Politique de confidentialité

1. Qui sommes-nous

RDV & Cie (« nous », « notre ») est une plateforme de réservation pour les entreprises au Québec, Canada. Notre plateforme est exploitée en conformité avec la Loi 25 du Québec (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) et la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

Responsable de la protection des renseignements personnels : privacy@rdvetcie.com

2. Renseignements que nous collectons

• Informations de compte : nom complet, adresse courriel, mot de passe (haché), rôle
• Données de réservation : dates, heures, services réservés, emplacement, notes
• Données d'entreprise (propriétaires) : nom d'entreprise, emplacements, services
• Données de communication : confirmations et notifications par courriel
• Données de paiement : lorsqu'une entreprise utilise Square pour le traitement des paiements, votre nom, courriel et téléphone peuvent être partagés avec Square pour créer un profil client. Les informations de carte de crédit sont collectées et stockées exclusivement par Square — nous ne stockons jamais les numéros de carte.
• Données techniques : adresse IP, type de navigateur, jetons de session (témoins essentiels uniquement, sauf consentement aux analyses)
• Registres de consentement : date et heure d'acceptation de la politique de confidentialité
• Données Google Calendar (thérapeutes) : lorsque vous connectez Google Calendar, nous accédons à vos événements (date, heure, titre) pour bloquer vos disponibilités. Seuls les horaires sont stockés; les titres d'événements sont utilisés pour l'affichage uniquement. Les rendez-vous synchronisés vers votre Google Calendar n'affichent que le nom de la plateforme — aucun nom de client, détail de service ou tarification.

3. Fins de collecte

Nous collectons des renseignements personnels uniquement aux fins suivantes, divulguées au moment de la collecte et nécessitant votre consentement explicite :

• Créer et gérer votre compte
• Traiter et gérer les rendez-vous et réservations
• Envoyer des confirmations de réservation et rappels
• Permettre aux propriétaires de gérer leur équipe et leur horaire
• Traiter les paiements d'abonnement (via Stripe)
• Traiter les paiements de réservation, le stockage de carte et les frais d'absence (via Square, lorsqu'activé par l'entreprise)
• Améliorer la performance de la plateforme (analyses, avec consentement)
• Respecter les lois applicables

Nous ne vendons pas vos renseignements personnels à des tiers.

4. Services tiers

• Stripe : traitement des paiements d'abonnement. Soumis à la politique de confidentialité de Stripe.
• Square : traitement des paiements de réservation, stockage de carte et remboursements. Lorsqu'une entreprise active les paiements Square, votre nom, courriel et numéro de téléphone sont partagés avec Square pour créer un profil client. Les données de carte de crédit sont collectées via le SDK de paiements Web de Square et stockées exclusivement sur les serveurs de Square — nous ne stockons qu'un identifiant de référence, les 4 derniers chiffres et la marque de la carte à des fins d'affichage. Soumis à la politique de confidentialité de Square (https://squareup.com/legal/privacy).
• Resend : envoi de courriels transactionnels. Soumis à la politique de confidentialité de Resend.
• Google / Facebook : connexion OAuth optionnelle. Soumis à leurs politiques respectives.
• OpenStreetMap Nominatim : les adresses des emplacements sont envoyées au service de géocodage d'OpenStreetMap pour calculer les coordonnées géographiques pour l'affichage sur la carte et la recherche locale. Seules les coordonnées résultantes sont stockées. Soumis à la politique de confidentialité de la Fondation OpenStreetMap.
• Stockage d'objets (compatible S3) : les images téléversées (logos d'entreprise, photos de thérapeutes) sont stockées sur un service de stockage infonuagique compatible S3. Les images publiques sont accessibles via une URL directe; les fichiers privés nécessitent un accès authentifié.
• API Google Calendar : lorsque les thérapeutes activent la synchronisation Google Calendar, nous utilisons l'API Google Calendar pour lire les événements et créer des événements de rendez-vous. Les jetons d'accès sont chiffrés au repos. Vous pouvez déconnecter Google Calendar à tout moment depuis vos paramètres. Soumis à la politique de confidentialité de Google.
• Google Analytics : avec votre consentement explicite, nous utilisons Google Analytics 4 pour collecter des données d'utilisation anonymisées (pages visitées, durée de session, localisation générale par pays/région). Google Analytics utilise des témoins pour distinguer les utilisateurs. Aucune information personnellement identifiable n'est envoyée à Google. Vous pouvez retirer votre consentement à tout moment via la bannière de témoins. Soumis à la politique de confidentialité de Google.

Tous les sous-traitants sont liés par des accords de traitement des données conformes aux exigences de la Loi 25.

5. Conservation des données

Nous conservons les renseignements personnels aussi longtemps que votre compte est actif et pendant une période de 7 ans après la fermeture du compte, conformément aux exigences comptables et fiscales. Vous pouvez demander une suppression anticipée sous réserve des obligations légales.

6. Vos droits (Loi 25 / LPRPDE)

En vertu de la Loi 25 et de la LPRPDE, vous avez le droit :

• D'accès : demander une copie de tous les renseignements vous concernant
• De rectification : corriger des informations inexactes ou incomplètes
• De suppression : demander la suppression de vos renseignements personnels
• De portabilité : recevoir vos données dans un format structuré et lisible par machine
• De retirer votre consentement : à tout moment (peut affecter votre utilisation du service)
• De déposer une plainte : auprès de la Commission d'accès à l'information du Québec (CAI)

Pour exercer vos droits, contactez notre responsable à privacy@rdvetcie.com. Nous répondrons dans les 30 jours.

7. Témoins (cookies)

Nous utilisons des témoins essentiels requis pour l'authentification et la fonctionnalité de la plateforme. Avec votre consentement explicite, nous utilisons également des témoins Google Analytics pour collecter des statistiques d'utilisation anonymisées et améliorer la plateforme. Ces témoins analytiques ne sont déposés qu'après avoir cliqué sur « Tout accepter » dans la bannière de consentement. Vous pouvez gérer vos préférences à tout moment via la bannière de consentement ou en effaçant le stockage local de votre navigateur.

8. Sécurité des données

En cas d'incident de confidentialité affectant vos droits, nous vous notifierons ainsi que la Commission d'accès à l'information dans les délais légalement requis (72 heures pour les incidents graves en vertu de la Loi 25).

9. Profils du marketplace

Lorsque les propriétaires d'entreprise choisissent de s'inscrire au marketplace public, le nom de l'entreprise, la description, le logo, la photo du thérapeute, les services, les prix, la ville de l'emplacement, les modalités et les certifications deviennent publiquement visibles et indexables par les moteurs de recherche. Les images téléversées (logos, photos) sont stockées sur nos serveurs; les images des profils publics sont accessibles publiquement. Les adresses sont envoyées au service Nominatim d'OpenStreetMap pour calculer les coordonnées géographiques pour l'affichage sur la carte et la recherche locale — seules les coordonnées résultantes sont stockées.

10. Modifications de cette politique

Nous pouvons mettre à jour cette Politique de confidentialité de temps à autre. Nous vous informerons des changements importants par courriel ou via un avis bien visible sur la plateforme au moins 30 jours avant leur entrée en vigueur.