La présente Politique de confidentialité explique comment PPN World, un produit de Bollé Communications inc. (Montréal, Québec, Canada) (« PPN World », « nous », « notre »), recueille, utilise, communique et protège les renseignements personnels des personnes qui utilisent son service d'intelligence des communiqués de presse en temps réel (le « Service »). PPN World est offert en trois langues et sert des utilisateurs au Québec, dans le reste du Canada, dans l'Union européenne et au Royaume-Uni, ainsi qu'en Californie ; selon votre lieu de résidence, des lois différentes peuvent s'appliquer. Cette politique vise à être claire et concrète. Pour toute question, écrivez à info@ppnsource.com.
1. Responsable du traitement et champ d'application
Le responsable du traitement de vos renseignements personnels est Bollé Communications inc., société constituée au Québec et établie à Montréal (Québec) Canada, qui exploite le Service sous la marque PPN World. Sauf indication contraire, toute mention de « PPN World » dans la présente politique désigne Bollé Communications inc. agissant à titre de responsable du traitement.
La présente politique couvre les renseignements personnels que nous traitons lorsque vous créez un compte, utilisez le Service (fil en temps réel, globe interactif, dossiers d'entités, mémos et résumés générés par IA, répertoire de journalistes et de contacts de presse, recherches enregistrées, infolettres et espaces d'équipe), vous abonnez, ou communiquez avec nous. Elle ne couvre pas le contenu des communiqués de presse diffusés publiquement que le Service agrège : ce sujet distinct est traité dans notre page « Contenu des fils de presse et usage équitable », à laquelle nos Conditions d'utilisation peuvent renvoyer.
2. Renseignements personnels que nous recueillons
Données de compte. Lorsque vous créez un compte, nous recueillons votre nom, votre adresse courriel, une image de profil (avatar) le cas échéant, et votre langue d'interface. L'authentification se fait par courriel et mot de passe, ou par connexion OAuth avec Google ou GitHub, via notre fournisseur d'authentification Supabase. Nous ne recevons et ne conservons jamais le mot de passe de votre compte Google ou GitHub.
Contenu utilisateur. Nous conservons le contenu que vous créez dans le Service : marque-pages (favoris), listes de surveillance (watchlists), recherches enregistrées, ainsi que les données d'équipe (nom de l'espace de travail, membres, invitations, rôles). Ce contenu nous indique aussi indirectement quels sujets, entités ou pays vous intéressent.
Données d'usage et adresse IP. Nous recueillons des métadonnées techniques sur votre utilisation du Service (pages et fonctionnalités consultées, horodatages, type de navigateur et d'appareil approximatif) ainsi que votre adresse IP. L'adresse IP sert notamment à la limitation de débit (rate limiting) afin de prévenir les abus, au moyen de notre fournisseur Upstash (Redis). Nous utilisons aussi Vercel Web Analytics pour des mesures d'audience agrégées.
Métadonnées de paiement. Si vous vous abonnez, le traitement des paiements est assuré par Stripe. Stripe recueille et traite vos données de carte de paiement directement ; nous ne recevons et ne stockons jamais le numéro complet de votre carte. Nous conservons des métadonnées de facturation que Stripe nous renvoie (identifiant client Stripe, type de carte et derniers chiffres, formule d'abonnement, statut, historique des paiements, pays de facturation).
Entrées de requêtes IA. Lorsque vous utilisez les fonctionnalités d'IA (résumés, mémos, extraction d'entités, classification par pays, génération de brouillons, agent « Ask the World »), le texte que vous soumettez — votre requête (prompt) ainsi que le contenu pertinent du fil de presse — est transmis à nos fournisseurs de modèles d'IA pour produire une réponse. Évitez d'inclure des renseignements personnels sensibles ou confidentiels dans ces requêtes. Voir la section sur le traitement par IA ci-dessous.
Communications et journaux d'erreurs. Lorsque vous nous écrivez à nos adresses de soutien ou de confidentialité, nous conservons votre message et nos échanges. À des fins de fiabilité, notre outil de surveillance des erreurs (Sentry) peut capter des données de diagnostic limitées lors d'incidents techniques, lesquelles peuvent occasionnellement inclure des identifiants techniques ou une adresse IP.
3. Finalités du traitement
Nous traitons vos renseignements personnels pour les finalités suivantes : - créer et gérer votre compte et vous authentifier ; - fournir et faire fonctionner le Service, y compris enregistrer vos favoris, listes de surveillance, recherches et données d'équipe ; - produire des résultats d'IA (résumés, mémos, extraction d'entités, classification, brouillons, réponses de l'agent) à partir de vos requêtes ; - vous envoyer des courriels transactionnels et, si vous y êtes abonné, des infolettres récapitulatives (digests) ; - traiter les abonnements, gérer l'essai, la facturation et les annulations ; - assurer la sécurité, prévenir la fraude et les abus, et appliquer la limitation de débit ; - diagnostiquer et corriger les erreurs et améliorer le Service ; - respecter nos obligations légales et faire valoir nos droits.
4. Bases légales du traitement
Lorsque le RGPD (UE/Royaume-Uni) s'applique, nous nous appuyons sur les bases légales suivantes : - Exécution du contrat : pour fournir le Service que vous demandez, gérer votre compte et votre abonnement, et exécuter vos opérations d'IA. - Intérêt légitime : pour sécuriser le Service, prévenir les abus (limitation de débit fondée sur l'IP), mesurer l'audience de façon agrégée, diagnostiquer les erreurs et améliorer le produit, sans porter atteinte de manière disproportionnée à vos droits. - Consentement : pour les communications marketing facultatives et pour les témoins non essentiels, lorsque le consentement est requis. Vous pouvez retirer votre consentement à tout moment. - Obligation légale : lorsque la loi nous oblige à conserver ou à divulguer certaines données (par exemple, obligations comptables et fiscales).
Sous la Loi 25 du Québec et la LPRPDE (PIPEDA) au Canada, nous traitons vos renseignements personnels avec votre consentement (exprès ou implicite selon la sensibilité et le contexte) et pour les finalités décrites ci-dessus, qui sont nécessaires à la prestation du Service. Vous pouvez retirer votre consentement, sous réserve des restrictions légales ou contractuelles ; le retrait peut empêcher la prestation de certaines fonctions.
5. Communication des données et sous-traitants
Nous ne vendons pas vos renseignements personnels. Nous les communiquons uniquement à des fournisseurs de services (sous-traitants) qui les traitent pour notre compte et selon nos instructions, afin de faire fonctionner le Service. Nos sous-traitants actuels et leurs rôles sont : - Vercel (Inc., États-Unis) — hébergement de l'application, fonctions serverless, CDN, edge et Web Analytics ; - Supabase (États-Unis ; données hébergées selon la région du projet) — authentification, base de données Postgres (profils, favoris, listes de surveillance, recherches enregistrées, équipes), stockage de fichiers et de données ; - OpenAI (États-Unis) — résumés, extraction d'entités, classification par pays, génération de brouillons par IA ; - Anthropic (États-Unis) — modèles Claude utilisés par l'agent « Ask the World » et les mémos IA ; - Resend (États-Unis) — envoi des courriels transactionnels et des infolettres ; - Upstash (États-Unis) — limitation de débit Redis fondée sur l'IP ; - Stripe (États-Unis/Irlande) — traitement des paiements et facturation des abonnements ; - MapTiler / MapLibre — tuiles cartographiques pour le globe et les vues de carte ; - Sentry (États-Unis) — surveillance des erreurs (peut capter des données de diagnostic limitées).
Une liste à jour de nos sous-traitants, avec leur fonction et leur localisation, est tenue dans un tableau des sous-traitants que nous mettons à disposition et que nous actualisons lorsque cette liste change. Nous pouvons aussi communiquer des renseignements personnels lorsque la loi l'exige (réponse à une ordonnance valide), pour protéger nos droits ou la sécurité, ou dans le cadre d'une opération sur l'entreprise (fusion, acquisition, vente d'actifs), auquel cas l'acquéreur sera tenu de respecter la présente politique.
6. Transferts internationaux de données
PPN World est exploité depuis le Canada, et la plupart de nos sous-traitants traitent les données aux États-Unis (Stripe traite aussi en Irlande). Cela signifie que vos renseignements personnels peuvent être transférés, stockés et traités à l'extérieur de votre pays de résidence, y compris aux États-Unis, où les lois sur la protection des données diffèrent de celles du Québec, du Canada, de l'UE/Royaume-Uni ou de la Californie.
Pour les transferts depuis l'UE/le Royaume-Uni vers des pays sans décision d'adéquation, nous nous appuyons sur des mécanismes appropriés, notamment les clauses contractuelles types (CCT) de la Commission européenne et leur addendum britannique, intégrés aux contrats de traitement de nos sous-traitants, accompagnés de mesures complémentaires lorsque nécessaire. Sous la Loi 25 et la LPRPDE, avant tout transfert hors Québec, nous évaluons le caractère adéquat de la protection offerte et encadrons le transfert par contrat. Vous pouvez nous demander des informations sur ces garanties à info@ppnsource.com.
7. Durées de conservation
Nous ne conservons les renseignements personnels que le temps nécessaire aux finalités décrites, sauf si une durée plus longue est exigée par la loi. À titre indicatif : - Données de compte et contenu utilisateur (favoris, listes de surveillance, recherches, données d'équipe) : conservés tant que votre compte est actif. Après suppression du compte, nous effaçons ou anonymisons ces données dans un délai d'environ 30 jours, sauf obligation de conservation. - Métadonnées de facturation : conservées le temps requis par les obligations comptables et fiscales applicables, généralement jusqu'à 6 à 7 ans selon la loi applicable. - Données d'usage et journaux (y compris l'adresse IP utilisée pour la limitation de débit) : conservés pour de courtes durées ; les compteurs de limitation de débit dans Redis expirent automatiquement après de brèves fenêtres ; les journaux d'erreurs sont conservés de façon limitée (typiquement quelques mois). - Entrées de requêtes IA : voir la section sur le traitement par IA pour la conservation côté fournisseur.
8. Mesures de sécurité
Nous mettons en place des mesures techniques et organisationnelles raisonnables pour protéger vos renseignements personnels, notamment : le chiffrement des données en transit (HTTPS/TLS) ; la sécurité au niveau des lignes (Row-Level Security, RLS) dans notre base de données Postgres Supabase, qui restreint l'accès aux données afin que les utilisateurs et les membres d'équipe ne puissent voir que les données auxquelles ils ont droit ; des contrôles d'accès et une authentification pour les comptes du personnel ; et le recours à des fournisseurs d'infrastructure réputés. Le paiement par carte est traité par Stripe, qui applique les normes du secteur des cartes de paiement ; nous ne stockons pas les numéros de carte complets.
Aucune méthode de transmission ou de stockage n'est totalement sûre ; nous ne pouvons donc garantir une sécurité absolue. En cas d'incident de confidentialité présentant un risque de préjudice sérieux, nous aviserons les personnes concernées et les autorités compétentes (notamment la Commission d'accès à l'information du Québec) conformément à nos obligations légales.
9. Vos droits
Selon votre lieu de résidence et la loi applicable (Loi 25 du Québec, LPRPDE au Canada, RGPD dans l'UE/au Royaume-Uni, CCPA/CPRA en Californie), vous pouvez disposer de tout ou partie des droits suivants : - accéder à vos renseignements personnels et en obtenir une copie ; - faire rectifier des renseignements inexacts, incomplets ou équivoques ; - demander la suppression (effacement) de vos renseignements ; - recevoir vos renseignements dans un format technologique structuré et couramment utilisé (portabilité) ; - retirer votre consentement, lorsque le traitement repose sur celui-ci ; - demander la désindexation ou la cessation de la diffusion lorsque la loi le permet ; - vous opposer à certains traitements ou en demander la limitation ; - ne pas faire l'objet d'une discrimination pour avoir exercé vos droits.
Pour exercer vos droits, écrivez à info@ppnsource.com. Vous pouvez aussi mettre à jour vos données de compte directement dans le Service, et gérer ou annuler votre abonnement via le portail client Stripe. Nous pourrons vérifier votre identité avant de répondre, et nous répondrons dans les délais prévus par la loi applicable (par exemple, 30 jours sous la Loi 25 et un mois sous le RGPD, prolongeable). En Californie, vous pouvez désigner un mandataire autorisé. Notre traitement n'implique pas de « vente » ni de « partage » de renseignements personnels à des fins de publicité comportementale au sens du CCPA/CPRA.
Si vous estimez que nous n'avons pas traité correctement vos renseignements, vous pouvez déposer une plainte auprès de l'autorité de contrôle compétente : la Commission d'accès à l'information du Québec (CAI), le Commissariat à la protection de la vie privée du Canada, votre autorité de protection des données de l'UE/du Royaume-Uni, ou le procureur général de la Californie. Nous vous invitons toutefois à nous contacter d'abord afin de tenter de résoudre la question.
10. Témoins (cookies)
Le Service utilise des témoins de session d'authentification Supabase, qui sont essentiels pour vous garder connecté, ainsi que le stockage local (localStorage) du navigateur pour mémoriser vos préférences d'interface et votre langue. Une bannière de témoins (CookieBanner) vous informe lors de votre première visite. Pour le détail des témoins utilisés, leurs finalités et la manière de gérer vos préférences, consultez notre Politique relative aux témoins.
11. Traitement par intelligence artificielle
Les fonctionnalités d'IA du Service reposent sur des fournisseurs tiers. Lorsque vous utilisez ces fonctionnalités, vos requêtes (prompts) et le contenu pertinent du fil de presse sont transmis à OpenAI (résumés, extraction d'entités, classification par pays, génération de brouillons, modèles de la classe gpt-4o-mini) et à Anthropic (modèles Claude alimentant l'agent « Ask the World » et les mémos IA), aux États-Unis, afin de générer une réponse.
Selon les conditions d'utilisation des interfaces de programmation (API) de ces fournisseurs, les données que nous leur transmettons via l'API ne sont pas utilisées pour entraîner leurs modèles publics. Ces fournisseurs peuvent conserver temporairement les données transmises à des fins limitées (par exemple, surveillance des abus) conformément à leurs propres politiques. Nous vous recommandons de ne pas saisir de renseignements personnels sensibles ou confidentiels dans les requêtes IA. Les résultats générés par l'IA peuvent contenir des inexactitudes et doivent être vérifiés avant d'être utilisés.
12. Enfants
Le Service est un outil professionnel destiné aux adultes ; il ne s'adresse pas aux personnes de moins de 16 ans et nous ne recueillons pas sciemment leurs renseignements personnels. Si vous croyez qu'un mineur de moins de 16 ans nous a fourni des renseignements personnels, écrivez à info@ppnsource.com et nous prendrons les mesures appropriées pour les supprimer.
13. Modifications de la présente politique
Nous pouvons mettre à jour la présente Politique de confidentialité afin de refléter l'évolution du Service, de nos sous-traitants ou de la loi. En cas de changement important, nous vous en informerons par un moyen raisonnable (par exemple, un avis dans le Service ou un courriel). La date de « Dernière mise à jour » indique la version en vigueur ; nous vous invitons à consulter cette page périodiquement.
14. Nous joindre et responsable de la protection des renseignements personnels
Conformément à la Loi 25, Bollé Communications inc. a désigné un responsable de la protection des renseignements personnels (responsable de l'accès et de la protection de la vie privée), que vous pouvez joindre pour toute question, demande d'exercice de droits ou plainte concernant vos renseignements personnels : - Confidentialité et droits : info@ppnsource.com - Questions juridiques et conditions : info@ppnsource.com - Assistance générale : info@ppnsource.com Adresse postale : Bollé Communications inc., Montréal (Québec), Canada. La présente politique est régie par les lois de la province de Québec et les lois fédérales du Canada qui y sont applicables.
Liste des sous-traitants
| Sous-traitant | Finalité | Emplacement | Données traitées |
|---|---|---|---|
| Vercel Inc. | Hébergement de l'application, fonctions sans serveur, réseau de diffusion de contenu (CDN), traitement en périphérie (edge) et statistiques Web. Vercel exécute et sert le Service et achemine l'ensemble du trafic des utilisateurs. | United States | Toutes les données transitant par le Service au moment de leur transmission : adresses IP, en-têtes de requête, agent utilisateur, journaux d'accès, URL consultées et mesures d'audience agrégées (Web Analytics). Vercel agit comme couche de transport et d'hébergement et peut traiter incidemment l'ensemble des données envoyées par le navigateur de l'utilisateur. |
| Supabase Inc. | Authentification (courriel/mot de passe et connexion OAuth Google et GitHub), base de données Postgres et stockage de fichiers. Supabase héberge les comptes et l'ensemble du contenu créé par l'utilisateur dans le Service. | United States (data hosted in the region selected for the project) | Données de compte (nom, courriel, avatar, langue d'interface), identifiants d'authentification et jetons de session, et le contenu créé par l'utilisateur : favoris, listes de surveillance (watchlists), recherches enregistrées, données d'équipe et d'espace de travail, ainsi que les fichiers téléversés. |
| OpenAI | Génération par intelligence artificielle des résumés, extraction d'entités, classification par pays et rédaction d'ébauches (modèles de la classe gpt-4o-mini). OpenAI traite les requêtes uniquement lorsque l'utilisateur déclenche une fonction d'IA. | United States | Le contenu des invites (prompts) soumis à l'IA : extraits de communiqués de presse à résumer ou à classer, texte fourni par l'utilisateur et instructions saisies pour générer une ébauche. Aucune donnée de compte ou de paiement n'est transmise à OpenAI dans le cadre de ces requêtes. |
| Anthropic | Modèles Claude alimentant l'agent « Ask the World » et les comptes rendus (briefs) générés par IA. Anthropic traite les requêtes uniquement lorsque l'utilisateur déclenche une de ces fonctions. | United States | Le contenu des invites (prompts) soumis à l'IA : questions posées à l'agent « Ask the World », extraits de communiqués de presse et tout texte fourni par l'utilisateur pour générer un compte rendu. Aucune donnée de compte ou de paiement n'est transmise à Anthropic dans le cadre de ces requêtes. |
| Resend | Acheminement des courriels transactionnels (vérification de compte, réinitialisation de mot de passe, avis liés à l'abonnement) et des courriels de synthèse (digests des recherches enregistrées). Resend envoie le courriel au nom de PPN World. | United States | Adresse courriel et nom du destinataire, contenu des messages envoyés (y compris les résultats des recherches enregistrées figurant dans les digests) et métadonnées de remise (statuts d'envoi, d'ouverture et d'échec). |
| Upstash | Limitation du débit des requêtes (rate limiting) basée sur l'adresse IP, au moyen d'un magasin Redis, afin de protéger le Service contre les abus et la surcharge. | United States | Adresses IP et compteurs de requêtes associés, conservés temporairement pour faire appliquer les seuils de limitation de débit. Aucun nom, courriel ni contenu d'utilisateur n'est stocké chez Upstash. |
| Stripe | Traitement des paiements et gestion de la facturation des abonnements, y compris l'essai de 14 jours avec carte requise, la conversion automatique en abonnement payant et l'annulation par le client via le portail Stripe. Les données de carte sont traitées par Stripe et ne sont jamais stockées par PPN World. | United States and Ireland | Données de carte de paiement (traitées directement par Stripe, jamais stockées par PPN World), nom de facturation, adresse courriel, pays de facturation, identifiants client et d'abonnement, historique des transactions et statut de l'abonnement. PPN World ne reçoit et ne conserve que les métadonnées de paiement (par exemple les quatre derniers chiffres, le statut et les identifiants Stripe), et non les numéros de carte bruts. |
| MapTiler | Fourniture des tuiles cartographiques affichées dans les vues du globe et de la carte du Service, rendues côté navigateur au moyen de la bibliothèque open source MapLibre. Le navigateur de l'utilisateur demande les tuiles directement à MapTiler. | Switzerland | Données techniques inhérentes au chargement des tuiles depuis le navigateur de l'utilisateur : adresse IP, agent utilisateur et coordonnées de la zone cartographique demandée (emprise et niveau de zoom). MapLibre est une bibliothèque logicielle exécutée dans le navigateur et ne reçoit aucune donnée à titre de sous-traitant. |
| Sentry | Surveillance des erreurs et suivi des incidents afin de diagnostiquer et de corriger les défaillances du Service. | United States | Données de diagnostic limitées capturées au moment d'une erreur : traces de pile, messages d'erreur, URL et action en cours, type de navigateur et de système, adresse IP et, le cas échéant, un identifiant d'utilisateur permettant de relier l'incident à une session. Ces données peuvent incidemment contenir des renseignements personnels présents dans le contexte de l'erreur. |
Contact
info@ppnsource.com