Entente de traitement des renseignements personnels
Modèle · Régi par la Loi 25 (Québec) · Version 1.0 — 17 juin 2026
Portée :la présente entente s'applique aux renseignements personnels des opérateurs(membres du personnel de l'organisation cliente accédant au tableau de bord institutionnel iCivic). Les données de temps d'attente exposées dans le tableau de bord sont des statistiques agrégées et anonymisées qui ne constituent pas des renseignements personnels au sens de la Loi 25.
Pour conclure cette entente, envoyez une demande à legal@icivic.appavec la raison sociale, le numéro d'entreprise et les coordonnées du responsable de la protection des renseignements personnels de votre organisation.
Entre Solutions iCivic inc. (« iCivic » ou « le Sous-traitant »), société établie à Gatineau, Québec, Canada, et [NOM DE L'ORGANISATION] (« le Client » ou « le Responsable »), ci-après collectivement désignées « les Parties ».
Article 1 — Objet
La présente entente régit le traitement par iCivic, à titre de sous-traitant, des renseignements personnels confiés par le Client dans le cadre de l'utilisation du tableau de bord institutionnel iCivic, conformément à l'article 18.3 de la Loi 25. Elle complète le contrat de service conclu entre les Parties (les Conditions de service institutions). En cas de conflit, la présente entente prévaut pour les matières de protection des renseignements personnels.
Article 2 — Durée
La présente entente entre en vigueur à la date de sa signature par les deux Parties et demeure en vigueur pour toute la durée du contrat de service. Les obligations de confidentialité et de destruction des données survivent à la résiliation pour une période de cinq (5) ans.
Article 3 — Nature, finalité et base légale des traitements
iCivic traite les renseignements personnels décrits à l'Annexe A aux fins suivantes :
- Gestion des comptes opérateurs — création, authentification, attribution des rôles (RBAC) et désactivation des accès au tableau de bord ;
- Journal d'audit — consignation des actions administratives et des accès aux données pour des fins de sécurité et de traçabilité ;
- Notifications opérationnelles— envoi d'alertes de seuil et de rapports périodiques aux adresses courriel désignées par le Client.
Le Client est responsable de s'assurer que le traitement repose sur une base légale valide au sens de la Loi 25 (consentement des opérateurs ou intérêt légitime dans le cadre du contrat de travail) avant de confier ces renseignements à iCivic.
Article 4 — Instructions documentées
iCivic ne traite les renseignements personnels que selon les instructions documentées du Client, telles qu'elles ressortent du contrat de service et de la présente entente. Si iCivic est tenu par la loi de procéder à un traitement non prévu, il en informera le Client au préalable, sauf si la loi l'interdit.
Si iCivic estime qu'une instruction du Client enfreint la Loi 25 ou toute autre disposition légale applicable, il en informe le Client sans délai.
Article 5 — Obligations d'iCivic (sous-traitant)
5.1 Confidentialité
iCivic s'assure que toute personne autorisée à traiter les renseignements personnels du Client est liée par un engagement de confidentialité ou soumise à une obligation légale de confidentialité appropriée. Cet engagement survit à la fin du contrat.
5.2 Sécurité
iCivic met en œuvre et maintient les mesures techniques et organisationnelles suivantes :
- Chiffrement TLS 1.3 de toutes les communications ;
- Chiffrement des données au repos (AES-256) ;
- Contrôle d'accès par rôle (RBAC) et isolement multi-organisations par Row Level Security (RLS), vérifié par tests automatisés ;
- Hachage des adresses IP avant tout stockage (SHA-256 + sel) ;
- Journaux d'audit des accès administratifs ;
- Gestion centralisée des secrets (aucun secret en clair dans le code) ;
- Audits de sécurité périodiques.
5.3 Sous-traitants ultérieurs
Le Client autorise iCivic à faire appel aux sous-traitants ultérieurs listés à l'Annexe B. iCivic impose à chaque sous-traitant ultérieur des obligations au moins équivalentes à celles de la présente entente et demeure responsable de leur conformité.
iCivic informera le Client avec un préavis de trente (30) jours de tout ajout ou remplacement de sous-traitant ultérieur. Le Client peut s'y opposer par écrit dans ce délai ; à défaut, le changement est réputé accepté.
5.4 Assistance pour les droits des personnes
iCivic assistera le Client, dans la mesure du raisonnable et selon la nature des traitements, pour répondre aux demandes d'exercice des droits (accès, rectification, effacement, portabilité, cessation de diffusion) formulées par les personnes concernées, dans les délais prévus par la Loi 25.
5.5 Notification d'incident
En cas d'incident de confidentialité touchant les renseignements personnels du Client, iCivic notifiera le Client sans délai et au plus tard dans les soixante-douze (72) heuressuivant sa prise de connaissance de l'incident. La notification précisera : nature de l'incident, données touchées, mesures prises ou envisagées, et coordonnées du point de contact chez iCivic.
iCivic assistera le Client pour ses obligations de notification à la Commission d'accès à l'information du Québec (CAI) et aux personnes concernées, et inscrira l'incident dans son registre des incidents conformément à la Loi 25.
5.6 Audit
iCivic fournira au Client, sur demande écrite, les informations nécessaires pour démontrer le respect de la présente entente, notamment les journaux d'audit pertinents et les attestations de sécurité disponibles. iCivic peut facturer des frais raisonnables pour la préparation des rapports d'audit dépassant le cadre habituel.
Article 6 — Obligations du Client (responsable)
- Fournir des instructions de traitement conformes à la Loi 25 et à toute autre législation applicable ;
- Établir et documenter la base légale des traitements avant de confier des renseignements personnels à iCivic ;
- Informer ses opérateurs du traitement de leurs renseignements personnels par iCivic, conformément à ses propres obligations d'information ;
- Désigner les comptes opérateurs autorisés et procéder sans délai à leur révocation en cas de départ ou de changement de rôle ;
- Aviser iCivic sans délai de tout incident de confidentialité dont il aurait connaissance et qui pourrait affecter les systèmes d'iCivic.
Article 7 — Transferts de renseignements personnels hors Québec
Certains sous-traitants ultérieurs d'iCivic (Annexe B) sont établis hors du Québec. Conformément à la Loi 25, iCivic a effectué ou fera effectuer une évaluation des facteurs relatifs à la vie privée (EFVP) avant tout transfert vers une juridiction offrant un niveau de protection inférieur, et s'assure de mesures contractuelles adéquates.
Le Client, en signant la présente entente, autorise ces transferts aux conditions décrites à l'Annexe B.
Article 8 — Durées de conservation et destruction
- Comptes opérateurs actifs — conservés tant que le compte est actif.
- Comptes opérateurs désactivés — anonymisés dans les trente (30) jours suivant la désactivation (prénom/nom remplacés par un identifiant interne ; courriel supprimé).
- Journaux d'audit — conservés quatre-vingt-dix (90) jours, puis supprimés automatiquement.
- À la résiliation du contrat de service — tous les renseignements personnels des opérateurs du Client sont supprimés ou anonymisés dans les trente (30) jours suivant la résiliation. iCivic remettra au Client, sur demande, une attestation de destruction.
Article 9 — Droits des personnes concernées
Chaque opérateur peut exercer ses droits (accès, rectification, effacement, portabilité) directement depuis le tableau de bord iCivic ou en écrivant à legal@icivic.app. iCivic répondra dans les trente (30) jours de la réception de la demande.
Le Client reste responsable de traiter les demandes émanant de ses opérateurs concernant les traitements dont il est responsable.
Article 10 — Responsabilité
Chaque Partie est responsable des dommages causés par ses propres manquements à la présente entente ou à la Loi 25. La responsabilité d'iCivic est limitée, dans la mesure permise par la loi, aux montants payés par le Client au cours des douze (12) mois précédant l'événement dommageable. Cette limitation ne s'applique pas en cas de faute lourde ou intentionnelle.
Article 11 — Droit applicable et règlement des différends
La présente entente est régie par les lois du Québec et les lois fédérales du Canada applicables. Tout différend sera soumis aux tribunaux compétents du Québec, district de Gatineau. Les Parties s'engagent à tenter une résolution amiable dans les trente (30) jours suivant la notification d'un différend.
Article 12 — Modifications
iCivic peut modifier la présente entente pour refléter des changements réglementaires ou opérationnels, avec un préavis de trente (30) jours. Si le Client s'y oppose, il peut résilier le contrat de service selon les modalités prévues aux Conditions de service institutions.
Article 13 — Contact — Responsable de la protection des renseignements personnels
iCivic — Responsable RPP
Gatineau, Québec, Canada
legal@icivic.app
Annexe A — Renseignements personnels traités
| Catégorie | Données | Finalité |
|---|---|---|
| Comptes opérateurs | Prénom, nom, adresse courriel professionnelle, rôle, langue préférée | Authentification et gestion des accès |
| Journaux d'audit | Action effectuée, horodatage, adresse IP hachée (jamais en clair), identifiant opérateur | Sécurité, traçabilité, conformité |
| Notifications opérationnelles | Adresse courriel professionnelle, préférences d'alerte | Envoi d'alertes et de rapports |
Les données de temps d'attente accessibles dans le tableau de bord sont des statistiques agrégées et anonymisées ne contenant aucun renseignement personnel et ne sont pas visées par la présente entente.
Annexe B — Sous-traitants ultérieurs autorisés
| Sous-traitant | Rôle | Lieu de traitement | Données visées |
|---|---|---|---|
| Supabase | Base de données, authentification | Canada (ca-central-1) | Toutes (Annexe A) |
| Vercel | Hébergement de l'application web | Canada (Montréal) | Requêtes web (IP hachée en transit) |
| Brevo | Courriels transactionnels (alertes, rapports) | Union européenne (France) | Adresses courriel des opérateurs |
| PostHog | Analytique pseudonymisée du tableau de bord (sans cookie) | États-Unis | Identifiant pseudonyme, écrans consultés |
| Sentry | Rapports d'erreurs (PII retirée avant envoi) | États-Unis | Journaux techniques (sans PII) |
| Anthropic | Assistant IA intégré (zéro rétention) | États-Unis | Contenu des requêtes IA (traitement momentané, aucun stockage) |
| Railway | Exécution des agents IA internes (ops) | États-Unis | Journaux opérationnels (sans PII opérateur) |
| Inngest | Orchestration des tâches asynchrones | États-Unis | Métadonnées de tâches (sans PII opérateur) |
| Chatwoot | Support client par messagerie | États-Unis | Contenu des échanges de support, identifiant opérateur |
Signatures
Les Parties reconnaissent avoir lu et accepté la présente entente. Elle prend effet à la date de la dernière signature apposée ci-dessous.
| Pour Solutions iCivic inc. Signature : ______________________ Nom : ______________________ Titre : ______________________ Date : ______________________ | Pour [NOM DE L'ORGANISATION] Signature : ______________________ Nom : ______________________ Titre : ______________________ Date : ______________________ |
Pour toute question : legal@icivic.app · Solutions iCivic inc. — Responsable de la protection des renseignements personnels · Gatineau, Québec, Canada