BG
BareGoldRetour à l'accueil

Politique de confidentialité

Date d'entrée en vigueur : 14 avril 2026

Responsable de la protection des renseignements personnels

Baregold Incorporated a désigné Eugene Savtchenko à titre de responsable de la protection des renseignements personnels, conformément à l'article 3.1 de la Loi 25, chargé de superviser notre conformité à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et, pour les résidents du Québec, à la Loi sur la protection des renseignements personnels dans le secteur privé (Loi 25). Vous pouvez joindre notre responsable de la protection des renseignements personnels à info@baregold.ca avec la mention « Responsable de la protection des renseignements personnels » en objet, ou par courrier à l'adresse figurant dans la section Contact.

Renseignements que nous recueillons

Nous recueillons les renseignements nécessaires pour fournir nos services d'analyse de conformité et de génération de documents. Cela comprend :

  • Renseignements de compte : adresse courriel, nom et adresse de l'entreprise, code d'entreprise de Santé Canada, et votre langue d'interface choisie (anglais ou français)
  • Contacts réglementaires : coordonnées du responsable principal et de la personne responsable de l'assurance de la qualité, conformément aux exigences des demandes de licence de mise en marché
  • Données de produit : étiquettes de produits, listes d'ingrédients, formes posologiques et allégations santé que vous fournissez pour l'analyse, ainsi que tous les documents générés par le service pour vos produits
  • Renseignements de paiement : traités de manière sécurisée par Stripe, certifié PCI-DSS niveau 1. BareGold reçoit des métadonnées de transaction (montant, horodatage, quatre derniers chiffres de la carte, pays de facturation) mais ne reçoit ni ne stocke les numéros complets de cartes sur nos serveurs
  • Statistiques d'utilisation globales : Umami, un service d'analyse axé sur la confidentialité, mesure les pages vues, les référents et la géographie approximative dérivée de l'adresse IP. Umami ne dépose pas de témoins de suivi intersites et ne constitue pas de profils utilisateurs individuels

Utilisation de vos données

Vos données sont utilisées pour fournir le service principal de BareGold : effectuer l'analyse de conformité contre les bases de données de Santé Canada, générer les documents de demande de licence de mise en marché et les étiquettes bilingues, traiter les paiements, communiquer avec vous au sujet de votre compte et de vos soumissions, et respecter nos obligations légales et fiscales. Nous ne vendons pas vos données, ne les utilisons pas à des fins publicitaires et ne les utilisons pas pour entraîner des modèles d'intelligence artificielle. Les données envoyées à notre sous-traitant d'IA (Anthropic) sont traitées conformément aux conditions de l'API d'entreprise d'Anthropic, qui interdisent l'utilisation des entrées d'API pour l'entraînement de modèles.

Décisions automatisées

BareGold utilise l'intelligence artificielle (Claude d'Anthropic et d'autres modèles) pour analyser les étiquettes de produits, attribuer des scores de préparation à la conformité (scores DSR et FSR) et générer des ébauches de documents de soumission. Ces résultats sont à titre consultatif. Chaque soumission est examinée, modifiée et approuvée par vous (ou votre conseiller réglementaire) avant son dépôt auprès de Santé Canada, de sorte qu'aucune décision réglementaire finale concernant votre produit n'est prise exclusivement par traitement automatisé chez BareGold au sens de l'article 12.1 de la Loi 25. Si vous souhaitez néanmoins qu'un membre de notre équipe examine manuellement une analyse en particulier — y compris pour obtenir les renseignements personnels utilisés, les principaux facteurs et paramètres ayant mené à l'analyse, et pour demander une révision humaine — communiquez avec nous à info@baregold.ca avec la mention « Demande de révision humaine » en objet.

Transferts transfrontaliers de données

Plusieurs de nos sous-traitants ont leur siège social aux États-Unis ou hébergent des données aux États-Unis. Par conséquent, vos renseignements personnels peuvent être transférés, traités et stockés aux États-Unis, et peuvent devenir assujettis au droit américain, y compris aux obligations de divulgation en vertu du CLOUD Act. Conformément à l'article 17 de la Loi 25, nous avons évalué les facteurs relatifs à la protection des renseignements personnels associés à ces transferts, et nous nous appuyons sur des garanties contractuelles ainsi que sur le programme de sécurité de chaque sous-traitant pour protéger vos données en transit et au repos. Les résidents canadiens conservent tous leurs droits statutaires à l'égard de leurs renseignements personnels, peu importe l'emplacement de stockage; les résidents du Québec conservent les protections de la Loi 25.

Sous-traitants tiers

Nous nous appuyons sur les services tiers suivants pour exploiter BareGold :

  • Anthropic (Claude AI) — traite les données d'étiquette pour l'analyse de conformité et la génération de documents (États-Unis)
  • Stripe — gère le traitement des paiements, PCI-DSS niveau 1 (États-Unis / Irlande)
  • Neon — héberge notre base de données PostgreSQL (États-Unis)
  • Vercel — héberge l'application frontale et les fonctions en périphérie (États-Unis)
  • Railway — héberge l'API dorsale (États-Unis)
  • Umami Cloud — analyses globales de site Web axées sur la confidentialité (Union européenne)

Chaque sous-traitant est tenu de respecter ses propres politiques de confidentialité et de sécurité et ne traite les données que dans la mesure nécessaire à la prestation de ses services respectifs. Nous aviserons les utilisateurs avant de retenir les services d'un nouveau sous-traitant ayant accès à une catégorie sensiblement différente de renseignements personnels.

Conservation des données

Nous ne conservons les renseignements personnels que le temps nécessaire aux fins pour lesquelles ils ont été recueillis, ou tel qu'exigé par la loi. Précisément : les identifiants de compte sont conservés jusqu'à la suppression de votre compte, puis pendant 30 jours dans les systèmes de sauvegarde; les analyses de produits et les documents générés sont conservés pour la durée de vie de votre compte et peuvent être supprimés en tout temps à partir de votre compte; les registres de paiement sont conservés pendant sept ans afin de respecter les obligations fiscales canadiennes; les journaux d'accès au serveur sont conservés pendant 90 jours; et les sauvegardes suivent une fenêtre glissante de 30 jours. Si vous demandez la suppression de votre compte, toutes les données associées seront retirées de nos systèmes primaires dans un délai de 30 jours et purgées des sauvegardes dans les 30 jours suivants.

Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données, notamment le chiffrement à la couche transport (TLS) pour les données en transit, des contrôles d'accès limitant l'accès aux systèmes de production au personnel autorisé, et un cloisonnement des données par compte au niveau de l'application. Aucun contrôle de sécurité n'est parfait; voir la section Notification d'incident pour ce qui se passe si des renseignements personnels sont compromis.

Notification d'incident

Si nous déterminons qu'une atteinte aux mesures de sécurité touchant vos renseignements personnels s'est produite et qu'elle présente un risque réel de préjudice grave, nous vous en aviserons ainsi que le Commissariat à la protection de la vie privée du Canada sans retard injustifié, conformément à nos obligations en vertu de la LPRPDE. Pour les résidents du Québec, nous aviserons en outre la Commission d'accès à l'information conformément à l'article 3.5 de la Loi 25, et nous maintenons un registre des incidents de confidentialité tel qu'exigé. Notre avis décrira ce qui s'est passé, les renseignements concernés, les mesures que nous prenons en réponse et ce que vous pouvez faire pour vous protéger.

Vos droits en vertu de la LPRPDE

En vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), vous avez le droit d'accéder aux renseignements personnels que nous détenons à votre sujet, de demander la correction de données inexactes, de demander la suppression de vos données et de retirer votre consentement sous réserve de restrictions légales et contractuelles. Pour exercer l'un de ces droits, écrivez-nous à info@baregold.ca. Nous répondons aux demandes dans un délai de 30 jours.

Droits supplémentaires pour les résidents du Québec (Loi 25)

Si vous êtes un résident du Québec, la Loi sur la protection des renseignements personnels dans le secteur privé (telle que modifiée, « Loi 25 ») vous accorde des droits supplémentaires au-delà de la LPRPDE, notamment : le droit à la portabilité des données dans un format technologique structuré et couramment utilisé (article 27); le droit d'être informé de toute décision fondée exclusivement sur un traitement automatisé qui vous concerne, d'obtenir les renseignements personnels utilisés ainsi que les principales raisons et paramètres ayant mené à la décision, et de demander une révision humaine (article 12.1); le droit d'être informé avant toute nouvelle utilisation ou communication de vos renseignements personnels (articles 8 et 14); le droit au déréférencement et à la cessation de la diffusion dans les cas prévus par la loi (article 28.1); et le droit de déposer une plainte auprès de la Commission d'accès à l'information (article 81). Notre responsable de la protection des renseignements personnels a été désigné conformément à l'article 3.1 de la Loi. Pour exercer un droit prévu par la Loi 25, communiquez avec notre responsable de la protection des renseignements personnels à info@baregold.ca.

Témoins et stockage local

BareGold utilise un stockage côté client minimal. À l'ouverture de session, nous stockons deux jetons Web JSON (un jeton d'accès et un jeton de rafraîchissement) dans localStorage à des fins d'authentification, ainsi qu'un témoin nommé NEXT_LOCALE indiquant votre langue d'interface choisie (valide pendant un an). Nous utilisons Umami, un service d'analyse axé sur la confidentialité, pour mesurer l'utilisation globale du site. Umami ne dépose pas de témoins de suivi intersites et ne constitue pas de profils utilisateurs individuels. Nous n'utilisons pas de pixels publicitaires tiers.

Modifications à cette politique

Nous pouvons mettre à jour cette Politique de confidentialité de temps à autre. Lorsque des modifications importantes sont apportées (par exemple l'engagement d'un nouveau sous-traitant ayant accès à des renseignements personnels, ou la collecte d'une nouvelle catégorie de données), nous vous aviserons au moins 30 jours à l'avance à l'adresse courriel associée à votre compte et par une notification in-service. Nous vous encourageons à consulter périodiquement cette politique.

Contact

Pour toute question au sujet de cette Politique de confidentialité ou de vos données, communiquez avec nous à info@baregold.ca.

Baregold Incorporated — 768-92 Caplan Ave., Barrie, Ontario L4N 9J2, Canada

Politique de confidentialité | Conformité PSN — BareGold