données personnelles constitue une exigence contractuelle. Le défaut de fourniture des données requises peut nous empêcher de vous fournir les Services ou de remplir nos obligations contractuelles.
Obligation légale : Lorsque le traitement est requis par la loi, nous ne sommes pas en mesure de répondre aux demandes d'effacement ou de limitation concernant ces données jusqu'à l'expiration de la période de conservation légale applicable.
Collecte d'informations
Selon la nature de votre interaction avec nous (c'est-à-dire si vous êtes un Visiteur qui navigue simplement sur notre Site web, ou si vous vous êtes inscrit à nos Services et avez ouvert un compte, etc.), nous sommes susceptibles de collecter les catégories d'informations suivantes vous concernant :
- Informations non personnelles : Le premier type d'informations est constitué d'informations non identifiables qui peuvent être mises à disposition ou collectées lors de votre utilisation des Services. Pour être précis, nous ne connaissons pas votre identité lorsque nous collectons ces informations (« Informations non personnelles »). Les Informations non personnelles collectées peuvent inclure vos informations d'utilisation agrégées et les informations techniques transmises ou collectées automatiquement, telles que (sans s'y limiter) : la date et l'heure d'accès à notre Site web, vos actions au sein de nos Services (par exemple, l'inscription, les pages consultées, etc.), le type de système d'exploitation, le type de navigateur, la préférence linguistique et la géolocalisation approximative (au niveau du pays).
- Données personnelles : Le deuxième type d'informations est constitué d'informations permettant l'identification personnelle, à savoir des informations qui identifient un individu ou qui peuvent, avec un effort raisonnable, permettre d'identifier un individu (« Données personnelles »). Les Données personnelles comprennent : (i) des informations de contact telles que votre nom, numéro de téléphone, adresse, adresse e-mail, etc., que vous avez fournis volontairement ; (ii) votre adresse de Protocole Internet (« IP ») et adresse MAC ou autres identifiants en ligne. Les adresses IP et MAC sont traitées comme des Données personnelles dans toutes les juridictions où nous opérons, conformément au considérant 30 du RGPD, à la décision de la CJUE dans l'affaire Breyer (C-582/14) et à la définition des données personnelles au titre du CCPA californien ; (iii) des informations de paiement telles que le numéro fiscal individuel, le BIN et les quatre derniers chiffres du numéro de carte de crédit. Toutes les informations de paiement sont traitées conformément aux protocoles sécurisés standard du secteur et, le cas échéant, aux normes de conformité pertinentes du secteur des cartes de paiement (« PCI »).
- Catégories particulières de données personnelles (RGPD Article 9) : Nous ne collectons ni ne traitons intentionnellement des catégories particulières de données personnelles telles que définies à l'article 9 du RGPD - comme les données de santé, les données biométriques, l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou l'appartenance syndicale - directement auprès des personnes physiques pour nos propres finalités en tant que responsable du traitement.
Toutefois, certains Partenaires commerciaux, notamment des organisations opérant dans les secteurs de la santé, du droit et de la finance, peuvent utiliser nos Services (y compris SodaPDF) pour traiter, stocker ou signer électroniquement des documents susceptibles de contenir des données de catégories particulières. Dans ce cas :
- Le Partenaire commercial agit en tant que responsable du traitement et est seul responsable de veiller à ce que le traitement des données de catégories particulières soit conforme à l'article 9 du RGPD et à toutes les lois applicables, notamment l'obtention de tout consentement explicite nécessaire ou d'une autre base juridique valide en vertu de l'article 9(2) du RGPD auprès des personnes concernées ;
- Nous agissons exclusivement en tant que sous-traitant et traitons ces données uniquement sur la base des instructions documentées du Partenaire commercial, conformément à notre Accord de traitement des données (DPA) ;
- Nous n'accédons pas au contenu des documents téléchargés ou traités par les Partenaires commerciaux, ne l'analysons pas et ne l'utilisons pas à d'autres fins que la fourniture des Services telle qu'instruite ;
- Les Partenaires commerciaux traitant des données de catégories particulières via nos Services sont tenus de disposer d'une base juridique valide en vertu de l'article 9(2) du RGPD, d'avoir un DPA actif conclu avec nous, et de nous informer si leur utilisation de nos Services implique le traitement de données de catégories particulières afin que des garanties supplémentaires appropriées puissent être convenues.
Si vous êtes un Partenaire commercial traitant des données de catégories particulières via nos Services et que vous n'avez pas encore conclu de DPA avec nous, veuillez contacter dpo@upclick.com pour en faire la demande. Les Partenaires commerciaux peuvent également demander notre document sur les Mesures Techniques et Organisationnelles (MTO) afin d'évaluer l'adéquation de nos mesures de sécurité pour le traitement des données de catégories particulières.
Si nous apprenons que des données de catégories particulières ont été collectées ou traitées par inadvertance en dehors du périmètre d'un DPA valide ou d'une instruction d'un Partenaire commercial, nous prendrons immédiatement des mesures pour supprimer ces données et en informer les parties concernées.
Comment nous collectons les informations
Selon la nature de votre interaction avec les Services, nous sommes susceptibles de collecter des informations de la manière suivante :
- Automatiquement - nous pouvons utiliser des cookies (tels que détaillés dans la section ci-dessous) pour collecter certaines informations automatiquement, notamment en accédant à votre stockage local.
- Fournis volontairement par vous - nous collecterons des informations si et lorsque vous choisissez de nous les fournir, par exemple lors d'un processus d'inscription, de communications pour nous contacter, d'un processus de paiement, etc.
- Par des tiers - par exemple, nos prestataires de services tiers qui traitent vos informations en notre nom, tels que les centres d'assistance, les prestataires de crédit, etc.
Vous n'êtes pas légalement tenu de nous fournir des informations. Vous pouvez toujours éviter de nous fournir certaines Données personnelles ; toutefois, vous reconnaissez que cela peut nous empêcher de vous fournir certains Services qui reposent sur ces informations. Dans le cas où nous combinons des Données personnelles avec des Informations non personnelles, les informations combinées seront traitées comme des Données personnelles aussi longtemps qu'elles restent combinées ou attribuables à une personne physique.
Informations que nous collectons auprès des visiteurs de notre Site web
| Type d'informations |
Finalité |
| Si vous nous contactez pour obtenir de l'assistance ou pour toute autre demande, que ce soit via le formulaire en ligne disponible sur le Site web, par e-mail ou par tout autre moyen de communication que nous mettons à votre disposition, il vous sera demandé de nous fournir votre nom et votre adresse e-mail. |
Nous utiliserons ces informations uniquement dans le but de répondre à vos demandes et de vous fournir l'assistance ou les informations que vous avez sollicitées. |
| Si vous souhaitez rejoindre notre équipe et désirez soumettre votre CV, il vous sera demandé de nous fournir votre nom, adresse e-mail, numéro de téléphone, et de . |
La fourniture de données personnelles dans le cadre du recrutement est volontaire, et vous déterminez l'étendue des informations que vous nous communiquez. Nous utiliserons les informations que vous avez fournies uniquement pour communiquer avec vous, gérer nos processus de recrutement et d'embauche, et nous conformer aux exigences de gouvernance d'entreprise, légales et réglementaires. Si vous êtes recruté(e), les informations pourront être utilisées dans le cadre de la gestion de l'emploi et de l'entreprise. |
| Si vous vous abonnez volontairement à notre newsletter, il vous sera demandé de nous fournir votre adresse e-mail. Vous pouvez vous désabonner à tout moment en utilisant l'option de désabonnement figurant dans le corps de la newsletter ou en contactant le service client à l'adresse dpo@upclick.com. |
Nous utiliserons votre adresse e-mail dans le cadre de notre liste de diffusion afin de vous envoyer des informations relatives à nos Services et de vous tenir informé(e) des nouveaux Services, ainsi que pour vous fournir des conseils Business-to-Business. |
| L'adresse IP, les cookies, les balises, les pixels et les identifiants en ligne similaires, notamment les agents de navigateur, les identifiants d'appareils et l'URL de référence, sont traités concernant les Visiteurs et les Clients (« Identifiants en ligne »). |
Nous pouvons, directement ou indirectement, collecter l'adresse IP des Visiteurs, certaines informations de cookies à des fins de validation de session, de lutte contre la fraude et le spam, ainsi qu'à des fins de compatibilité et de fonctionnalité du site web. À ces fins, nous utilisons ces informations dans le cadre de nos intérêts légitimes consistant à (i) exploiter, fournir, maintenir, protéger, gérer, personnaliser et améliorer notre Site web et nos Services ainsi que la manière dont nous les proposons ; (ii) améliorer votre expérience avec les Services ; et (iii) prévenir la fraude et protéger la navigation. Une utilisation supplémentaire est fondée sur votre consentement et comprend l'audit, l'analyse et le suivi de l'utilisation et des flux de trafic (analytique et veille économique). |
| Nous collectons également certaines Informations non personnelles techniques (telles que détaillées ci-dessus) relatives à votre utilisation du Site web. Cela comprend les agents utilisateurs (à savoir le navigateur que vous utilisez, sa version et sa langue). |
Nous utilisons ces données techniques afin d'exploiter, gérer et améliorer notre Site web. |
Informations que nous collectons auprès des Partenaires commerciaux
| Type d'informations |
Comment les utilisons-nous ? |
| Vous pouvez vous inscrire en tant que Partenaire commercial via notre Site web, au cours duquel il vous sera demandé de vous enregistrer et d'ouvrir un compte. Durant le processus d'inscription, il vous sera demandé de nous fournir certaines informations telles que votre nom complet, votre adresse e-mail, votre numéro de téléphone, le nom et l'adresse de votre entreprise. Par ailleurs, lors du processus d'inscription, il vous sera demandé de créer un mot de passe, auquel cas vous déclarez et garantissez être responsable du maintien de la confidentialité de vos informations et de votre mot de passe. Vous déclarez et garantissez que vous ne nous fournirez pas d'informations inexactes, trompeuses ou fausses. |
Nous utiliserons ces informations dans le but d'exécuter notre contrat avec vous, de vous fournir les Services que vous avez demandés et de désigner votre compte. Nous utiliserons votre adresse e-mail et votre numéro de téléphone afin de vous envoyer les informations nécessaires relatives aux Services et à notre engagement commercial (par exemple, vous envoyer un message de bienvenue, vous informer des mises à jour de nos Services, vous envoyer les factures applicables, et d'autres communications occasionnelles liées aux Services) ainsi que pour vérifier votre identité. |
| Nous collectons également certaines Informations non personnelles techniques (telles que détaillées ci-dessus) en tant que Visiteur du Site web. |
Voir le tableau ci-dessus. |
Informations que nous collectons auprès des Clients du Service
| Type d'informations |
Comment les utilisons-nous ? |
Lorsque vous achetez un produit via notre Service, il vous sera demandé de nous fournir certaines informations relatives à votre paiement et à votre facturation, telles que votre nom complet, votre adresse e-mail, votre code postal, votre adresse, votre pays et les informations de paiement selon le mode de paiement sélectionné. Vous avez également la possibilité de nous fournir votre numéro de téléphone. Pour les clients situés au Brésil, nous collectons également un numéro d'identification individuel (CPF/CNPJ). Pour les clients B2B, nous collectons également le numéro de TVA applicable. |
Nous utiliserons ces informations dans le but d'exécuter notre contrat avec vous, de vous fournir les Services que vous avez demandés et de faciliter votre paiement des biens, produits ou services que vous achetez, la facturation et le suivi des renouvellements. Si un numéro de téléphone est fourni, le personnel d'assistance pourra vous contacter par appel gratuit afin de vous fournir une assistance sur l'utilisation, les fonctionnalités ou l'installation de vos produits achetés. |
| Nous collectons également certaines Informations non personnelles techniques (telles que détaillées ci-dessus) en tant que visiteur du Site web. |
Voir le tableau ci-dessus. |
Partage des données personnelles
En règle générale, nous ne partageons pas les données personnelles collectées auprès de vous avec des tiers, sauf si cela est nécessaire pour fournir, traiter ou faciliter les Services, les surveiller, les protéger ou les exploiter, notamment avec les catégories de tiers suivantes, dans les circonstances respectives :
- Prestataires de services tiers - nous partageons vos informations avec des tiers qui fournissent des services en notre nom (par exemple, les fournisseurs d'API, les processeurs de paiement, le suivi, l'hébergement, la fonctionnalité et l'assistance des services, le marketing). Ces tiers peuvent être situés dans différentes juridictions et comprennent des prestataires de services de paiement, des réseaux de cartes (Visa, Mastercard, etc.), des banques acquéreuses et des agences de notation de crédit pour le scoring anti-fraude ;
- Obligation légale - nous partagerons vos informations, dans la seule mesure nécessaire pour nous conformer à toute loi, réglementation, procédure judiciaire ou demande gouvernementale applicable (par exemple, pour respecter les injonctions des tribunaux, etc.) ;
- Application des politiques - nous partagerons vos informations, dans la seule mesure nécessaire pour faire respecter nos politiques, notamment dans le cadre d'enquêtes sur d'éventuelles violations de celles-ci, ou pour détecter, prévenir ou prendre des mesures concernant des activités illégales ou autres comportements répréhensibles, des suspicions de fraude ou des problèmes de sécurité ;
- Droits de la Société - nous partagerons vos informations, dans la seule mesure nécessaire pour établir ou exercer nos droits afin de nous défendre contre des réclamations juridiques ;
- Droits des tiers - nous partagerons vos informations, dans la seule mesure nécessaire pour prévenir toute atteinte aux droits, aux biens ou à la sécurité de notre société, de nos utilisateurs, de vous-même ou de tout tiers, ou dans le but de collaborer avec les autorités chargées de l'application de la loi, ou lorsque nous le jugeons nécessaire pour faire respecter la propriété intellectuelle ou d'autres droits légaux.
- Sociétés affiliées - certaines données personnelles peuvent être partagées avec nos sociétés affiliées à des fins d'opérations à l'échelle du groupe, de reporting et de prestation de services. Les entités susceptibles de recevoir vos données personnelles comprennent :
- Claranova SE (France) - société mère ultime, gouvernance et reporting du groupe ;
- Avanquest Software SAS (France) - responsable du traitement pour l'EEE, développement de produits et opérations ;
- Avanquest Software (7270356 Canada Inc.) dba Avanquest Canada (Canada) - opérations canadiennes et infrastructure technique ;
- Avanquest Canada Management Inc. (Canada) - entité de gestion canadienne ;
- Adaware Software / CS Network Support Ltd dba Supportnex (Canada/Malte) - marque de logiciels grand public affiliée ;
- myDevices Inc. (États-Unis) - entité technologique affiliée ;
- Upclick Malta Limited (Malte) - traitement des paiements et opérations de commerce électronique.
Le partage de données au sein du groupe est régi par des accords de transfert de données intragroupe offrant une protection équivalente aux Clauses Contractuelles Types. Toutes les entités du groupe sont tenues de traiter les données personnelles uniquement aux fins décrites dans la présente Politique de confidentialité et conformément au droit applicable en matière de protection des données.
- Partenaires commerciaux - lorsque nous fournissons les Services à un Partenaire commercial par l'intermédiaire duquel vous accédez à nos Services, nous traiterons les informations en son nom et partagerons certaines informations de facturation, de commande et de facturation avec ce Partenaire commercial.
- Opération d'entreprise - nous pouvons partager des données personnelles dans le cadre d'une opération d'entreprise (par exemple, la vente d'une partie substantielle de notre activité, une fusion, une consolidation ou une cession d'actifs). Dans ce cas, nos sociétés affiliées ou la société acquéreuse assumeront les droits et obligations décrits dans la présente Politique de confidentialité.
Nous pouvons stocker des Informations non personnelles et des Données personnelles sur nos serveurs ou nos serveurs cloud, utiliser ou partager des Informations non personnelles dans l'une des circonstances susmentionnées, ainsi qu'aux fins de la fourniture et de l'amélioration de notre Service telles que détaillées ci-dessus.
Nous pouvons partager des données entièrement anonymisées (au sens du considérant 26 du RGPD, de telle sorte qu'aucune personne physique ne puisse être réidentifiée par des moyens raisonnables et qu'aucune clé de réidentification ne soit conservée) avec des sociétés affiliées et des tiers à des fins commerciales, analytiques et statistiques. L'agrégation sans anonymisation robuste est insuffisante à cette fin et ne constitue pas une base pour le partage en dehors du groupe de responsables du traitement.
Conservation des données
Nous conservons vos données personnelles uniquement pendant la durée nécessaire à l'accomplissement des finalités pour lesquelles elles ont été collectées, conformément à la législation applicable. Les durées de conservation spécifiques pour chaque catégorie de données sont définies dans le tableau ci-dessous. Ces durées sont fondées sur le droit français (RGPD, Code de commerce, Code civil, recommandations de la CNIL) en tant que norme applicable la plus exigeante, et satisfont ou dépassent les exigences de toutes les juridictions dans lesquelles nous opérons - notamment le Québec (Loi sur la protection des renseignements personnels dans le secteur privé, CQLR c P-39.1, telle que modifiée par la Loi 25) et la Californie (CPRA).
Calendrier de conservation des données
| Catégorie de données |
Durée de conservation |
Point de départ |
Base juridique |
| Données de compte et de profil (nom, adresse e-mail, identifiants de connexion, préférences) |
Durée d'utilisation active + 5 ans |
Dernière connexion, dernier achat, dernière demande d'assistance ou dernière activation de licence - selon la date la plus récente |
Code civil art. 2224 - prescription générale de 5 ans |
| Données de facturation, de paiement et de factures (relevés de transactions, factures, identifiants de modes de paiement) |
10 ans à compter de la transaction de facturation |
Date de chaque transaction individuelle |
Code de commerce art. L123-22 - conservation comptable commerciale de 10 ans. LPF art. L102 B - droit de contrôle fiscal de 6 ans |
| Données d'abonnement actif (pour les clients avec facturation récurrente en cours) |
Durée de l'abonnement actif + 5 ans après le dernier événement de facturation |
Date du dernier événement de facturation réussi ou tenté |
RGPD art. 6(1)(b) - exécution du contrat. Code civil art. 2224 - prescription de 5 ans |
| Données de licence produit (clé de licence, enregistrements d'activation, associations d'appareils) |
Durée de validité de la licence + 5 ans |
Dernière activation du produit, dernière utilisation du logiciel ou expiration de la licence - selon la date la plus récente |
Code civil art. 2224. Code de la consommation art. L217-12 - garantie légale de 2 ans |
| Données de licence perpétuelle et à vie |
Durée de disponibilité du produit + 5 ans après la fin de vie (EOL) du produit ou la dernière utilisation, selon la date la plus tardive. Limite absolue maximale : 15 ans à compter de la dernière activité de l'utilisateur. |
Date officielle de fin de vie du produit ou dernière utilisation du logiciel - selon la date la plus tardive |
Code civil art. 2224. RGPD art. 5(1)(e) - limitation de la conservation (plafond absolu) |
| Données marketing et de liste de diffusion (adresse e-mail, enregistrements de consentement, historique des interactions) |
3 ans après la dernière interaction. Preuve du consentement conservée pendant 5 ans. |
Dernière ouverture d'e-mail, dernier clic, dernier opt-in ou dernière interaction de marketing direct |
Recommandations de la CNIL sur la prospection commerciale - seuil d'inactivité de 3 ans. Code civil art. 2224 - 5 ans pour la preuve du consentement |
| Données du service client (tickets, journaux de chat, correspondance) |
5 ans après la résolution de la demande |
Date de clôture du ticket ou dernière correspondance |
Code civil art. 2224 - prescription de 5 ans. Code de la consommation art. L217-12 - garantie légale consommateur de 2 ans |
| Données de recrutement (CV, coordonnées, dossiers de candidature) |
2 ans après le dernier contact avec le candidat, supprimées plus tôt sur demande du candidat |
Dernier entretien, dernier e-mail, dernière communication |
Doctrine CNIL sur le recrutement, seuil d'inactivité de 2 ans. Code civil art. 2224, prescription de 5 ans pour les processus de recrutement contestés |
| Comptes utilisateurs gratuits (données de compte pour les utilisateurs non payants) |
3 ans après la dernière connexion ou interaction |
Dernière connexion, dernière utilisation d'une fonctionnalité ou dernière activité sur le compte |
Recommandations CNIL - seuil d'inactivité de 3 ans pour les comptes inactifs |
| Comptes d'essai (données de compte temporaires issues des essais gratuits) |
1 an après l'expiration de l'essai (en l'absence de conversion en compte payant) |
Date d'expiration de l'essai |
RGPD art. 5(1)(e) - limitation de la conservation / minimisation des données |
| Données d'enquête sur la fraude (comptes signalés, dossiers d'enquête) |
5 ans à compter de la clôture de l'enquête, ou durée de la procédure judiciaire + 5 ans |
Date de clôture de l'enquête ou décision judiciaire définitive / règlement à l'amiable |
Code civil art. 2224. RGPD art. 17(3)(e) - exception pour les réclamations en justice |
| Cookies et traceurs (cookies non essentiels, traceurs analytiques) |
Durée de vie du traceur : 13 mois maximum sur l'appareil. Consentement actualisé tous les 6 mois. Données collectées via les traceurs : conservées 25 mois maximum à compter de la collecte. |
Date de dépôt du traceur (durée de vie) / Date de collecte des données (conservation) |
Recommandations cookies CNIL (2020) - durée de vie du traceur de 13 mois. Directive ePrivacy art. 5(3). Recommandations CNIL - maximum de 25 mois pour les données analytiques |
| Journaux de connexion (adresses IP, journaux d'accès pour les opérations de commerce électronique) |
1 an à compter de la collecte |
Date de l'événement de connexion |
LCEN (loi 2004-575) art. 6-II - conservation d'1 an pour les opérateurs d'hébergement et de commerce électronique |
Nous procédons à des examens périodiques des données conservées et appliquons des processus de nettoyage automatisés afin de garantir que les données ne sont pas conservées au-delà des durées indiquées ci-dessus. Lorsque les données arrivent à la fin de leur durée de conservation, elles sont soit définitivement supprimées, soit irréversiblement anonymisées de sorte qu'elles ne puissent plus être associées à une personne physique identifiable. Les données simplement masquées mais demeurant dans nos systèmes ne sont pas considérées comme supprimées.
Dans certains cas, nous pouvons être amenés à conserver des données spécifiques au-delà des durées de conservation standard indiquées ci-dessus - par exemple, pour respecter une obligation légale, exercer ou défendre des droits en justice, ou satisfaire à une exigence réglementaire. Dans de tels cas, nous documenterons la base juridique et limiterons la durée de conservation prolongée à la période minimale nécessaire.
Sécurité des informations
Nous apportons le plus grand soin à la mise en œuvre et au maintien de la sécurité de notre Site web, de nos Services et de vos informations. Nos processus sont alignés sur les normes ISO/IEC 27001:2022 (Système de management de la sécurité de l'information) et ISO/IEC 27701:2019 (Système de management des informations relatives à la vie privée) telles qu'implémentées par Avanquest Software SAS, et notre plateforme de traitement des paiements est conforme à la norme PCI-DSS. Nous avons mis en place des protections techniques de surveillance organisationnelle et établi un programme étendu de sécurité de l'information et de cybersécurité, le tout en ce qui concerne les Données personnelles traitées par la Société. Pour plus d'informations concernant nos mesures de sécurité, veuillez consulter : https://upclick.com/security_fr.html
En cas de violation de données personnelles présentant un risque pour vos droits et libertés, nous en informerons l'autorité de contrôle compétente dans un délai de 72 heures (RGPD art. 33) et informerons les personnes concernées sans retard injustifié lorsque la violation est susceptible d'entraîner un risque élevé (RGPD art. 34). Pour les résidents du Québec, nous en informerons également la Commission d'accès à l'information conformément à la Loi 25.
Analyse d'impact relative à la protection des données. Conformément à l'article 35 du RGPD, une Analyse d'Impact relative à la Protection des Données (AIPD) a été réalisée pour nos activités de traitement des paiements et de prévention de la fraude. Un résumé est disponible sur demande auprès de dpo@upclick.com.
Droits des utilisateurs
Les personnes physiques ont le droit de savoir quelles informations nous détenons à leur sujet et, dans certains cas, de se les faire communiquer, comme nous le faisons dans la présente Politique de confidentialité. Les personnes physiques peuvent également nous demander de confirmer si nous traitons ou non leurs Données personnelles. Sous réserve des limitations prévues par le droit applicable, les personnes physiques peuvent également être en droit d'obtenir de notre part les Données personnelles qu'elles nous ont fournies dans un format structuré, couramment utilisé et lisible par machine, et peuvent avoir le droit de transmettre ces Données personnelles à une autre partie.
Selon votre lieu de résidence, vous pouvez bénéficier de certains droits, notamment :
- le droit d'accès à toute information qui nous a été fournie ;
- le droit de rectification ;
- le droit à l'effacement ;
- le droit à la limitation du traitement ;
- le droit d'opposition au traitement ;
- le droit à la portabilité des données ;
- le droit d'introduire une réclamation auprès d'une autorité de contrôle ; et
- le droit de retirer votre consentement (dans la mesure applicable).
- pour les résidents du Québec uniquement, le droit de demander la cessation de la diffusion ou la désindexation des données personnelles lorsque cette diffusion cause un préjudice grave ou n'est plus licite (Loi sur la protection des renseignements personnels dans le secteur privé, art. 28.1).
Lors de votre première visite sur notre site web, une bannière de consentement aux cookies s'affiche, vous permettant d'accepter, de refuser ou de personnaliser vos préférences en matière de cookies. Seuls les cookies strictement nécessaires sont placés avant que vous fassiez votre choix. Vous pouvez modifier vos préférences à tout moment en cliquant sur l'icône des paramètres des cookies disponible sur chaque page. Le site et les Services peuvent utiliser leurs propres cookies pour fonctionner correctement. Pour en savoir plus sur nos cookies et nos cookies tiers, veuillez consulter notre Politique relative aux cookies disponible sur le site web que vous consultez, ou pour les résidents du Québec, notre Politique relative aux témoins. Veuillez noter que vous pouvez configurer votre navigateur pour refuser ou bloquer tout cookie de notre part ou de celle de nos partenaires tiers. Dans ce cas, certains Services pourraient toutefois ne pas fonctionner correctement.
Tiers
Il arrive qu'Avanquest Software SAS reçoive des informations de la part de tiers afin de les comparer aux informations que vous avez fournies à Avanquest Software SAS à des fins de prévention de la fraude.
Tout site web affiché par notre Site web sous forme de résultats de recherche Internet ou lié aux pages de résultats de recherche Internet que notre Site web vous fournit, y compris les sites web détenus ou exploités par nos clients, a été développé par des tiers sur lesquels Avanquest Software SAS n'exerce aucun contrôle. Avanquest Software SAS n'est pas responsable des pratiques en matière de confidentialité ou du contenu de ces sites web, notamment de l'utilisation par ces sites web de toute information collectée lorsque vous êtes redirigé(e) vers ces sites ou que vous cliquez pour y accéder. Même si ces informations ne vous identifient pas personnellement, nous vous encourageons vivement à vous familiariser avec les pratiques de confidentialité de ces sites web.
Marketing direct
Nous pouvons envoyer à nos Partenaires commerciaux et à nos Clients des e-mails ou d'autres messages nous concernant ou concernant nos Services, notamment des mises à jour de produits, des newsletters et des communications commerciales pertinentes. La base juridique de chaque type de communication de marketing direct est définie ci-dessous.
- Communications par newsletter et communications promotionnelles : Lorsque vous vous êtes volontairement abonné(e) à notre newsletter ou avez choisi de recevoir des communications promotionnelles, nous traitons vos données personnelles sur la base de votre consentement librement donné, spécifique, éclairé et non équivoque conformément à :
- l'article 6(1)(a) du RGPD pour les destinataires de l'EEE et du Royaume-Uni ;
- l'article 5(3) de la directive ePrivacy (telle que transposée dans le droit national applicable) lorsque ces communications impliquent l'utilisation de réseaux de communications électroniques ;
- la Loi canadienne anti-pourriel (LCAP), S.C. 2010, c. 23 pour les destinataires situés au Canada - nous n'envoyons des messages électroniques commerciaux aux destinataires canadiens que lorsque nous avons obtenu un consentement exprès ou implicite tel que défini par la LCAP, et chaque message inclut un mécanisme de désabonnement fonctionnel ;
- la Lei Geral de Proteção de Dados (LGPD), art. 7(I) pour les destinataires situés au Brésil - le traitement est fondé sur votre consentement explicite, qui peut être retiré à tout moment.
Vous pouvez retirer votre consentement et vous désabonner des communications par newsletter et des communications promotionnelles à tout moment en cliquant sur le lien de désabonnement situé au bas de chaque communication, ou en contactant notre Délégué à la protection des données à l'adresse dpo@upclick.com. Le retrait du consentement n'affecte pas la licéité du traitement effectué avant ce retrait.
- Communications liées aux services destinées aux clients et Partenaires commerciaux existants : Lorsque vous êtes un client existant ou un Partenaire commercial enregistré, nous pouvons vous envoyer des communications liées aux services, notamment des notifications de compte, des annonces de service, des rappels de renouvellement, des factures et des messages administratifs. Ces communications sont nécessaires à l'exécution de notre contrat avec vous et sont également envoyées sur la base de notre intérêt légitime conformément à l'article 6(1)(f) du RGPD dans l'exploitation et le maintien de nos Services et de notre relation commerciale, en accord avec vos attentes raisonnables en tant que client ou partenaire.
Nous avons réalisé une Analyse d'Impact sur les Intérêts Légitimes confirmant que notre intérêt légitime à envoyer des communications liées aux services n'est pas supplanté par vos intérêts, droits ou libertés. Un résumé est disponible sur demande auprès de dpo@upclick.com.
Chaque communication liée aux services comprend un mécanisme d'opposition clair et accessible. Vous pouvez vous opposer à la réception de communications liées aux services à tout moment en nous contactant à l'adresse dpo@upclick.com. Veuillez noter que si vous êtes un Partenaire commercial enregistré ou un client actif, le fait de vous opposer aux communications liées aux services peut affecter notre capacité à vous fournir les Services. Si vous souhaitez ne plus recevoir aucune communication, vous pouvez demander la suppression de votre compte en nous contactant à l'adresse dpo@upclick.com.
Récapitulatif des bases juridiques par type de communication et par juridiction :
| Type de communication |
Base juridique |
Juridiction |
| Newsletter / e-mails promotionnels |
Consentement - RGPD art. 6(1)(a) + directive ePrivacy art. 5(3) |
EEE / Royaume-Uni |
| Newsletter / e-mails promotionnels |
Consentement exprès ou implicite - LCAP S.C. 2010, c. 23 |
Canada |
| Newsletter / e-mails promotionnels |
Consentement - LGPD art. 7(I) |
Brésil |
| Communications liées aux services destinées aux clients existants |
Intérêt légitime - RGPD art. 6(1)(f), avec mécanisme d'opposition dans chaque message |
EEE / Royaume-Uni |
| Communications liées aux services destinées aux clients existants |
Exécution du contrat / intérêt légitime - exemption transactionnelle LCAP art. 6(6) |
Canada |
| Communications liées aux services destinées aux clients existants |
Exécution du contrat - LGPD art. 7(V) |
Brésil |
Services non destinés aux mineurs
Nos Services ne sont pas destinés aux enfants ou aux mineurs, n'ont pas été conçus pour eux et ne visent pas à les attirer. Nous ne collectons pas, ne traitons pas et ne conservons pas sciemment de données personnelles relatives à des mineurs.
Aux fins de la présente section, le terme « mineur » désigne :
- Un enfant âgé de moins de 16 ans dans l'Espace économique européen (EEE) et au Royaume-Uni ;
- Un enfant âgé de moins de 14 ans au Québec, conformément à la Loi sur la protection des renseignements personnels dans le secteur privé (CQLR c P-39.1, telle que modifiée par la Loi 25) ;
- Un enfant âgé de moins de 13 ans dans toutes les autres juridictions, y compris les États-Unis (conformément au Children's Online Privacy Protection Act, COPPA).
Si vous n'avez pas atteint l'âge minimum applicable dans votre juridiction, vous ne devez pas utiliser nos Services ni nous fournir de données personnelles.
Si nous apprenons que nous avons collecté par inadvertance des données personnelles d'un mineur n'ayant pas atteint l'âge minimum applicable sans le consentement approprié de ses parents ou tuteurs, nous prendrons immédiatement des mesures pour supprimer ces informations de nos registres. Lorsque des contraintes techniques ou opérationnelles l'exigent, la suppression sera effectuée aussi rapidement que possible et dans les délais requis par la législation applicable.
Si vous êtes un parent ou un tuteur légal et pensez que votre enfant nous a fourni des données personnelles sans votre consentement, ou si vous souhaitez demander la suppression des données personnelles de votre enfant de nos systèmes, veuillez contacter directement notre Délégué à la protection des données à l'adresse : dpo@upclick.com.
Nous répondrons à toutes ces demandes dans les meilleurs délais et conformément aux lois applicables en matière de protection des données et de la vie privée.
Modifications de la politique
Nous pouvons mettre à jour la présente Politique de confidentialité de temps à autre. La date de révision est indiquée dans l'en-tête « Dernière mise à jour » et l'historique complet des modifications est disponible dans la section Historique des versions ci-dessous.
Pour les modifications substantielles (par exemple, de nouvelles catégories de données personnelles collectées, de nouveaux destinataires, de nouvelles finalités de traitement ou de nouveaux transferts internationaux), nous vous informerons avec un préavis d'au moins 30 jours par :
- e-mail aux utilisateurs enregistrés et aux partenaires commerciaux ;
- une bannière permanente sur le Site web et sur le tableau de bord de connexion.
Pour les modifications non substantielles (clarifications, corrections, mise en forme), la Politique de confidentialité mise à jour entre en vigueur dès sa publication. Votre utilisation continue des Services après la date d'entrée en vigueur d'une modification signifie que vous prenez acte de la Politique de confidentialité mise à jour.
Déclaration relative au suivi des préférences (Do Not Track)
Do Not Track. Do Not Track (DNT) est une préférence de navigateur qui indique aux sites web qu'un visiteur ne souhaite pas que certaines informations soient collectées. Il n'existe pas de norme industrielle consensuelle sur la manière de répondre aux signaux DNT et nous n'y répondons pas actuellement.
Global Privacy Control. Le Global Privacy Control (GPC) est un signal au niveau du navigateur qui, pour les résidents de Californie, communique une demande valide d'opposition à la vente ou au partage de données personnelles en vertu du CCPA/CPRA et du règlement du Procureur général de Californie §7025. Lorsque nous détectons un signal GPC provenant d'un résident de Californie, nous le traitons comme une demande valide d'opposition à la vente et au partage de données personnelles pour ce navigateur ou cet appareil. Pour plus d'informations, consultez globalprivacycontrol.org.
Transferts internationaux de données personnelles
Vos données personnelles peuvent être transférées vers des pays situés en dehors de votre pays de résidence, y compris des pays situés en dehors de l'Espace économique européen (EEE), du Royaume-Uni et du Québec, et y être traitées. Nous veillons à ce que tous ces transferts soient soumis à des garanties appropriées telles que décrites ci-dessous.
1. Destinataires de vos données personnelles
Vos données personnelles sont traitées par les catégories de destinataires suivantes :
Entités du groupe Avanquest au sein de l'Espace économique européen : Avanquest Software SAS (France), Upclick Malta Limited (Malte), Avanquest Deutschland GmbH (Allemagne), Avanquest Software Polska Sp. z o.o. (Pologne).
Entités du groupe Avanquest en dehors de l'Espace économique européen : 7270356 Canada Inc. dba Avanquest Canada (Canada), Avanquest Canada Management Inc. (Canada), myDevices Inc. (États-Unis).
Sous-traitants tiers : prestataires de services de paiement et réseaux de cartes (notamment Visa et Mastercard, tous deux établis aux États-Unis), fournisseurs d'hébergement cloud, plateformes d'assistance client, fournisseurs de services d'analyse et fournisseurs d'infrastructure de signature électronique. Une liste complète et actualisée des sous-traitants est disponible sur demande auprès de notre Délégué à la protection des données. Nous informerons les Partenaires commerciaux enregistrés avec un préavis d'au moins 30 jours de tout ajout ou remplacement prévu de sous-traitants, à la fois par e-mail et en mettant à jour la page dédiée aux sous-traitants. Les Partenaires commerciaux qui s'opposent à un nouveau sous-traitant peuvent nous en informer à l'adresse dpo@upclick.com dans un délai de 30 jours suivant la notification.
2. Mécanismes de transfert
Nous ne transférons vos données personnelles en dehors de votre juridiction que lorsque nous avons veillé à ce qu'un mécanisme de transfert approprié soit en place, comme suit :
Transferts intra-EEE : Aucun mécanisme de transfert spécifique n'est requis pour les transferts entre États membres de l'EEE, car tous les pays de l'EEE sont soumis à des normes de protection des données équivalentes en vertu du RGPD.
Transferts vers le Canada : Les transferts vers des entités canadiennes qui sont des organisations commerciales couvertes par la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) sont effectués sur la base de la décision d'adéquation de la Commission européenne 2002/2/CE conformément à l'article 45 du RGPD. Lorsqu'un destinataire canadien n'entre pas dans le champ d'application de cette décision d'adéquation, les transferts sont effectués sur la base des Clauses Contractuelles Types (CCT) en vertu de l'article 46(2)(c) du RGPD, complétées par des mesures techniques et contractuelles supplémentaires lorsque cela est nécessaire.
Transferts vers les États-Unis : Les transferts vers des destinataires établis aux États-Unis, notamment les réseaux de cartes de paiement (Visa, Mastercard) et les fournisseurs de services cloud, sont effectués sur une ou plusieurs des bases suivantes :
- Lorsque le destinataire est certifié dans le cadre du Cadre de protection des données UE-États-Unis (EU-US DPF) : les transferts sont effectués sur la base de la décision d'adéquation de la Commission européenne du 10 juillet 2023 conformément à l'article 45 du RGPD ;
- Lorsque le destinataire n'est pas certifié dans le cadre de l'EU-US DPF : les transferts sont effectués sur la base des Clauses Contractuelles Types (Module 2 : Responsable du traitement vers Sous-traitant) adoptées par la Commission européenne en vertu de l'article 46(2)(c) du RGPD, complétées par des mesures techniques et organisationnelles supplémentaires lorsqu'une Évaluation de l'Impact des Transferts (TIA) a identifié des risques résiduels nécessitant des mesures d'atténuation.
Une Évaluation de l'Impact des Transferts a été réalisée pour tous les transferts vers les États-Unis et vers d'autres pays tiers non adéquats. Un résumé de la TIA est disponible sur demande auprès de notre Délégué à la protection des données.
Transferts vers le Royaume-Uni : Les transferts de données personnelles vers le Royaume-Uni sont effectués sur la base de la décision d'adéquation de l'UE pour le Royaume-Uni adoptée en vertu de l'article 45 du RGPD (Décision d'exécution de la Commission (UE) 2021/1772). Lorsque la décision d'adéquation ne s'applique pas, les transferts sont effectués sur la base de l'Accord britannique de transfert international de données (IDTA) ou de l'Addendum aux Clauses Contractuelles Types approuvé par le Bureau du commissaire à l'information du Royaume-Uni, conformément à l'article 46 du RGPD britannique et à l'article 119A de la loi sur la protection des données de 2018 (SI 2019/419 Annexe 1).
Transferts vers d'autres pays tiers : Pour les transferts vers tout autre pays tiers non couvert par une décision d'adéquation, nous nous appuyons sur les Clauses Contractuelles Types en vertu de l'article 46(2)(c) du RGPD, complétées par des mesures techniques, organisationnelles et contractuelles appropriées telles que documentées dans nos Évaluations de l'Impact des Transferts.
3. Résidents du Québec - Transferts hors du Québec (Loi 25, article 17)
Conformément à la Loi sur la protection des renseignements personnels dans le secteur privé (CQLR c P-39.1, telle que modifiée par la Loi 25), et plus particulièrement en application de son article 17, une Évaluation des facteurs relatifs à la vie privée (EFVP) a été réalisée préalablement à toute communication de renseignements personnels hors du Québec.
L'EFVP tient compte des facteurs suivants tels que requis par l'article 17 :
- La sensibilité des renseignements personnels concernés ;
- Les finalités pour lesquelles ils seront utilisés ;
- L'adéquation des mesures de protection appliquées dans la juridiction du destinataire, notamment les lois applicables, les garanties contractuelles et les mesures de sécurité techniques ;
- La nature des activités de traitement effectuées par le destinataire.
L'EFVP confirme que chaque juridiction ou organisation destinataire offre un niveau de protection équivalent à celui requis par la loi québécoise, ou que des garanties contractuelles et techniques appropriées ont été mises en place pour assurer une protection équivalente. Les destinataires de renseignements personnels hors du Québec sont liés par des obligations contractuelles les obligeant à protéger les informations à un niveau au moins équivalent à celui requis par la loi québécoise.
Les transferts couverts par cette évaluation comprennent les transferts vers nos entités mères du groupe au Canada et en France, les réseaux de cartes de paiement (Visa, Mastercard), les fournisseurs d'infrastructure cloud et d'autres sous-traitants tiers. Un résumé de l'EFVP est disponible sur demande.
4. Disponibilité des documents de transfert
Des copies des documents suivants sont disponibles sur demande auprès de notre Délégué à la protection des données :
- Clauses Contractuelles Types (CCT UE - Module 2, Responsable du traitement vers Sous-traitant)
- Accord britannique de transfert international de données (IDTA) ou Addendum britannique aux CCT
- Résumé de l'Évaluation de l'Impact des Transferts (TIA)
- Résumé de l'Évaluation des facteurs relatifs à la vie privée (EFVP) pour les transferts depuis le Québec.
Pour demander l'un de ces documents ou pour toute question concernant nos pratiques de transfert international de données, veuillez contacter notre Délégué à la protection des données à l'adresse : dpo@upclick.com.
Délégué à la protection des données
Pour toute demande relative à la protection de la vie privée, à l'exercice de vos droits, au désabonnement, à la suppression de compte et à toute question en matière de protection des données, veuillez contacter notre Délégué à la protection des données à l'adresse dpo@upclick.com. Pour les demandes commerciales et d'assistance sans lien avec la protection de la vie privée, veuillez contacter dpo@upclick.com. Veuillez inclure votre nom, votre adresse et votre adresse e-mail dans toute correspondance afin que nous puissions répondre à votre demande.
Les Partenaires commerciaux souhaitant obtenir une copie de notre Accord de traitement des données (DPA), de la liste des sous-traitants, des Clauses Contractuelles Types, de l'Accord britannique de transfert international de données (IDTA) ou du résumé de l'Évaluation de l'Impact des Transferts peuvent demander ces documents à notre Délégué à la protection des données à l'adresse dpo@upclick.com.
Juridictions particulières : Résidents de Californie - Avis de confidentialité supplémentaire (CPRA)
Pour les résidents de Californie, veuillez consulter notre Avis de confidentialité complet pour la Californie disponible à l'adresse suivante : Avis CPRA. L'Avis de confidentialité pour la Californie complète la présente Politique de confidentialité et fournit les divulgations complètes requises en vertu de la California Privacy Rights Act de 2020 (CPRA) et du CalOPPA.
Ne pas vendre ou partager mes données personnelles / Limiter l'utilisation de mes données personnelles sensibles
Les résidents de Californie ont le droit de s'opposer à la vente ou au partage de leurs données personnelles et de limiter l'utilisation de leurs données personnelles sensibles. Pour exercer ces droits, veuillez utiliser le lien suivant disponible dans le pied de page de chaque page de notre site web :
Do Not Sell or Share My Personal Information / Limit the Use of My Sensitive Personal Information
Nous reconnaissons et respectons également le signal Global Privacy Control (GPC) comme une demande valide d'opposition à la vente et au partage de données personnelles, conformément au Code civil de Californie § 1798.135(d) et au Code des règlements de Californie § 7025.
Catégories de données personnelles collectées et communiquées
Les catégories suivantes de données personnelles sont collectées et peuvent être communiquées à des tiers à des fins commerciales. Les détails complets sont disponibles dans notre Avis de confidentialité pour la Californie (Section 1 et Section 2) :
| Catégorie |
Collectée |
Communiquée à des fins commerciales |
| Identifiants (nom, adresse e-mail, adresse, téléphone) |
Oui |
Oui - prestataires de services, assistance |
| Identifiants en ligne (adresse IP, cookies) |
Oui |
Oui - analyses, partenaires publicitaires |
| Informations de paiement et de facturation |
Oui |
Oui - processeurs de paiement, réseaux de cartes |
| Activité en ligne et sur le réseau |
Oui |
Oui - analyses, publicité |
| Informations sur les appareils et le système d'exploitation |
Oui |
Oui - fournisseurs d'infrastructure |
| Données du service client et CRM |
Oui |
Oui - plateformes d'assistance |
| Données de signature électronique et pistes d'audit |
Oui |
Oui - fournisseurs d'infrastructure eSign |
| Informations marketing et publicitaires |
Oui |
Oui - plateformes publicitaires |
| Données d'abonnement et de compte |
Oui |
Oui - sociétés affiliées |
Données personnelles sensibles
En vertu du Code civil de Californie § 1798.140(ae) (CPRA), les catégories suivantes de données personnelles que nous collectons sont classifiées comme données personnelles sensibles :
- Informations de carte de paiement (numéro de carte, date d'expiration, CVV) - collectées et traitées exclusivement à des fins de traitement des paiements via des processeurs conformes à la norme PCI-DSS. Nous n'utilisons pas les données de carte de paiement à d'autres fins que le traitement des transactions et la prévention de la fraude.
- Identifiants de connexion au compte (nom d'utilisateur combiné avec un mot de passe ou des informations d'identification de sécurité) - utilisés uniquement à des fins d'authentification et de sécurité du compte.
- Données de géolocalisation précise (dérivées de l'adresse IP à des fins de scoring anti-fraude) - utilisées uniquement à des fins de prévention de la fraude et de surveillance contre les abus.
Nous n'utilisons ni ne divulguons les données personnelles sensibles à des fins allant au-delà de celles nécessaires à la fourniture des Services que vous avez demandés, conformément au CPRA § 1798.121. Vous avez le droit de nous demander de limiter notre utilisation et notre divulgation de données personnelles sensibles à ces seules finalités autorisées. Pour exercer ce droit, utilisez le lien ci-dessus ou contactez-nous à l'adresse dpo@upclick.com.
Vos droits en matière de confidentialité en Californie
Les résidents de Californie disposent à tout moment des droits suivants :
- Droit de savoir - quelles données personnelles sont collectées, utilisées, communiquées et vendues
- Droit à la suppression - demander la suppression de vos données personnelles, sous réserve d'exceptions
- Droit de rectification - demander la correction de données personnelles inexactes
- Droit d'opposition - à la vente ou au partage de données personnelles
- Droit de limitation - de l'utilisation et de la divulgation de données personnelles sensibles
- Droit à la non-discrimination - nous ne ferons pas de discrimination à votre égard pour l'exercice de vos droits
- Droit à la portabilité des données - recevoir vos données dans un format portable et lisible par machine
Les détails complets sur la manière d'exercer chaque droit sont disponibles dans notre Avis de confidentialité pour la Californie.
Agents autorisés
Vous pouvez désigner un agent autorisé pour soumettre une demande relative aux droits en matière de confidentialité en votre nom. Pour utiliser un agent autorisé, vous devez soit :
- Fournir à l'agent autorisé une autorisation écrite signée par vous - nous pouvons vérifier votre identité directement auprès de vous ; soit
- Fournir à l'agent autorisé une procuration conformément aux §§ 4000 à 4465 du Code des successions de Californie.
Nous pouvons refuser une demande émanant d'un agent autorisé qui ne soumet pas de preuve d'autorisation. Les agents autorisés peuvent soumettre des demandes à dpo@upclick.com avec la preuve de leur autorisation à agir en votre nom.
Conservation des données personnelles
Nous conservons chaque catégorie de données personnelles pendant les durées définies dans le Calendrier de conservation des données de la présente Politique de confidentialité. Les principales durées de conservation pour les résidents de Californie sont les suivantes :
| Catégorie |
Durée de conservation |
| Données de compte et de profil |
Durée d'utilisation active + 5 ans |
| Données de paiement et de facturation |
10 ans à compter de la date de transaction |
| Données de signature électronique et pistes d'audit |
Jusqu'à 10 ans |
| Données marketing et de liste de diffusion |
3 ans après la dernière interaction |
| Identifiants en ligne et cookies |
13 mois (traceur) / 25 mois (données) |
| Données du service client |
5 ans après la résolution |
Pour le calendrier de conservation complet, veuillez consulter la section Conservation des données de la présente Politique de confidentialité.
Ces liens sont également disponibles dans le pied de page de chaque page de notre site web.
Les résidents du Colorado, du Connecticut, de Virginie, du Texas, de l'Oregon, du Montana, du Delaware, du New Hampshire, du New Jersey, du Minnesota, du Maryland, du Tennessee, de l'Iowa, du Nebraska, de l'Indiana, du Kentucky et du Rhode Island peuvent bénéficier de droits supplémentaires en matière de confidentialité en vertu de la législation de leur État applicable, notamment le droit de s'opposer à la vente ou au partage de données personnelles, le droit d'accès, de rectification et de suppression des données personnelles, ainsi que le droit de contester une décision relative à une demande d'exercice de droits en matière de confidentialité. Pour exercer l'un de ces droits, veuillez nous contacter à l'adresse dpo@upclick.com ou utiliser le mécanisme d'opposition disponible ici:
Juridictions particulières : Canada - Supplément en matière de confidentialité (LPRPDE et Loi 25)
Dernière mise à jour : mai 2026
Le présent supplément s'applique aux personnes résidant au Canada, y compris les résidents du Québec, et complète la politique générale de confidentialité d'Avanquest Software SAS et de ses sociétés affiliées (collectivement « nous », « notre »). Il est conçu pour se conformer à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE, L.C. 2000, ch. 5) et, pour les résidents du Québec, à la Loi sur la protection des renseignements personnels dans le secteur privé (CQLR c P-39.1, telle que modifiée par la Loi 25). En cas de conflit entre le présent supplément et la politique générale de confidentialité, le présent supplément prévaut pour les résidents canadiens dans la mesure du conflit.
Conformément à la Charte de la langue française du Québec (loi 96), le présent supplément est disponible en français sur demande en contactant dpo@upclick.com.
1. Identification des finalités - Pourquoi nous collectons vos renseignements personnels
Nous collectons des renseignements personnels uniquement à des fins qu'une personne raisonnable estimerait appropriées dans les circonstances, et uniquement dans la mesure nécessaire pour atteindre ces finalités. Les principales finalités pour lesquelles nous collectons des renseignements personnels auprès des résidents canadiens sont les suivantes :
- Fournir, livrer et gérer les produits et Services que vous avez achetés ou demandés ;
- Traiter les paiements et gérer la facturation, les factures et les renouvellements d'abonnements ;
- Créer et gérer votre compte ;
- Communiquer avec vous au sujet de vos commandes, de votre compte et de vos transactions ;
- Fournir un service à la clientèle et répondre à vos demandes ;
- Vous envoyer des communications marketing lorsque vous avez fourni votre consentement ou lorsque la LCAP le permet ;
- Détecter et prévenir la fraude, les abus et les incidents de sécurité ;
- Respecter les obligations légales et réglementaires applicables ;
- Améliorer nos produits, Services et site Web grâce à l'analyse et à la surveillance des performances.
Nous identifierons la finalité de toute nouvelle collecte de renseignements personnels au moment de la collecte ou avant celle-ci. Si nous souhaitons utiliser des renseignements personnels à une nouvelle finalité non identifiée précédemment, nous solliciterons votre consentement avant de le faire.
2. Consentement
Nous obtenons un consentement valable pour la collecte, l'utilisation et la communication de renseignements personnels, sous une forme adaptée à la sensibilité des renseignements et aux attentes raisonnables de la personne concernée.
Le consentement exprès est obtenu pour :
- Les communications marketing de type infolettres et promotionnelles (conformément à la LCAP, L.C. 2010, ch. 23) ;
- Les témoins non essentiels et les traceurs analytiques ;
- Toute collecte de renseignements personnels sensibles.
Le consentement implicite peut être invoqué pour :
- Les communications liées aux services destinées aux clients existants, lorsque la communication se rapporte directement à la relation commerciale en cours ;
- La collecte de renseignements personnels nécessaires à l'exécution d'une transaction que vous avez initiée.
Vous pouvez retirer votre consentement à tout moment, sous réserve de restrictions légales ou contractuelles et d'un préavis raisonnable, en contactant notre responsable de la protection des renseignements personnels à l'adresse dpo@upclick.com. Nous vous informerons des conséquences du retrait de votre consentement. Le retrait du consentement aux communications marketing peut être exercé via le lien de désabonnement figurant dans chaque message. Le retrait du consentement aux témoins non essentiels peut être exercé via le centre de gestion des témoins sur notre site Web.
3. Limitation de la collecte
Nous ne collectons que les renseignements personnels nécessaires aux finalités identifiées ci-dessus. Nous ne collectons pas de renseignements personnels de manière indiscriminée. Les catégories de renseignements personnels que nous collectons auprès des résidents canadiens sont les suivantes :
- Identificateurs (nom, adresse courriel, adresse physique, numéro de téléphone) ;
- Identificateurs en ligne (adresse IP, témoins, identifiants d'appareils) ;
- Renseignements de paiement et de facturation (identifiants de carte de paiement, adresse de facturation, historique des transactions) ;
- Renseignements de compte et d'abonnement (identifiants de connexion, statut d'abonnement, données de licence) ;
- Activité en ligne et sur le réseau (comportement de navigation, pages visitées, clics) ;
- Renseignements sur les appareils et le système d'exploitation (type de navigateur, système d'exploitation, modèle d'appareil) ;
- Renseignements du service à la clientèle et CRM (tickets d'assistance, journaux de clavardage, correspondance) ;
- Renseignements marketing et publicitaires (interactions avec les campagnes, engagement par courriel) ;
- Renseignements relatifs à la signature électronique (lorsque vous utilisez nos services eSign) : données de signature, identité du signataire, horodatages, enregistrements de piste d'audit, adresse IP au moment de la signature.
4. Limitation de l'utilisation, de la communication et de la conservation
Nous utilisons et communiquons les renseignements personnels uniquement aux fins pour lesquelles ils ont été collectés, sauf avec votre consentement ou tel que requis par la loi. Nous ne vendons pas de renseignements personnels à des tiers.
La communication à des tiers est limitée aux catégories décrites dans la politique générale de confidentialité et dans la liste des mandataires disponible à l'adresse dpo@upclick.com. Les catégories de tiers avec lesquels nous partageons des renseignements personnels comprennent :
- Les sociétés affiliées du groupe Claranova/Avanquest ;
- Les fournisseurs d'hébergement en nuage et d'infrastructure (AWS, Microsoft Azure, Google Cloud) ;
- Les processeurs de paiement et réseaux de cartes (Stripe, Verifone/2Checkout, Visa, Mastercard) ;
- Les plateformes de service à la clientèle (Zendesk, Ada Support) ;
- Les plateformes d'analyse et de marketing (Google Analytics, HubSpot, Mailchimp) ;
- Les plateformes de conformité et de gestion du consentement (OneTrust) ;
- Les fournisseurs d'infrastructure de signature électronique (GlobalSign, LeaseWeb, Microsoft Azure) ;
- Les services de prévention de la fraude (Stripe Radar, Cloudflare) ;
- Les autorités légales, réglementaires et chargées de l'application de la loi lorsque la loi l'exige.
Vous avez le droit de demander le nom de tout tiers spécifique relevant de chaque catégorie en contactant dpo@upclick.com.
La conservation des renseignements personnels suit le calendrier établi dans le calendrier de conservation des renseignements de notre politique générale de confidentialité. En règle générale :
- Les renseignements personnels ne sont conservés que le temps nécessaire pour atteindre la finalité identifiée ou tel que requis par la loi applicable ;
- Les renseignements de compte et d'abonnement sont conservés pendant la durée de la relation active plus 5 ans ;
- Les relevés de paiement et de facturation sont conservés pendant 10 ans à compter de la date de transaction, conformément aux lois comptables et fiscales applicables ;
- Les renseignements marketing sont conservés pendant 3 ans après votre dernière interaction ;
- Les renseignements personnels sont détruits de manière sécurisée ou anonymisés de manière irréversible lorsqu'ils ne sont plus nécessaires.
5. Transferts de renseignements personnels hors du Canada
Dans le cadre de nos activités mondiales, les renseignements personnels peuvent être transférés vers des juridictions situées en dehors du Canada, notamment la France, les États-Unis, Malte et d'autres pays où nos sociétés affiliées et mandataires exercent leurs activités, et y être traités.
Pour les transferts hors du Québec, une évaluation des facteurs relatifs à la vie privée (EFVP) a été réalisée conformément à l'article 17 de la Loi 25, confirmant que des mesures de protection appropriées sont en place. Un résumé est disponible sur demande à l'adresse dpo@upclick.com.
Pour les transferts hors du Canada en général, nous veillons à ce que les organisations destinataires soient liées par des obligations contractuelles offrant une protection équivalente à la LPRPDE grâce à des clauses contractuelles types ou à des ententes de transfert de renseignements intragroupe.
Pour les transferts vers les États-Unis, nous nous appuyons sur des clauses contractuelles types et, lorsque le destinataire est certifié, sur le Cadre de protection des données UE-États-Unis. Les détails complets de nos mécanismes de transfert sont présentés dans la section Transferts internationaux de renseignements personnels de la politique générale de confidentialité.
6. Exactitude
Nous prenons des mesures raisonnables pour nous assurer que les renseignements personnels que nous détenons sont exacts, complets et à jour dans la mesure nécessaire aux fins pour lesquelles ils sont utilisés. Vous pouvez demander la correction de renseignements personnels inexacts ou incomplets en contactant dpo@upclick.com ou via les paramètres de votre compte, le cas échéant.
7. Mesures de sécurité
Nous protégeons les renseignements personnels au moyen de mesures de sécurité adaptées à la sensibilité des renseignements, notamment :
- Le chiffrement des renseignements personnels en transit et au repos ;
- Des contrôles d'accès limitant l'accès aux renseignements personnels au seul personnel autorisé ;
- La conformité à la norme PCI-DSS pour le traitement des paiements ;
- L'alignement sur les normes ISO/IEC 27001:2022 et ISO/IEC 27701:2019 telles qu'implémentées par le groupe Claranova ;
- Des évaluations régulières de la sécurité et des formations du personnel en matière de protection des renseignements personnels.
En cas d'incident de confidentialité créant un risque réel de préjudice grave, nous en informerons le Commissariat à la protection de la vie privée du Canada (CPVP) et les personnes concernées, tel que requis par l'article 10.1 de la LPRPDE, ainsi que la Commission d'accès à l'information (CAI), tel que requis par la Loi 25 pour les résidents du Québec.
8. Transparence et responsabilité
Nous sommes responsables des renseignements personnels sous notre contrôle. Notre responsable de la protection des renseignements personnels est chargé de notre conformité à la LPRPDE et à la Loi 25 et peut être contacté à l'adresse suivante :
Responsable de la protection des renseignements personnels Avanquest Software SAS dpo@upclick.com
Pour les questions relatives à la sécurité des renseignements : dpo@upclick.com.
Nous répondrons à toutes les demandes et plaintes relatives à la protection des renseignements personnels dans un délai de 30 jours. Pour les demandes complexes, nous pouvons avoir besoin d'un délai pouvant aller jusqu'à 60 jours et nous vous en informerons par écrit.
9. Décisions automatisées (Loi 25, art. 7)
Conformément à l'article 7 de la Loi sur la protection des renseignements personnels dans le secteur privé (telle que modifiée par la Loi 25), nous informons les résidents du Québec que nous utilisons le traitement automatisé de renseignements personnels à des fins de prévention de la fraude et de calcul de score anti-fraude dans le cadre des transactions de paiement. Cela peut entraîner le marquage d'une transaction, son refus ou sa soumission à une vérification supplémentaire.
Vous avez le droit d'être informé de toute décision automatisée produisant des effets significatifs à votre égard, de soumettre des observations et de demander un examen humain de la décision. Pour exercer ces droits, contactez dpo@upclick.com.
10. Confidentialité par défaut (Loi 25, art. 8.1)
Conformément à l'article 8.1 de la Loi sur la protection des renseignements personnels dans le secteur privé (telle que modifiée par la Loi 25), nos Services sont conçus avec la confidentialité par défaut. Seuls les renseignements personnels nécessaires à la finalité spécifique du produit ou du service sont collectés par défaut. Notre bannière de consentement aux témoins est configurée de sorte que seuls les témoins strictement nécessaires sont déposés avant que vous fassiez un choix actif - aucun témoin non essentiel n'est chargé par défaut tant que le consentement n'a pas été donné.
11. Vos droits en matière de protection des renseignements personnels
Sous réserve des exemptions applicables, les résidents canadiens disposent des droits suivants :
| Droit |
Description |
Loi applicable |
| Droit d'être informé |
Savoir quelles données personnelles sont collectées et pourquoi |
LPRPDE / Loi 25 |
| Droit d'accès |
Demander l'accès à vos données personnelles |
LPRPDE art. 8 / Loi 25 |
| Droit de rectification |
Demander la correction de données inexactes ou incomplètes |
LPRPDE / Loi 25 |
| Droit à l'effacement |
Demander la suppression de vos données personnelles, sous réserve d'exceptions |
Loi 25 |
| Droit de retirer son consentement |
Retirer son consentement à tout moment, sous réserve de restrictions légales |
LPRPDE / Loi 25 |
| Droit à la portabilité des données |
Recevoir ses données dans un format structuré et lisible par machine |
Loi 25 |
| Droit à la limitation du traitement |
Demander la limitation du traitement dans certaines circonstances |
Loi 25 |
| Droit à la désindexation |
Demander la cessation de la diffusion ou la désindexation lorsque celle-ci cause un préjudice grave |
Loi 25 art. 28.1 |
| Droit de s'opposer aux décisions automatisées |
Demander un examen humain des décisions prises exclusivement par des moyens automatisés |
Loi 25 art. 7 |
Pour exercer l'un des droits susmentionnés, veuillez contacter notre responsable de la protection des renseignements personnels à l'adresse dpo@upclick.com. Nous répondrons dans un délai de 30 jours suivant la réception de votre demande vérifiable.
12. Plaintes et autorités de surveillance
Si vous avez une plainte à formuler concernant la façon dont nous traitons vos renseignements personnels, nous vous encourageons à nous contacter en premier lieu à l'adresse dpo@upclick.com afin que nous puissions tenter de résoudre la situation directement.
Si vous n'êtes pas satisfait de notre réponse, vous avez le droit de déposer une plainte auprès de l'autorité de surveillance compétente :
Pour tous les résidents canadiens : Commissariat à la protection de la vie privée du Canada (CPVP) priv.gc.ca, 1-800-282-1376
Pour les résidents du Québec : Commission d'accès à l'information (CAI) cai.gouv.qc.ca, 1-888-528-7741
Juridictions particulières : Brésil - Lei Geral de Proteção de Dados Pessoais (LGPD, Lei 13.709/2018)
La présente section s'applique aux données personnelles des personnes concernées situées au Brésil et est fournie en conformité avec la Lei Geral de Proteção de Dados Pessoais (LGPD, Lei 13.709/2018). Elle complète les dispositions générales de la présente Politique de confidentialité, qui continuent de s'appliquer aux résidents brésiliens conjointement avec la présente section.
Responsable du traitement et Encarregado (Délégué à la protection des données)
Le responsable du traitement chargé du traitement des données personnelles des résidents brésiliens est :
Avanquest Software SAS. Pour toute question relative à la protection de la vie privée, y compris l'exercice des droits conférés par la LGPD, veuillez contacter notre Encarregado (Délégué à la protection des données) à l'adresse : dpo@upclick.com, en indiquant « LGPD » dans l'objet de votre message.
Catégories de données personnelles collectées auprès des résidents brésiliens
En plus des catégories de données personnelles décrites dans la section générale Collecte d'informations de la présente Politique de confidentialité, nous collectons les données suivantes spécifiquement auprès des résidents brésiliens :
- CPF (Cadastro de Pessoa Física) - numéro d'identification fiscal individuel, collecté auprès des clients particuliers ;
- CNPJ (Cadastro Nacional da Pessoa Jurídica) - numéro d'identification fiscal des personnes morales, collecté auprès des clients professionnels.
Ces identifiants sont requis en vertu des réglementations fiscales et de paiement brésiliennes et sont collectés exclusivement à des fins de traitement des paiements, de facturation et de conformité aux obligations fiscales brésiliennes.
Bases juridiques du traitement
Nous traitons les données personnelles des résidents brésiliens sur les bases juridiques suivantes en vertu de l'article 7 de la LGPD :
| Finalité du traitement |
Base juridique |
Référence LGPD |
| Traitement des paiements et facilitation des transactions |
Exécution d'un contrat |
Art. 7(V) |
| Collecte du CPF/CNPJ à des fins de conformité fiscale et de facturation |
Respect d'une obligation légale ou réglementaire |
Art. 7(II) |
| Inscription et gestion des comptes |
Exécution d'un contrat |
Art. 7(V) |
| Livraison des produits et Services achetés |
Exécution d'un contrat |
Art. 7(V) |
| Service client |
Exécution d'un contrat |
Art. 7(V) |
| Newsletter et communications promotionnelles |
Consentement de la personne concernée |
Art. 7(I) |
| Cookies non essentiels et analyses |
Consentement de la personne concernée |
Art. 7(I) |
| Prévention de la fraude et surveillance de la sécurité |
Intérêt légitime du responsable du traitement |
Art. 7(IX) |
| Fonctionnalité du site web et lutte contre le spam |
Intérêt légitime du responsable du traitement |
Art. 7(IX) |
| Respect des obligations légales et des demandes réglementaires |
Respect d'une obligation légale ou réglementaire |
Art. 7(II) |
| Exercice et défense de droits en justice |
Intérêt légitime du responsable du traitement |
Art. 7(VI) |
| Transferts internationaux hors du Brésil |
Clauses contractuelles types / décision d'adéquation / consentement |
Art. 33 |
Lorsque nous nous appuyons sur le consentement comme base juridique, vous avez le droit de le retirer à tout moment sans affecter la licéité du traitement effectué avant ce retrait. Pour retirer votre consentement aux communications marketing, utilisez le lien de désabonnement figurant dans chaque message ou contactez dpo@upclick.com. Pour retirer votre consentement aux cookies non essentiels, utilisez le centre de préférences des cookies disponible sur chaque page de notre site web.
Lorsque nous nous appuyons sur l'intérêt légitime, nous avons évalué que notre intérêt n'est pas supplanté par vos droits, libertés ou intérêts. Vous avez le droit de vous opposer à tout moment au traitement fondé sur l'intérêt légitime en contactant dpo@upclick.com.
Transferts internationaux de données personnelles
Les transferts de données personnelles hors du Brésil sont effectués conformément à l'article 33 de la LGPD, sur la base d'un ou plusieurs des éléments suivants :
- Clauses contractuelles types approuvées par l'Autoridade Nacional de Proteção de Dados (ANPD) ;
- Décisions d'adéquation lorsqu'elles sont disponibles pour le pays destinataire ;
- Consentement explicite de la personne concernée lorsque cela est requis.
Pour tous les détails concernant nos mécanismes de transfert internationaux, consultez la section Transferts internationaux de données personnelles de la présente Politique de confidentialité.
Conservation des données
Les données personnelles des résidents brésiliens sont conservées conformément au Calendrier de conservation des données établi dans la présente Politique de confidentialité. Les durées de conservation sont déterminées par la finalité du traitement, la législation brésilienne applicable et les obligations contractuelles. Les données CPF et CNPJ sont conservées pendant la durée requise par les réglementations fiscales et financières brésiliennes, soit un minimum de 5 ans à compter de la date de la transaction concernée.
Vos droits en vertu de l'article 18 de la LGPD
Les personnes concernées brésiliennes disposent des droits suivants en ce qui concerne leurs données personnelles :
- Confirmation du traitement - le droit de confirmer si nous traitons vos données personnelles ;
- Accès - le droit d'accéder aux données personnelles que nous détenons à votre sujet ;
- Rectification - le droit de corriger les données personnelles incomplètes, inexactes ou obsolètes ;
- Anonymisation, blocage ou suppression - le droit de demander l'anonymisation, le blocage ou la suppression de données inutiles, excessives ou non conformes ;
- Portabilité des données - le droit de recevoir vos données personnelles dans un format structuré et interopérable ;
- Suppression des données traitées sur la base du consentement - le droit de demander la suppression des données personnelles traitées sur la base de votre consentement ;
- Informations sur le partage - le droit d'obtenir des informations sur les entités publiques et privées avec lesquelles nous avons partagé vos données personnelles ;
- Informations sur le non-consentement - le droit d'être informé de la possibilité de ne pas donner son consentement et des conséquences d'un refus ;
- Révocation du consentement - le droit de retirer son consentement à tout moment ;
- Examen des décisions automatisées - le droit de demander l'examen des décisions prises exclusivement par des moyens automatisés qui affectent vos intérêts.
Pour exercer l'un des droits susmentionnés, veuillez contacter notre Encarregado à l'adresse dpo@upclick.com en indiquant « LGPD » dans l'objet de votre message. Nous répondrons dans un délai de 15 jours conformément aux recommandations de l'ANPD.
Autorité de surveillance
L'autorité de surveillance responsable de l'application de la LGPD au Brésil est l'Autoridade Nacional de Proteção de Dados (ANPD). Si vous estimez que vos données personnelles ont été traitées d'une manière non conforme à la LGPD, vous avez le droit de déposer une plainte auprès de l'ANPD à l'adresse suivante : gov.br/anpd
Royaume-Uni et Allemagne
Résidents du Royaume-Uni : La présente Politique de confidentialité est conforme au RGPD britannique (UK GDPR) et au Data Protection Act 2018. L'autorité de contrôle pour le Royaume-Uni est l'Information Commissioner's Office (ICO), joignable à l'adresse ico.org.uk ou au 0303 123 1113. Vous avez le droit de déposer une plainte auprès de l'ICO à tout moment.
Résidents d'Allemagne : La loi fédérale sur la protection des données (Bundesdatenschutzgesetz, BDSG) s'applique en complément du RGPD.
Chaque supplément est incorporé par référence dans la présente politique et est disponible sur demande à l'adresse dpo@upclick.com.