Politique de confidentialite
Derniere mise a jour : 2026-02-20
Dernière mise à jour : 6 avril 2026
1. Introduction
BorealHost.ai (ci-après « BorealHost », « nous », « notre » ou « nos ») est une entreprise québécoise d'hébergement web intégrant des modules d'intelligence artificielle. Nous nous engageons à protéger les renseignements personnels de nos utilisateurs, clients et visiteurs (ci-après « vous » ou « vos ») conformément à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du Canada et à la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels du Québec (Loi 25).
La présente politique de confidentialité décrit les renseignements personnels que nous collectons, les fins auxquelles nous les utilisons, les tiers avec lesquels nous les partageons, ainsi que vos droits en matière de protection de la vie privée. En utilisant nos services, vous reconnaissez avoir pris connaissance de cette politique.
2. Responsable de la protection des renseignements personnels
Conformément à la Loi 25, BorealHost a désigné un responsable de la protection des renseignements personnels. Pour toute question relative à la collecte, à l'utilisation ou à la divulgation de vos renseignements personnels, ou pour exercer vos droits, veuillez communiquer avec notre responsable :
Responsable de la protection des renseignements personnels
BorealHost.ai
Courriel : [email protected]
3. Données collectées
Nous collectons les catégories de renseignements personnels suivantes dans le cadre de la fourniture de nos services :
3.1 Renseignements de compte
Lors de la création de votre compte, nous collectons votre nom, votre adresse courriel, votre mot de passe (stocké sous forme de hachage cryptographique), votre langue préférée et, le cas échéant, le nom de votre entreprise. Si vous utilisez l'authentification Google OAuth, nous recevons votre nom, votre adresse courriel et votre photo de profil de Google.
3.2 Renseignements de facturation
Le traitement des paiements est assuré par Stripe, Inc. Nous ne stockons jamais vos numéros de carte de crédit ni vos données bancaires complètes sur nos serveurs. Nous conservons uniquement un identifiant client Stripe, le type de carte (ex. : Visa, Mastercard), les quatre derniers chiffres de la carte, l'historique des factures et le statut de l'abonnement.
3.3 Données d'utilisation du service
Nous collectons des données relatives à votre utilisation de nos services, notamment : les ressources serveur consommées (CPU, mémoire, stockage, bande passante), les noms de domaine enregistrés ou configurés, les configurations de sites web, les fichiers hébergés, les bases de données, les sauvegardes et les journaux d'activité de votre panneau de contrôle.
3.4 Données d'utilisation de l'intelligence artificielle
Lorsque vous utilisez nos modules d'intelligence artificielle (agents IA, place de marché de modèles, terrain de jeu), nous collectons vos requêtes textuelles, les réponses générées, les outils exécutés par les agents, les jetons consommés et les coûts associés. Ces données sont nécessaires à la facturation à l'utilisation et à l'amélioration de nos services.
3.5 API d'inférence et modèles auto-hébergés
BorealHost offre un service d'inférence par API permettant l'accès à des modèles de langage (LLM) hébergés sur notre propre infrastructure GPU. Concernant ce service :
- Aucune requête (prompt) ni réponse (completion) n'est utilisée pour l'entraînement de modèles.
- Aucun contenu de requête n'est journalisé en production. Seules les métadonnées de facturation (horodatage, nombre de jetons, identifiant du modèle) sont conservées.
- Les métadonnées de facturation sont purgées après 90 jours.
- Les documents transmis (PDF, images) sont traités en mémoire et ne sont pas stockés sur disque.
- L'inférence est exécutée sur des serveurs GPU dédiés. Aucun partage de ressources GPU entre clients ne permet l'accès aux données d'un autre client.
3.6 Témoins de connexion (cookies)
Nous utilisons des témoins de connexion et des technologies similaires, tels que décrits à la section 5 de la présente politique.
3.7 Journaux serveur
Nos serveurs enregistrent automatiquement certaines informations lors de chaque requête, notamment : l'adresse IP, le type et la version du navigateur, les pages consultées, la date et l'heure de l'accès, l'URL de référence et le système d'exploitation. Ces journaux sont utilisés à des fins de sécurité, de débogage et d'analyse statistique.
4. Finalités du traitement
Nous utilisons vos renseignements personnels aux fins suivantes :
- Fourniture du service : créer et gérer votre compte, provisionner et maintenir vos services d'hébergement, traiter vos demandes de support.
- Facturation : traiter les paiements, émettre les factures, gérer les abonnements et la facturation à l'utilisation des jetons d'IA.
- Sécurité : protéger nos systèmes et vos données contre les accès non autorisés, détecter et prévenir la fraude, appliquer nos conditions d'utilisation.
- Analytique : comprendre l'utilisation de nos services afin de les améliorer, produire des statistiques agrégées et anonymisées.
- Traitement par intelligence artificielle : exécuter vos requêtes auprès des modèles d'IA, afficher les résultats et comptabiliser la consommation de jetons.
- Communications : vous envoyer des avis relatifs à votre compte, des mises à jour de service, des alertes de sécurité et, avec votre consentement, des communications promotionnelles.
- Conformité légale : respecter nos obligations en vertu des lois applicables, répondre aux demandes légales et coopérer avec les autorités compétentes.
5. Témoins de connexion (cookies)
Nous utilisons des témoins de connexion (cookies) et des technologies similaires pour faire fonctionner notre site, améliorer votre expérience et mesurer la performance de nos services. Les témoins se répartissent en trois catégories :
5.1 Témoins essentiels
Ces témoins sont strictement nécessaires au fonctionnement du site. Ils comprennent les témoins de session, les jetons CSRF (protection contre la falsification de requêtes), les préférences de langue et les témoins d'authentification. Ils ne peuvent pas être désactivés.
5.2 Témoins analytiques
Ces témoins nous permettent de mesurer l'audience et de comprendre comment les visiteurs utilisent notre site (pages visitées, durée des visites, taux de rebond). Nous utilisons Google Analytics 4 à cette fin. Ces témoins sont déposés uniquement avec votre consentement.
5.3 Témoins marketing
Ces témoins sont utilisés pour mesurer l'efficacité de nos campagnes publicitaires et vous présenter des annonces pertinentes. Ils comprennent les pixels Meta (Facebook) et les balises Google Ads. Ces témoins sont déposés uniquement avec votre consentement.
Vous pouvez gérer vos préférences en matière de témoins à tout moment via notre bannière de consentement, accessible depuis le pied de page du site. Conformément au mode de consentement v2 de Google (Consent Mode v2), aucun témoin analytique ou marketing n'est déposé avant l'obtention de votre consentement explicite.
6. Partage avec des tiers
Nous ne vendons jamais vos renseignements personnels. Nous partageons certaines données avec des sous-traitants de confiance, dans la stricte mesure nécessaire à la fourniture de nos services. Voici la liste de nos sous-traitants :
| Sous-traitant | Finalité | Données partagées | Localisation | Politique de confidentialité |
|---|---|---|---|---|
| Stripe, Inc. | Traitement des paiements | Nom, courriel, données de carte, adresse de facturation | Canada (Montréal) | stripe.com/privacy |
| LeaseWeb / RunPod | Infrastructure GPU pour l'inférence IA auto-hébergée | Requêtes d'inférence (traitées en mémoire, non stockées) | Canada (Montréal) / États-Unis | leaseweb.com/privacy |
| Google Analytics (Google LLC) | Analytique web | Adresse IP (anonymisée), pages visitées, données de navigation | États-Unis | policies.google.com/privacy |
| Meta Platforms, Inc. | Marketing et attribution publicitaire | Événements de conversion, adresse IP, identifiants de navigateur | États-Unis | facebook.com/privacy/policy |
| OpenAI, Inc. | Traitement par intelligence artificielle | Requêtes textuelles, contenu de site (si autorisé par l'utilisateur) | États-Unis | openai.com/privacy |
| Anthropic, PBC | Traitement par intelligence artificielle | Requêtes textuelles, contenu de site (si autorisé par l'utilisateur) | États-Unis | anthropic.com/privacy |
| Google AI (Google LLC) | Traitement par intelligence artificielle (Gemini) | Requêtes textuelles, contenu de site (si autorisé par l'utilisateur) | États-Unis | policies.google.com/privacy |
| DeepSeek | Traitement par intelligence artificielle | Requêtes textuelles, contenu de site (si autorisé par l'utilisateur) | Chine ⚠️ | deepseek.com/privacy |
| Moonshot AI (Kimi) | Traitement par intelligence artificielle | Requêtes textuelles, contenu de site (si autorisé par l'utilisateur) | Chine ⚠️ | moonshot.cn/privacy |
| xAI (Grok) | Traitement par intelligence artificielle | Requêtes textuelles, contenu de site (si autorisé par l'utilisateur) | États-Unis | x.ai/privacy |
⚠️ Fournisseurs basés en Chine — DeepSeek et Moonshot AI (Kimi) sont des fournisseurs basés en République populaire de Chine. Les données transmises à ces fournisseurs peuvent être soumises aux lois chinoises en matière de cybersécurité et de protection des données. L'utilisation de ces modèles dans notre place de marché requiert votre consentement explicite et distinct, recueilli avant toute transmission de données.
7. Utilisation des données provenant des services Google
BorealHost offre la possibilité de se connecter et de créer un compte à l'aide de l'authentification Google (« Se connecter avec Google »). Lorsque vous utilisez cette fonctionnalité, nous accédons aux données suivantes de votre compte Google :
- Votre nom complet (afin de personnaliser votre compte BorealHost)
- Votre adresse courriel (pour identifier votre compte et vous envoyer des communications liées au service)
- Votre photo de profil (pour afficher un avatar dans votre tableau de bord)
L'utilisation et le transfert par BorealHost des informations reçues des API Google vers toute autre application respectent la Politique relative aux données utilisateur des services API Google, y compris les exigences d'utilisation limitée.
Plus précisément :
- Nous utilisons les données Google uniquement aux fins décrites dans la présente politique de confidentialité (création et gestion de votre compte).
- Nous ne vendons jamais les données reçues de Google.
- Nous ne transférons pas les données Google à des tiers, sauf lorsque cela est nécessaire à la fourniture du service, requis par la loi, ou avec votre consentement explicite.
- Nous ne conservons pas les données Google au-delà de la durée nécessaire (conformément à la section 9 ci-dessous).
- Aucun humain ne lit le contenu de vos données Google, sauf en cas de consentement explicite de votre part, de nécessité liée à la sécurité ou à la conformité légale, ou lorsque les données sont agrégées et anonymisées pour des fins statistiques internes.
Vous pouvez révoquer l'accès de BorealHost à votre compte Google à tout moment depuis les paramètres de sécurité de votre compte Google. La révocation n'entraîne pas la suppression de votre compte BorealHost, mais désactivera la connexion via Google. Vous pourrez toujours accéder à votre compte en définissant un mot de passe.
8. Transferts internationaux de données
Vos données d'hébergement (fichiers, bases de données, sauvegardes, journaux) sont stockées exclusivement au Canada, dans notre centre de données situé à Montréal, Québec.
Notre service d'inférence auto-hébergé (modèles BorealHost) traite les requêtes sur des serveurs GPU dédiés. Ces serveurs sont situés au Canada (Montréal) lorsque nous utilisons notre infrastructure LeaseWeb, ou aux États-Unis lorsque nous utilisons une capacité GPU supplémentaire chez RunPod. Les requêtes sont traitées en mémoire et ne sont pas stockées sur disque. Aucun entraînement de modèle n'est effectué à partir de vos données.
Lorsque vous utilisez nos modules d'intelligence artificielle via des fournisseurs tiers, vos requêtes textuelles peuvent être transmises à des fournisseurs situés aux États-Unis (OpenAI, Anthropic, Google AI, xAI) ou en Chine (DeepSeek, Moonshot AI). Ces transferts sont nécessaires à l'exécution du service demandé et sont effectués conformément aux exigences de la LPRPDE et de la Loi 25.
Pour les fournisseurs basés en Chine, un consentement explicite et séparé est requis avant toute transmission de données, en raison du cadre juridique distinct de cette juridiction en matière de protection des renseignements personnels.
Nous avons mis en place des mesures contractuelles appropriées avec chacun de nos sous-traitants, incluant des clauses de confidentialité, des obligations de sécurité et des restrictions quant à l'utilisation des données transmises.
9. Durées de conservation
Nous conservons vos renseignements personnels pendant la durée nécessaire aux fins pour lesquelles ils ont été collectés. Les durées de conservation applicables sont les suivantes :
| Type de données | Durée de conservation |
|---|---|
| Données de compte | Durée de la relation contractuelle + 30 jours après la suppression du compte |
| Données de facturation | 7 ans (conformément aux obligations fiscales canadiennes et québécoises) |
| Journaux serveur | 90 jours |
| Sauvegardes après désactivation | 30 jours après la fin du service (sauvegarde finale) |
| Conversations avec les agents IA | 90 jours |
| Requêtes API d'inférence (contenu) | Non conservées (traitées en mémoire uniquement) |
| Métadonnées de facturation API (jetons, horodatage) | 90 jours |
À l'expiration de ces durées, les données sont supprimées de manière sécurisée ou anonymisées de façon irréversible.
10. Mesures de sécurité
Nous mettons en œuvre des mesures de sécurité techniques et organisationnelles appropriées pour protéger vos renseignements personnels contre la perte, l'accès non autorisé, la divulgation, la modification ou la destruction. Ces mesures comprennent notamment :
- Chiffrement TLS 1.3 pour toutes les communications entre votre navigateur et nos serveurs.
- Isolation par conteneurs LXC : chaque site d'hébergement dédié est isolé dans son propre conteneur Linux, empêchant tout accès croisé entre les clients.
- Contrôles d'accès stricts : les sites d'hébergement partagé sont protégés par open_basedir et des permissions PHP-FPM par site.
- Authentification à deux facteurs (2FA) : disponible pour tous les comptes via des codes TOTP et des codes de secours.
- Protection contre les intrusions : fail2ban surveille et bloque automatiquement les tentatives d'accès malveillantes.
- Sauvegardes chiffrées : les sauvegardes sont stockées de manière sécurisée avec un accès restreint.
- Conformité PCI-DSS : le traitement des paiements par carte est entièrement délégué à Stripe, certifié PCI-DSS Niveau 1. Aucune donnée de carte ne transite par nos serveurs.
11. Vos droits
Conformément à la LPRPDE et à la Loi 25 du Québec, vous disposez des droits suivants concernant vos renseignements personnels :
- Droit d'accès — Vous pouvez demander une copie des renseignements personnels que nous détenons à votre sujet.
- Droit de rectification — Vous pouvez demander la correction de renseignements inexacts ou incomplets.
- Droit à l'effacement — Vous pouvez demander la suppression de vos renseignements personnels, sous réserve de nos obligations légales de conservation.
- Droit à la portabilité — Vous pouvez demander à recevoir vos renseignements personnels dans un format structuré et couramment utilisé.
- Droit de retrait du consentement — Vous pouvez retirer votre consentement à tout moment pour les traitements fondés sur celui-ci, sans affecter la licéité du traitement antérieur.
Pour exercer l'un de ces droits, veuillez communiquer avec notre responsable de la protection des renseignements personnels à l'adresse [email protected]. Nous traiterons votre demande dans un délai de 30 jours conformément à la LPRPDE. Si vous n'êtes pas satisfait de notre réponse, vous pouvez déposer une plainte auprès du Commissariat à la protection de la vie privée du Canada ou de la Commission d'accès à l'information du Québec (CAI).
12. Notification en cas d'incident de confidentialité
Conformément à la Loi 25 du Québec et à la LPRPDE, en cas d'incident de confidentialité impliquant vos renseignements personnels et présentant un risque de préjudice sérieux, nous nous engageons à :
- Aviser la Commission d'accès à l'information du Québec (CAI) avec diligence.
- Aviser les personnes concernées dont les renseignements sont touchés par l'incident.
- Prendre les mesures raisonnables pour diminuer les risques de préjudice et prévenir de nouveaux incidents.
- Tenir un registre de tous les incidents de confidentialité, qu'ils présentent ou non un risque de préjudice sérieux.
L'avis aux personnes concernées sera transmis par courriel dans les meilleurs délais et contiendra une description des renseignements touchés, des circonstances de l'incident, des mesures prises et des coordonnées d'une personne-ressource.
13. Mineurs
Nos services ne sont pas destinés aux personnes âgées de moins de 18 ans. Conformément au Code civil du Québec, la capacité de contracter est réservée aux personnes majeures (18 ans). Nous ne collectons pas sciemment de renseignements personnels auprès de mineurs. Si nous apprenons qu'un mineur nous a fourni des renseignements personnels, nous prendrons les mesures nécessaires pour les supprimer dans les meilleurs délais. Si vous êtes parent ou tuteur et que vous croyez que votre enfant nous a transmis des renseignements personnels, veuillez nous contacter à [email protected].
14. Modifications à la présente politique
Nous pouvons modifier la présente politique de confidentialité de temps à autre afin de refléter l'évolution de nos pratiques, de nos services ou des exigences légales applicables. En cas de modification substantielle, nous vous en aviserons par courriel ou par une bannière bien visible sur notre site web, au moins 30 jours avant l'entrée en vigueur des changements.
La date de la dernière mise à jour est indiquée en haut de cette page. Nous vous encourageons à consulter régulièrement cette politique pour rester informé de la manière dont nous protégeons vos renseignements personnels.
15. Nous contacter
Pour toute question, préoccupation ou demande relative à la présente politique de confidentialité ou au traitement de vos renseignements personnels, veuillez communiquer avec nous :
BorealHost.ai
Responsable de la protection des renseignements personnels
Courriel : [email protected]
165-1494, chemin de Chambly
Longueuil (Québec) J4J 3X3
Canada