Date d'entrée en vigueur : 20/05/26 · Dernière mise à jour : 20/05/26 · Version : 1.0

Politique de confidentialité StackSense

English version

StackSense est toujours en bêta ; ces politiques sont susceptibles de changer au fur et à mesure que le produit évolue. Cette page explique quelles données nous collectons, pourquoi nous les collectons, avec qui nous les partageons, combien de temps nous les conservons et quels droits vous avez. Si quelque chose n'est pas clair, écrivez-nous à privacy@stacksense.ca.

1. Qui nous sommes

StackSense est une application de suivi de la santé personnelle. Vous l'utilisez pour enregistrer des suppléments, des peptides, des programmes de dosage, des symptômes et la composition corporelle pour votre usage personnel.

StackSense est exploité par Jad Gouiza, Québec, Canada. Nous sommes le responsable du traitement aux fins du RGPD, de la LPRPDE et de la Loi 25 du Québec. Le responsable de la confidentialité de StackSense est Jad Gouiza, joignable à privacy@stacksense.ca.

Lorsque StackSense Inc. sera enregistrée, cette section sera mise à jour pour nommer la société comme responsable.

2. Ce que StackSense n'est pas

StackSense n'est pas un dispositif médical. Ce n'est pas un système d'aide à la décision clinique. Ce n'est pas un outil de diagnostic. Il ne fournit pas de conseils médicaux. Il ne recommande pas de doses. Il ne remplace pas votre médecin.

Toutes les informations affichées par StackSense sont à caractère informatif et éducatif uniquement. Vous êtes responsable de vos propres décisions de santé.

3. Quelles données nous collectons

Données de compte

Données de santé et de suivi (catégorie spéciale selon l'article 9 du RGPD)

Données d'utilisation et techniques

Données de facturation

Nous ne collectons pas : votre vrai nom sauf si vous le fournissez volontairement, votre numéro de téléphone, votre adresse personnelle, votre pièce d'identité, vos données biométriques, vos contacts, ni votre position précise au-delà du pays estimé par l'IP.

4. Pourquoi nous collectons ces données (base juridique au sens du RGPD article 6 et article 9)

DonnéeBase juridique (article 6)Base pour catégorie spéciale (article 9, le cas échéant)
E-mail et mot de passe de compteExécution du contrat (article 6(1)(b))n/a
Journaux de santé (suppléments, symptômes, composition corporelle)Exécution du contrat (article 6(1)(b))Consentement explicite (article 9(2)(a))
Analyses d'utilisationIntérêt légitime (article 6(1)(f))n/a
E-mails marketingConsentement (article 6(1)(a))n/a
Journaux de plantage et d'erreurIntérêt légitime (article 6(1)(f))n/a
FacturationObligation légale et contrat (article 6(1)(b) et 6(1)(c))n/a

Le traitement des données de santé a lieu uniquement parce que vous avez donné votre consentement explicite à l'inscription avec une case séparée. Vous pouvez retirer votre consentement à tout moment en supprimant votre compte. Le retrait de consentement n'annule pas le traitement déjà effectué.

5. Avec qui nous partageons les données

Nous partageons les données avec les tiers ci-dessous. Chacun a signé un accord de traitement des données avec nous. Chacun est contractuellement tenu de protéger vos données et de les utiliser uniquement pour fournir son service.

FournisseurRôleLieu de traitementDPA en place
SupabaseBase de données et authentificationÉtats-UnisOui
VercelHébergement web et distribution edgeÉtats-UnisOui
StripeTraitement des paiementsÉtats-Unis et dans le mondeOui
AnthropicFonctionnalité de recherche par IA (uniquement pour des informations génériques sur les composés, non personnelles)États-UnisOui
PostHog ou PlausibleAnalyses produit anonymiséesUEOui
SentrySurveillance des plantages et erreurs (optionnelle, sur opt-in)États-UnisOui

Nous ne vendons pas vos données. Nous ne partageons pas vos données avec des annonceurs. Nous ne partageons pas vos données avec des courtiers en données. Nous ne permettons pas à des tiers de les scraper.

Nous partagerons des données avec les forces de l'ordre uniquement si nous sommes contraints par une décision judiciaire valide d'un tribunal canadien ou d'un tribunal étranger reconnu au Canada. Si nous recevons une telle décision, nous vous en informerons sauf si la loi nous en empêche.

6. Transferts internationaux de données

StackSense est exploité depuis le Québec, Canada. Certains fournisseurs ci-dessus traitent des données aux États-Unis. Nous nous appuyons sur les mécanismes juridiques suivants pour les transferts internationaux :

Si vous souhaitez une copie des CCT ou de notre analyse d'impact, écrivez à privacy@stacksense.ca.

7. Combien de temps nous conservons vos données

Type de donnéesPériode de conservation
Données de compte pendant la durée activeTant que votre compte existe
Journaux de santé pendant la durée activeTant que votre compte existe
Données de santé après suppression du compteSupprimées définitivement sous 90 jours
Données de compte après suppressionSuppression logique immédiate, suppression définitive sous 90 jours
Historique de facturation et de paiement7 ans (exigence de la loi fiscale canadienne et de la loi québécoise sur la protection du consommateur)
Événements d'analyse90 jours
Journaux de plantage90 jours
Journaux serveur (IP, user agent)30 jours
SauvegardesJusqu'à 6 mois sur une base glissante. Les sauvegardes sont chiffrées au repos et nous ne pouvons pas les supprimer sélectivement sans reconstruire la sauvegarde. Les suppressions dans les sauvegardes se font selon le cycle de rotation habituel.

Après 90 jours à compter de la suppression du compte, vos journaux de santé sont définitivement perdus. Nous ne pouvons pas les restaurer. Exportez vos données avant de supprimer votre compte si vous souhaitez en conserver une copie.

8. Vos droits

Vous disposez des droits suivants sur vos données. Exercez-les en envoyant un courriel à privacy@stacksense.ca ou via le panneau de droits des données dans l'application Profil → Vos données.

DroitCe que cela signifieDélai de réponse
AccèsObtenir une copie de ce que nous détenons sur vous30 jours
RectificationCorriger ce qui est inexact30 jours
SuppressionEffacer votre compte et toutes les données de santé (sous réserve des exceptions de conservation ci-dessus)30 jours
PortabilitéTélécharger vos données dans un format structuré (CSV)30 jours, sur demande via le bouton d'export
OppositionArrêter le traitement pour l'analyse ou le marketing30 jours
RestrictionMettre le traitement en pause pendant la résolution d'un différend30 jours
Retrait du consentementRetirer le consentement pour le traitement des données de santé ou du marketingImmédiatement après réception
RéclamationDéposer une plainte auprès de votre autorité de protection des donnéesVoir section 13

Nous ne vous pénaliserons pas pour l'exercice de vos droits. Nous ne facturerons pas la première demande dans une période de 12 mois. En cas de demandes répétées ou excessives, nous pouvons facturer des frais raisonnables ou refuser la demande, mais nous vous en informerons.

9. Cookies et suivi

Nous n'utilisons que les cookies nécessaires au fonctionnement de StackSense, plus des cookies d'analyse facultatifs que vous pouvez refuser.

Type de cookieObjectifRequisComment désactiver
Cookie de sessionVous garder connectéOui, l'application ne fonctionne pas sansSe déconnecter
Jeton de rafraîchissement d'authentificationMaintenir votre session activeOuiSe déconnecter
Analyse (PostHog/Plausible)Usage anonyme du produitNonBasculer dans la bannière de cookies ou activer la protection contre le pistage du navigateur

Nous n'utilisons pas de cookies publicitaires. Nous n'utilisons pas de pixels de suivi tiers (pas de pixel Meta, pas de Google Ads, pas de pixel TikTok, rien). Si nous en ajoutons un jour, nous mettrons à jour cette politique et demanderons votre consentement.

10. Sécurité des données

Nous ne stockons pas vos données sur nos appareils personnels. Nous n'envoyons jamais de données de santé par e-mail non chiffré. Nous ne partageons jamais de données de santé sur Slack ou d'autres systèmes de messagerie.

En cas de violation de données, nous vous en informerons dans les 72 heures selon le RGPD, dans les 5 jours ouvrables selon la Loi 25 du Québec, et selon les exigences de la LPRPDE, du CCPA et du MHMDA de Washington.

11. Enfants

StackSense est destiné aux adultes de 18 ans et plus. Nous ne collectons pas sciemment de données de personnes de moins de 18 ans. Si vous avez moins de 18 ans, n'utilisez pas StackSense.

Si vous êtes parent ou tuteur et que vous pensez que votre enfant s'est inscrit, écrivez à privacy@stacksense.ca et nous supprimerons le compte et toutes les données associées.

12. Modifications de cette politique

Nous pouvons mettre à jour cette politique de temps en temps. Lorsque nous apportons des modifications importantes, nous :

Les modifications non importantes (clarifications, corrections de format, mises à jour d'URL de fournisseurs) prennent effet immédiatement et ne déclenchent pas de notification par courriel.

13. Comment nous contacter et déposer une plainte

Questions de confidentialité courantes, demandes de droits, plaintes : privacy@stacksense.ca

Avis juridiques, demandes des régulateurs : legal@stacksense.ca

Si nous ne résolvons pas votre plainte, saisissez votre régulateur :

RégionRégulateurContact
Canada (fédéral)Commission d'accès à l'information du Canadahttps://www.priv.gc.ca, 1-800-282-1376
QuébecCommission d'accès à l'information du Québechttps://www.cai.gouv.qc.ca
Union européenneAutorité nationale de contrôlehttps://edpb.europa.eu/about-edpb/about-edpb/members_en
Royaume-UniInformation Commissioner's Officehttps://ico.org.uk
CalifornieProcureur général de Californiehttps://oag.ca.gov/privacy
WashingtonProcureur général de l'État de Washingtonhttps://www.atg.wa.gov

Sections spécifiques à une juridiction

Les sections ci-dessous s'appliquent aux utilisateurs de juridictions spécifiques en plus de la politique générale ci-dessus.

A. Loi 25 du Québec

Cette section s'applique à tous les utilisateurs dont les renseignements personnels sont collectés ou utilisés au Québec.

Responsable de la protection des renseignements personnels : Jad Gouiza, privacy@stacksense.ca. Le responsable de la confidentialité est chargé de la conformité à cette loi et de répondre à vos demandes de droits.

Consentement : Nous obtenons votre consentement exprès, libre, éclairé et spécifique pour le traitement de vos données de santé à l'inscription. Vous pouvez le retirer à tout moment.

Analyse d'impact sur la vie privée : Une AIPD couvrant ce traitement est disponible sur demande auprès des régulateurs.

Transferts transfrontaliers : Certaines de vos données sont traitées par des prestataires de services aux États-Unis. Nous avons évalué que les mesures contractuelles, organisationnelles et techniques en place offrent une protection équivalente à celle exigée par la loi québécoise.

Décision automatisée : StackSense ne prend pas de décisions vous concernant uniquement sur la base d'un traitement automatisé. Nos fonctionnalités de recherche IA génèrent des informations, pas des décisions à votre sujet.

Notification de violation : Si un incident de confidentialité crée un risque réel de préjudice grave, nous vous notifierons ainsi que la Commission d'accès à l'information dans les 5 jours ouvrables.

Droit à la portabilité : Vous pouvez demander une copie de vos données dans un format structuré et couramment utilisé.

B. Union européenne et EEE - RGPD

Cette section s'applique aux utilisateurs de l'UE et de l'EEE.

Nous sommes un responsable non-UE offrant des services aux résidents de l'UE. Nous traitons vos données selon les bases juridiques listées à la section 4.

Vos droits au titre du RGPD :

Représentant UE : Dès que notre base d'utilisateurs UE atteint une échelle significative, nous nommerons un représentant dans l'UE en vertu de l'article 27. Jusqu'à cette échéance, nous nous appuyons sur l'exception de minimis pour un traitement occasionnel et à petite échelle. Contactez-nous directement à privacy@stacksense.ca.

Transferts internationaux : Certaines données sont transférées aux États-Unis. Nous nous appuyons sur des clauses contractuelles types (décision d'exécution 2021/914). Des copies sont disponibles sur demande.

Délégué à la protection des données (DPD) : Nous ne sommes pas tenus de nommer un DPD en vertu de l'article 37. Notre responsable de la confidentialité (Jad Gouiza) assume des responsabilités équivalentes.

C. Royaume-Uni - UK GDPR et Data Protection Act 2018

Cette section s'applique aux utilisateurs du Royaume-Uni.

Les droits et obligations au titre du UK GDPR sont similaires à ceux du RGPD. Remplacez « Information Commissioner's Office (ICO) » par l'autorité de contrôle britannique. Remplacez l'Accord de transfert international du Royaume-Uni par les CCT de l'UE lorsqu'il s'agit de transferts vers les États-Unis.

Représentant UK : Même approche de minimis que pour l'UE jusqu'à atteinte d'une échelle significative.

D. Californie - CCPA et CPRA

Cette section s'applique aux résidents californiens.

Catégories d'informations personnelles collectées : Identifiants (e-mail), informations commerciales (historique d'abonnement), activité Internet (données d'utilisation), données sensorielles (aucune), géolocalisation (seulement pays dérivé de l'IP), informations professionnelles (aucune), inférences (aucune), informations personnelles sensibles (données de santé, avec votre consentement).

Catégories de sources : Vous, votre appareil, notre processeur de paiement (Stripe).

Finalités commerciales de la collecte : Fourniture du service StackSense, facturation, sécurité, analytics, support client.

Catégories de tiers auxquels des données sont divulguées : Les prestataires listés à la section 5.

Vendons-nous ou partageons-nous des informations personnelles ? Non. Nous ne vendons pas vos informations personnelles. Nous ne les partageons pas pour de la publicité comportementale inter-contexte. Nous ne l'avons jamais fait.

Informations personnelles sensibles : Nous collectons des données de santé uniquement avec votre consentement et uniquement pour fournir le service StackSense. Nous ne les utilisons pas pour inférer des caractéristiques vous concernant. Vous avez le droit en vertu du CPRA de limiter notre utilisation des informations personnelles sensibles. Pour exercer ce droit, écrivez à privacy@stacksense.ca.

Vos droits CCPA :

Comment exercer : Écrivez à privacy@stacksense.ca. Nous vérifierons votre identité en envoyant un e-mail de confirmation à l'adresse associée à votre compte.

Mandataires autorisés : Vous pouvez désigner un mandataire par écrit.

Délai de réponse : 45 jours, prolongeable de 45 jours supplémentaires avec notification.

E. Washington State - My Health My Data Act (MHMDA)

Cette section s'applique aux consommateurs de l'État de Washington et aux données collectées auprès des consommateurs de Washington.

Données de santé des consommateurs que nous collectons : Les données de supplément, de peptide, de symptôme, de composition corporelle et de protocole que vous choisissez d'entrer dans StackSense.

Catégories de sources : Vous.

Finalités du traitement : Fournir le service de suivi StackSense.

Catégories de tiers avec qui nous partageons des données de santé des consommateurs : Les prestataires de services listés à la section 5 (Supabase, Vercel, Stripe, Anthropic, PostHog/Plausible, Sentry). Ce sont des processeurs agissant sur nos instructions.

Nous ne :

Vos droits MHMDA :

Pour exercer : Écrivez à privacy@stacksense.ca. Réponse sous 45 jours.

Géorepérage : Nous n'utilisons pas de géorepérage autour des établissements de santé.

F. Autres États américains (Connecticut, Nevada, Colorado, Virginie, Texas)

Si vous résidez dans un État américain doté d'une loi de confidentialité complète, les droits de la section 8 s'appliquent à vous. La section Washington MHMDA ci-dessus couvre le traitement des données de santé le plus strict. La section CCPA couvre le traitement de confidentialité le plus strict pour les États américains. Vous bénéficiez des deux.

Si vous souhaitez des précisions spécifiques à votre juridiction, écrivez à privacy@stacksense.ca.

G. Canada (LPRPDE)

Cette section s'applique aux utilisateurs canadiens hors Québec.

Nous respectons les 10 principes de l'information équitable de la LPRPDE :

  1. Responsabilité (responsable de la confidentialité : Jad Gouiza)
  2. Identification des fins (cette politique)
  3. Consentement (cases à cocher à l'inscription et bascules granulaires)
  4. Limitation de la collecte (uniquement ce qui est nécessaire)
  5. Limitation de l'utilisation, de la divulgation et de la conservation (section 7)
  6. Exactitude (vous pouvez corriger via votre compte)
  7. Sauvegardes (section 10)
  8. Ouverture (cette politique est publique)
  9. Accès individuel (section 8)
  10. Recours en cas de non-conformité (procédure de plainte section 13)

Notification des violations : Lorsqu'une violation crée un risque réel de préjudice important, nous notifierons les personnes concernées et le Commissariat à la protection de la vie privée du Canada dans les meilleurs délais.

Fin de la politique de confidentialité. Version 1.0. Dernière mise à jour 20/05/26