Politique de confidentialité (Loi 25)

DictIA Inc. attache la plus grande importance à la protection des renseignements personnels de ses utilisateurs. La présente Politique de confidentialité décrit, conformément à la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1, telle que modifiée par la Loi 25, L.Q. 2021, c. 25), à la Loi concernant le cadre juridique des technologies de l'information (RLRQ, c. C-1.1, ci-après « LCCJTI ») et à la Loi sur la protection des renseignements personnels et les documents électroniques (L.C. 2000, c. 5), les pratiques de collecte, d'utilisation, de conservation et de communication des renseignements personnels.

1. Identité du responsable

Le responsable du traitement des renseignements personnels est :

• Raison sociale : DictIA Inc.
• Forme juridique : société par actions constituée le 22 mars 2026 en vertu de la Loi sur les sociétés par actions du Québec (RLRQ, c. S-31.1)
• NEQ : 1181949562
• Siège social : 77 chemin de la Seigneurie, Inverness QC G0S 1K0, Canada
• District judiciaire : Québec
• Actionnaires : Allison Rioux (50 %) et Jean-David Lévesque-Rioux (50 %)
• Téléphone : 581 996-8471
• Courriel général : info@dictia.ca
• Site web : https://dictia.ca

2. Coordonnées du responsable de la protection des renseignements personnels (RPRP)

Conformément à l'article 3.1 de la Loi sur le secteur privé, DictIA Inc. a désigné une responsable de la protection des renseignements personnels :

• Responsable : Allison Rioux
• Titre : Chef de la direction (CEO) & Responsable de la protection des renseignements personnels (RPRP)
• Courriel dédié : rprp@dictia.ca (alias surveillé exclusivement par la fonction RPRP)
• Téléphone : 581 996-8471
• Adresse postale : Allison Rioux, RPRP — DictIA Inc., 77 chemin de la Seigneurie, Inverness QC G0S 1K0
• Délai de réponse : 30 jours suivant la réception de la demande (prorogeable de 10 jours avec avis écrit motivé)

Toute demande relative à la présente Politique, à l'exercice des droits Loi 25 ou à un incident de confidentialité doit être adressée à rprp@dictia.ca.

3. Renseignements personnels collectés

DictIA Inc. collecte et traite les catégories de renseignements personnels suivantes :

3.1 Données d'identification

Nom, prénom, adresse courriel, numéro de téléphone, adresse postale, nom de l'organisation et titre professionnel (le cas échéant), identifiants de compte (nom d'utilisateur, mot de passe haché en bcrypt — jamais stocké en clair).

3.2 Données audio

Enregistrements audio soumis par les utilisateurs pour transcription via DictIA. Ces enregistrements peuvent contenir la voix de l'utilisateur et de tiers.

3.3 Transcriptions

Textes transcrits générés automatiquement à partir des enregistrements audio, versions corrigées ou annotées, résumés et post-traitements générés par le modèle de langage local.

3.4 Données biométriques vocales

Vecteurs d'empreintes vocales (voice embeddings) extraits par le module de diarisation pyannote.audio. Ces empreintes constituent des caractéristiques biométriques au sens des articles 44 et 45 de la LCCJTI et des renseignements sensibles au sens de la Loi 25 — soumises à des mesures de sécurité renforcées et à l'obligation de déclaration préalable à la Commission d'accès à l'information du Québec (CAI). La collecte et le traitement de ces données font l'objet d'un consentement distinct et explicite (voir sections 5 et 12).

3.5 Données d'utilisation et données techniques

Adresse IP, type de navigateur et système d'exploitation, pages consultées, date et heure de consultation, données de session, journaux d'utilisation de la plateforme (actions effectuées, paramètres de transcription, durée des sessions), données de performance et diagnostics techniques.

3.6 Données de paiement

Nom du titulaire du mode de paiement, informations de paiement tokenisées (les paiements sont traités par Stripe Inc., San Francisco CA, certifié PCI-DSS — DictIA Inc. ne stocke pas les numéros de cartes complets), adresse de facturation, historique des transactions.

4. Finalités du traitement

DictIA Inc. collecte et utilise les renseignements personnels uniquement aux fins suivantes :

• Fourniture et exécution du service : création et gestion des comptes, transcription automatique, diarisation vocale, post-traitement linguistique, support technique, facturation et gestion des paiements ;
• Amélioration du service : analyse des tendances d'utilisation, diagnostics techniques, développement de nouvelles fonctionnalités. Important : DictIA Inc. n'utilise pas les enregistrements audio, les transcriptions ni les empreintes vocales des utilisateurs pour entraîner ses modèles d'intelligence artificielle, sauf consentement exprès et séparé ;
• Obligations légales et réglementaires : respect des obligations fiscales, comptables et réglementaires, réponse aux demandes des autorités compétentes, tenue du registre des incidents de confidentialité ;
• Sécurité : prévention des accès non autorisés, détection et prévention des fraudes et incidents, journaux d'accès et de sécurité.

5. Base légale et consentement

Conformément aux articles 14 et suivants de la Loi sur le secteur privé, DictIA Inc. recueille un consentement manifeste, libre, éclairé, spécifique et temporaire avant toute collecte, utilisation ou communication de renseignements personnels.

Quatre consentements granulaires sont capturés et journalisés au moment de l'inscription :

1. Conditions d'utilisation (obligatoire pour la fourniture du Service) ;
2. Politique de confidentialité (obligatoire pour la fourniture du Service) ;
3. Communications marketing (facultatif, révocable à tout moment) ;
4. Mesures d'analyse d'audience anonymisées (facultatif, révocable à tout moment).

Un consentement explicite, distinct et spécifique (case à cocher non pré-cochée) est requis pour :

• Les données biométriques vocales (voir section 12) — art. 12 al. 3 Loi sur le secteur privé et art. 44 LCCJTI ;
• L'utilisation des données à des fins d'amélioration des modèles d'IA ;
• Toute communication de renseignements personnels à des tiers non nécessaire à l'exécution du service ;
• Tout transfert de renseignements personnels hors du Québec (voir section 7).

Le journal des consentements (ConsentLog) conserve la version exacte des documents acceptés, l'horodatage et l'adresse IP au moment du consentement. Toute personne peut retirer son consentement à tout moment en écrivant à rprp@dictia.ca, sous réserve des obligations légales de DictIA Inc.

Responsabilité de l'utilisateur — consentement des tiers (art. 184.1 Code criminel) : lorsque l'utilisateur soumet un enregistrement contenant la voix de tiers, il lui incombe d'obtenir leur consentement préalable au traitement de leurs données, incluant le traitement biométrique. DictIA Inc. met à disposition un formulaire de consentement biométrique (document I2).

6. Destinataires et sous-traitants techniques

DictIA Inc. ne vend, ne loue et ne commercialise pas les renseignements personnels de ses utilisateurs. DictIA Inc. fait appel aux sous-traitants techniques suivants :

Conformément à l'article 18.3 de la Loi sur le secteur privé, chaque entente de sous-traitance prévoit : les mesures de protection applicables, l'obligation d'utiliser les renseignements uniquement aux fins du mandat, l'obligation d'aviser DictIA Inc. de tout incident, et l'obligation de destruction ou restitution des renseignements à la fin du mandat.

DictIA Inc. peut communiquer des renseignements personnels sans consentement lorsque la loi l'exige, notamment à la CAI dans le cadre d'une enquête, à un tribunal ou organisme d'enquête, ou en cas de menace à la vie, à la santé ou à la sécurité d'une personne.

7. Transferts hors Québec

Conformément à l'article 17 de la Loi sur le secteur privé, DictIA Inc. a réalisé une Évaluation des facteurs relatifs à la vie privée (EFVP) documentée pour chaque transfert hors Québec. Les transferts autorisés sont :

Engagement fondamental : les données médicales et biométriques des utilisateurs de DictIA Cloud ne sont jamais transférées hors du Canada. Les données personnelles persistantes des utilisateurs résident sur OVH Beauharnois (Québec). Le traitement GPU temporaire en Ontario s'effectue exclusivement en mémoire vive, sans persistance.

DictIA Inc. ne transfère pas de renseignements personnels vers un territoire dont le régime juridique n'offre pas une protection équivalente à celle prévue par la loi québécoise, sauf en cas de nécessité, avec consentement explicite préalable, EFVP, entente écrite avec le destinataire et information de la personne concernée du nom du territoire et de la finalité.

8. Durée de conservation

Conformément à l'article 12 de la Loi sur le secteur privé, DictIA Inc. ne conserve les renseignements personnels que pour la durée nécessaire à la réalisation des finalités. Une fois la finalité réalisée, les renseignements sont détruits ou anonymisés de manière irréversible.

Destruction sécurisée : à l'expiration des durées, les données numériques sont détruites par effacement cryptographique conforme à la norme NIST SP 800-88 Rev. 1 ; les données biométriques font l'objet d'une destruction renforcée (effacement cryptographique avec écrasement supplémentaire et double vérification) ; les documents papier sont déchiquetés selon la norme DIN 66399 niveau P-4 minimum.

L'utilisateur peut, à tout moment, supprimer ses enregistrements audio, transcriptions et empreintes vocales directement depuis l'interface de la plateforme.

9. Droits de l'utilisateur

Conformément à la Loi sur le secteur privé, vous disposez des droits suivants :

• Droit d'accès (art. 27) : connaître l'existence et la nature des renseignements vous concernant ;
• Droit de rectification (art. 28) : faire corriger ou supprimer tout renseignement inexact, incomplet, équivoque ou non autorisé ;
• Droit à la désindexation (art. 28.1) : exiger la cessation de diffusion ou la désindexation d'un renseignement ;
• Droit à la portabilité (art. 27 al. 3) : recevoir les renseignements dans un format technologique structuré (CSV, JSON ou autre format standard) ou les faire transmettre à une autre entreprise ;
• Droit de retrait du consentement : à tout moment, sous réserve des obligations légales (sans effet rétroactif) ;
• Droit d'être informé des décisions automatisées (art. 12.1) : obtenir les renseignements utilisés, les facteurs et paramètres ayant mené à la décision, et faire réviser la décision par une personne physique compétente ;
• Droit d'être avisé en cas d'incident de confidentialité présentant un risque de préjudice sérieux (art. 3.5).

Procédure : adresser la demande à rprp@dictia.ca ou par courrier postal à l'adresse indiquée à la section 2. DictIA Inc. accuse réception et répond dans les 30 jours suivant la réception (art. 32 Loi sur le secteur privé), prorogeable de 10 jours dans les cas complexes avec avis écrit motivé.

DictIA Inc. n'exige pas de frais pour répondre à une demande d'accès ou de rectification, sauf frais raisonnables annoncés à l'avance. Une vérification d'identité est effectuée avant tout traitement.

10. Décisions automatisées

La plateforme DictIA utilise les traitements automatisés suivants, exécutés en mode inférence uniquement sur l'infrastructure de DictIA Inc. (aucune donnée envoyée à des services d'IA externes) :

Les transcriptions et diarisations constituent des outils d'aide : elles ne produisent pas, à elles seules, de décisions juridiques ou administratives à l'égard des utilisateurs. Conformément à l'article 12.1 de la Loi sur le secteur privé, vous pouvez exercer vos droits relatifs aux décisions automatisées en communiquant avec le RPRP.

11. Procédure de plainte

Si vous estimez que DictIA Inc. ne respecte pas ses obligations en matière de protection des renseignements personnels, vous pouvez déposer une plainte auprès de la Commission d'accès à l'information du Québec (CAI) :

• Site web : https://www.cai.gouv.qc.ca
• Courriel : cai.communications@cai.gouv.qc.ca
• Téléphone (Québec) : 418 528-7741
• Téléphone (Montréal) : 514 873-4196
• Sans frais : 1 888 528-7741
• Adresse : 525 boulevard René-Lévesque Est, bureau 2.36, Québec (Québec) G1R 5S9

12. Données biométriques (LCCJTI art. 44-45)

La fonctionnalité de diarisation vocale de DictIA repose sur l'extraction de vecteurs d'empreintes vocales (voice embeddings) par pyannote.audio. Ces vecteurs constituent des caractéristiques biométriques au sens des articles 44 et 45 de la LCCJTI et des renseignements sensibles au sens de la Loi 25 — à ce titre, ils bénéficient de mesures de protection renforcées.

DictIA offre deux niveaux de traitement biométrique :

Conformément à la LCCJTI :

• Consentement exprès préalable (art. 44 LCCJTI) recueilli via case à cocher distincte non pré-cochée ;
• Déclaration à la CAI (art. 44 LCCJTI) — DictIA Inc. a préparé et soumettra une déclaration de création d'une banque de caractéristiques biométriques (formulaire CAI K1) au moins 60 jours avant l'activation de la diarisation inter-sessions. Aucune collecte d'empreintes vocales persistantes n'aura lieu avant la réception de l'accusé de réception de la CAI ;
• Finalité limitée — usage exclusif : distinction des locuteurs (diarisation). Aucune utilisation à des fins d'identification, d'authentification, de surveillance ou d'entraînement de modèles d'IA ;
• Conservation minimale (art. 45 LCCJTI) — destruction irréversible après 12 mois maximum ; demande de destruction anticipée possible à tout moment ;
• Destruction renforcée — effacement cryptographique avec écrasement supplémentaire et double vérification.

Droit de refus : le refus de la diarisation inter-sessions n'empêche pas l'utilisation du service de transcription de base.

13. Sécurité

DictIA Inc. met en œuvre les mesures de sécurité suivantes :

• Chiffrement au repos : AES-256 (toutes les données stockées sur OVH Beauharnois) ;
• Chiffrement en transit : TLS 1.3 ou supérieur + tunnel Tailscale VPN (WireGuard, ChaCha20-Poly1305) entre OVH QC et GCP ON ;
• Réseau zéro-confiance : aucun port exposé publiquement ;
• Authentification : mots de passe hachés bcrypt + authentification multifacteur disponible (TOTP, WebAuthn / passkeys) — MFA obligatoire pour les administrateurs ;
• Contrôle d'accès : RBAC selon le principe du moindre privilège ;
• Journalisation : journaux d'accès immuables (append-only) ;
• Sauvegardes : quotidiennes, chiffrées AES-256, rétention 30 jours, stockées au Québec ;
• Mesures organisationnelles : politique interne de protection des renseignements personnels (GOUV_PPRP signée), ententes de confidentialité avec employés et sous-traitants, formation, audits périodiques, procédure structurée de gestion des incidents conforme au Règlement sur les incidents de confidentialité.

En cas d'incident de confidentialité présentant un risque de préjudice sérieux, DictIA Inc. avise la CAI avec diligence (art. 3.5 LSP), avise les personnes concernées et tient un registre des incidents.

14. Cookies et traceurs

DictIA utilise un nombre limité de témoins de connexion, décrits en détail dans la Politique de cookies. Catégories utilisées sur dictia.ca :

• Témoins essentiels (sans consentement) : session, jeton anti-CSRF, mémorisation du choix de consentement ;
• Témoins Cloudflare (sans consentement, sécurité essentielle) : protection CDN, filtrage du trafic, sécurité des requêtes HTTP ;
• Témoins de performance et fonctionnels (consentement préalable) : analyse de la fréquentation, mémorisation des préférences ;
• Témoins HubSpot (consentement préalable) : CRM, suivi des interactions visiteurs, formulaires de contact, courriel marketing.

15. Modifications à la présente politique

DictIA Inc. se réserve le droit de modifier la présente politique pour tenir compte des évolutions législatives, réglementaires ou technologiques. En cas de modification substantielle, DictIA Inc. publiera la version mise à jour avec la date de révision, informera les utilisateurs au moins 30 jours avant l'entrée en vigueur des modifications, et recueillera un nouveau consentement lorsque requis (notamment pour les modifications portant sur les finalités du traitement biométrique).

16. Date de mise à jour

Version 2026-04-27 — Inverness, Québec. Politique alignée sur le document signé GOUV_PDC_Politique_confidentialite_DictIA (v1.0, 9 mars 2026, signé par Allison Rioux et Jean-David Lévesque-Rioux).