Nour & Galop

Loi 25 · Québec

Politique de confidentialité

Version 1.1 · Dernière mise à jour : 2026-05-11

1. Qui sommes-nous ?

Nour & Galop est une marque opérée par :

FleuveIA Inc.
Adresse : 1145 Rue de la Licorne
Saint-Jean-Chrysostome, QC G6Z 3N6
NEQ : en cours d'immatriculation au REQ
Courriel responsable : privacy@fleuveia.ca
Téléphone : (418) 478-8184

Responsable de l'accès aux renseignements personnels et de la protection des renseignements personnels (au sens de la Loi 25) :

Yassine Bourzik
Fondateur de FleuveIA Inc.
Courriel : privacy@fleuveia.ca
Téléphone : (418) 478-8184

Cette personne est votre point de contact pour toute question, demande d'accès, demande de rectification, ou plainte concernant vos renseignements personnels.

2. Statut particulier — Nour, mineure

Nour est une mineure de 12 ans qui apprend à créer des sites web sous la supervision de son père, Yassine Bourzik, fondateur de FleuveIA Inc.

Nour n'a pas accès personnellement aux données des clients collectées par Nour & Galop. Toutes les données collectées via le formulaire de contact, via Calendly ou par tout autre canal sont reçues, stockées et traitées exclusivement par FleuveIA Inc.

Ce choix est volontaire et vise à :

  • Protéger les clients (un adulte responsable est légalement tenu pour les obligations Loi 25)
  • Protéger Nour (les responsabilités légales et techniques restent du ressort de l'adulte)
  • Respecter les meilleures pratiques applicables à un mineur participant à une activité commerciale familiale

3. Renseignements personnels que nous collectons

Nous collectons uniquement les renseignements que vous nous fournissez volontairement via les canaux suivants :

Via le formulaire de contact

  • Nom du commerce
  • Nom et prénom du contact
  • Adresse courriel
  • Numéro de téléphone (optionnel)
  • Ville / région
  • Type de commerce
  • Contenu de votre message (optionnel)

Le formulaire est soumis vers une route serveur Next.js qui transmet vos données vers notre infrastructure d'automatisation n8n interne (voir section 7.5) via un webhook authentifié.

Via Calendly (réservation d'appel de découverte)

  • Nom et prénom
  • Adresse courriel
  • Créneau réservé

Pendant l'appel de découverte et la livraison du site

Si vous décidez de travailler avec nous, nous collectons en plus :

  • Coordonnées de votre commerce (raison sociale, adresse, téléphone, courriel)
  • Contenu que vous souhaitez publier sur votre site (textes, photos, logo, témoignages clients)
  • Coordonnées de facturation (nom légal, adresse, numéros de taxes si applicable)

Les paiements sont reçus par Interac ou virement bancaire — aucune information de carte de crédit n'est traitée ni stockée par FleuveIA Inc. en V1.

Données techniques (collecte automatique)

Lors de votre visite, des données techniques peuvent être collectées par notre hébergeur (Vercel) à des fins de fonctionnement et de prévention de la fraude :

  • Adresse IP (pour le rate limiting du formulaire, conservée 30 jours max)
  • Type et version du navigateur
  • Pages visitées et durée de visite
  • Source d'arrivée (référent)

4. Pourquoi nous collectons ces renseignements

FinalitéBase légale (Loi 25)
Vous répondre suite à votre demande de contactConsentement explicite (envoi du formulaire)
Planifier et tenir un appel de découverteConsentement explicite (réservation Calendly)
Concevoir, livrer et facturer votre site webExécution d'un contrat
Émettre une facture conforme aux obligations fiscales québécoisesObligation légale
Vous envoyer un sondage de satisfaction post-livraisonIntérêt légitime
Améliorer le site et prévenir les abus du formulaireIntérêt légitime (analyse statistique, sécurité)

Nous ne vendons jamais vos renseignements personnels. Nous ne les partageons pas non plus à des fins commerciales avec des tiers.

5. Combien de temps nous conservons vos renseignements

Type de donnéeDurée
Demande de contact non convertie en client24 mois après le dernier échange
Contenu d'un projet livré7 ans après livraison (conservation comptable)
Données de facturation7 ans (obligation légale fiscale)
Données analytiques anonymisées14 mois
Renseignements techniques visiteurs non-clients (IP, etc.)30 jours
Données de rate limiting du formulaire (IP)1 heure (effacement automatique)

À l'issue de la durée de conservation applicable, vos renseignements sont détruits ou anonymisés de manière irréversible.

6. Vos droits

En vertu de la Loi 25, vous avez les droits suivants :

  • AccèsSavoir quelles données nous avons sur vous
  • RectificationCorriger des données inexactes
  • DésindexationLimiter l'accès à certaines données
  • Cessation de diffusionFaire retirer des données diffusées
  • Retrait du consentementPour les traitements basés sur consentement
  • PortabilitéRecevoir vos données dans un format structuré

Pour exercer ces droits, contactez privacy@fleuveia.ca. Nous répondons à toute demande dans un délai maximal de 30 jours.

Vous pouvez également déposer plainte auprès de la Commission d'accès à l'information du Québec.

7. Sous-traitants et transferts hors Québec

Pour fournir notre service, nous utilisons les sous-traitants suivants. Plusieurs de ces sous-traitants sont situés en dehors du Québec, ce qui peut entraîner un transfert de vos renseignements personnels hors de la province.

Nous évaluons régulièrement les garanties contractuelles, techniques et organisationnelles de chacun pour confirmer qu'elles confèrent une protection équivalente à celle prévue par la Loi 25.

7.1 Hébergement du site — Vercel Inc. (États-Unis)

Le site nouretgalop.ca et les sites que nous livrons à nos clients sont hébergés par Vercel Inc., dont le siège social est à San Francisco, Californie, États-Unis.

Évaluation de l'encadrement : SOC 2 Type II, GDPR-conforme, Standard Contractual Clauses pour transferts transfrontaliers, chiffrement TLS 1.3 + AES-256 at-rest, Data Processing Addendum signé, headers HTTP de sécurité activés (HSTS, Permissions-Policy, X-Frame-Options, etc.).

Politique Vercel →

7.2 Réservation d'appels — Calendly LLC (États-Unis)

Lorsque vous réservez un appel de découverte, Calendly LLC (Atlanta, Géorgie, États-Unis) collecte votre nom et votre courriel, ainsi que votre choix de créneau horaire.

Évaluation: SOC 2 Type II, GDPR, CCPA. Aucune information sensible n'est transmise à Calendly — seulement l'identité et la disponibilité.

Politique Calendly →

7.3 Courriels et stockage — Google Workspace (Google LLC, États-Unis)

Nous utilisons Google Workspace pour les courriels (Gmail), les tableurs (Google Sheets — base de données légère de nos leads et clients) et le stockage de fichiers (Google Drive — contenus de projets clients).

Évaluation : ISO 27001 / 27017 / 27018, SOC 2 Type II, FedRAMP Moderate, Standard Contractual Clauses. Chiffrement at-rest et en transit. Data Processing Addendum signé.

Politique Google →

7.4 Génération d'illustrations — OpenRouter (États-Unis)usage limité

Pour générer certains visuels du site (avatars illustrés, images Open Graph), nous utilisons l'API OpenRouter.ai (modèle Google Gemini). Aucune donnée client n'est jamais envoyée à ces API — seulement des prompts textuels décrivant des concepts visuels génériques.

7.5 Infrastructure d'automatisation — n8n FleuveIAinterne, in-province

Les soumissions du formulaire de contact transitent par notre instance n8n auto-hébergée à n8n.fleuveia.ca. Il s'agit d'une infrastructure interne opérée directement par FleuveIA Inc., pas d'un sous-traitant tiers.

L'infrastructure n8n de FleuveIA est actuellement hébergée sur un serveur Synology privé situé à Lévis (Québec, Canada), opéré directement par FleuveIA Inc. Aucun transfert hors province pour ce composant. Une migration vers un serveur dédié OVHcloud Canada, datacenter de Beauharnois (Québec, Canada), est prévue dans les prochains mois pour des raisons de fiabilité et de scalabilité. Cette migration restera in-province.Toute modification matérielle de cette infrastructure fera l'objet d'une mise à jour de la présente politique.

Évaluation : authentification webhook par secret partagé, chiffrement TLS 1.3, accès admin restreint au fondateur de FleuveIA, sauvegardes chiffrées, mots de passe gérés via coffre-fort.

7.6 Statistiques de visite

Mesure d'audience anonymisée. Aucune information personnelle identifiable n'est collectée à ce titre.

Décision éclairée et consentement

En utilisant nos services, vous reconnaissez avoir pris connaissance de ces transferts hors Québec et y consentir. Si vous préférez ne pas que vos données soient transférées, contactez-nous à privacy@fleuveia.ca — nous étudierons les alternatives possibles (paiement par Interac uniquement, communication exclusivement par téléphone, etc.).

8. Témoins (cookies) et technologies similaires

Le site nouretgalop.ca utilise un nombre minimal de témoins, listés dans la section 7.6.

Vous pouvez refuser les témoins non essentiels via la bannière de consentement affichée à votre première visite. Vous pouvez aussi configurer votre navigateur pour les bloquer.

Nous n'utilisons pas :

  • De témoins publicitaires
  • De témoins de profilage comportemental
  • De pixels de retargeting (Facebook, Google Ads, etc.)

9. Sécurité

Nous prenons des mesures techniques et organisationnelles raisonnables pour protéger vos renseignements :

Mesures techniques

  • Chiffrement TLS 1.3 pour toutes les communications avec le site
  • Headers HTTP de sécurité durcis (HSTS, Permissions-Policy, X-Frame-Options : SAMEORIGIN, X-Content-Type-Options : nosniff, Referrer-Policy : strict-origin-when-cross-origin)
  • Validation côté serveur de toutes les soumissions (schéma strict Zod)
  • Rate limiting du formulaire (5 soumissions / IP / heure)
  • Honeypot anti-bot sur le formulaire de contact
  • Authentification webhook par secret partagé entre Next.js et n8n
  • Authentification à deux facteurs sur tous les comptes administrateurs Google Workspace, Vercel, Calendly, GitHub
  • Sauvegardes régulières des données critiques

Mesures organisationnelles

  • Accès restreint au strict nécessaire (Yassine Bourzik est le seul détenteur d'un accès complet aux données clients)
  • Nour, mineure, n'a aucun accès aux données personnelles des clients
  • Mots de passe gérés via un coffre-fort de mots de passe
  • Revue trimestrielle des accès et des sous-traitants

En cas d'incident de confidentialité présentant un risque sérieux au sens de la Loi 25, nous nous engageons à :

  • Vous en aviser dans les meilleurs délais possibles
  • Aviser la Commission d'accès à l'information du Québec dans les délais prévus par la Loi 25
  • Documenter l'incident dans un registre interne accessible à la CAI sur demande
  • Mettre en œuvre immédiatement les mesures correctives nécessaires

10. Modifications à cette politique

Nous pouvons mettre à jour cette politique pour refléter des changements dans nos pratiques ou dans la législation. La date de dernière mise à jour est indiquée en haut du document.

Pour les modifications substantielles, nous vous en aviserons par courriel si vous êtes client(e) actif(ve), ou par une bannière visible sur le site pendant 30 jours.

11. Contact

Pour toute question concernant cette politique ou vos renseignements personnels :

Yassine Bourzik
Responsable de la protection des renseignements personnels
FleuveIA Inc.
Courriel : privacy@fleuveia.ca
Téléphone : (418) 478-8184
Lévis, Québec, Canada

Vous pouvez également déposer une plainte auprès de la Commission d'accès à l'information du Québec :

575, rue Saint-Amable, bureau 1.10
Québec (Québec) G1R 2G4
Téléphone sans frais : 1 888 528-7741
cai.gouv.qc.ca

Politique de confidentialité — version 1.1 — dernière mise à jour : 2026-05-11