Comment Flair (FLAIRIA) protège vos renseignements personnels. Document rédigé pour satisfaire aux obligations de transparence de la Loi 25 (Québec), du RGPD (UE) et de l’EU AI Act.
| Nom | Gilles Brassard |
|---|---|
| Forme juridique | Entreprise individuelle (incorporation prévue au lancement commercial 2026) |
| NEQ | 2281873689 |
| Province / Pays | Québec, Canada |
| Courriel vie privée | privacy@flairia.ai |
| Responsable de la protection des renseignements personnels (RPRP) | Gilles Brassard |
| Délégué à la protection des données (DPO de fait) | Gilles Brassard |
| Adresse postale | Communiquée sur demande écrite à privacy@flairia.ai |
Conformément à l’article 8.1 de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25) et à l’article 13 du Règlement général sur la protection des données (RGPD), vous avez le droit d’obtenir les coordonnées du responsable du traitement avant que vos données soient traitées.
La présente politique s’applique aux traitements de renseignements personnels effectués dans le cadre des services suivants :
La présente politique vise les employés et membres du personnel des organisations (PME) clientes ayant conclu un contrat de service avec FLAIRIA. Elle ne s’applique pas aux visiteurs du site public flairia.ai.
Conformément à l’article 8 de la Loi 25 et à l’article 14 du RGPD :
Base légale : exécution du contrat de service avec l’organisation employeur (Art. 6(1)(b) RGPD / Art. 12 Loi 25).
Note : les transcripts ne sont pas partagés avec l’organisation employeur sauf consentement explicite de l’employé ou obligation légale.
Important : Flair NE COLLECTE JAMAIS de données biométriques d’utilisateurs (employés des PME clientes). Ni votre image, ni votre voix, ni vos empreintes ne sont jamais traitées par Flair, HeyGen ou ElevenLabs.
L’avatar IA que vous voyez et la voix que vous entendez sont synthétiques :
| # | Finalité | Nécessité |
|---|---|---|
| 4.1 | Diagnostic des processus organisationnels : identification des leviers de productivité pour la PME cliente | Finalité principale du contrat de service |
| 4.2 | Personnalisation contextuelle du chatbot Flair : adapter les réponses aux besoins professionnels | Nécessité pour la qualité du service |
| 4.3 | Sécurité et prévention des abus | Intérêt légitime de sécurité |
| 4.4 | Amélioration du produit : statistiques agrégées et anonymisées uniquement | Intérêt légitime, après anonymisation irréversible |
| 4.5 | Obligations légales : réponses aux autorités compétentes sur ordonnance judiciaire | Obligation légale (Art. 6(1)(c) RGPD) |
Aucun traitement de vos données n’est effectué à des fins publicitaires, de profilage comportemental commercial, ou de vente à des tiers.
Le traitement des données d’identification professionnelle et des métadonnées d’activité est nécessaire à l’exécution du mandat de diagnostic confié à FLAIRIA par votre organisation employeur.
Le traitement des coordonnées professionnelles et des métadonnées agrégées repose sur l’intérêt légitime de FLAIRIA et de l’organisation cliente. Une analyse d’intérêt légitime (LIA) a été effectuée : les données traitées sont strictement professionnelles, agrégées (k ≥ 5 pour le mode base), et ne révèlent pas d’aspects privés de la vie des employés.
Requis de l’utilisateur pour le mode enrichi impliquant des renseignements personnels comportementaux identifiés (pas seulement agrégés k ≥ 5), ou tout traitement dépassant les finalités de la section 4. Tous les consentements applicables sont granulaires, révocables à tout moment, et indépendants de l’accès au service de base.
Disclosure obligatoire en vertu de l’article 50 du Règlement (UE) 2024/1689 (EU AI Act).
Flair est un système d’intelligence artificielle. Vous interagissez avec un agent automatisé, non avec un être humain. Cette information est affichée de manière visible au début de chaque session de conversation.
Digital Twin de Gilles Brassard. Activation conditionnelle à son consentement explicite et à une évaluation des facteurs relatifs à la vie privée (EFVP). Les utilisateurs seront notifiés 30 jours avant activation.
Vous pouvez à tout moment désactiver l’affichage de l’avatar et interagir avec Flair en mode texte uniquement. Paramètre disponible dans DASH-E ou sur demande à privacy@flairia.ai. Le refus de l’avatar n’affecte pas l’accès au service.
Flair ne prend pas de décisions entièrement automatisées produisant des effets juridiques ou vous affectant de manière significative (Art. 22 RGPD). Les diagnostics et recommandations générés sont soumis à validation humaine par votre organisation avant toute action.
Conformément à l’article 28 du RGPD et à l’article 3.1 de la Loi 25, FLAIRIA fait appel aux sous-traitants suivants. Chacun a signé un accord de traitement des données (DPA) avec FLAIRIA.
| Sous-traitant | Rôle | Localisation | Cadre de transfert |
|---|---|---|---|
| Anthropic PBC | Modèle de langage (Claude API) | USA | EU-US Data Privacy Framework (DPF) + SCC |
| HeyGen Inc. | Génération d’avatars IA (Phase 0) | USA (AWS) | DPF + SCC Module 2 + DPA |
| ElevenLabs Inc. | Synthèse vocale IA | USA | DPF + SCC |
| Bunny.net d.o.o. | Diffusion vidéo CDN | Slovénie (UE) | RGPD compatible (territoire UE) |
| Microsoft Corporation | Plateforme Teams + Graph API | USA (datacentres mondiaux) | DPF + SCC + Addendum M365 |
| OVH SAS (BHS) | Hébergement VPS infrastructure FLAIRIA | Beauharnois, Québec, Canada | Territoire canadien, LPRPSP applicable |
La liste complète des sous-traitants et les DPA correspondants sont disponibles sur demande à privacy@flairia.ai.
Notification d’ajout : tout ajout d’un nouveau sous-traitant traitant des renseignements personnels fera l’objet d’une notification sur la présente page au moins 15 jours avant activation, avec droit d’opposition.
Conformément au principe de minimisation (Art. 5(1)(e) RGPD / Art. 23 Loi 25) :
| Catégorie de donnée | Durée de conservation | Traitement post-conservation |
|---|---|---|
| Transcripts conversationnels Flair | 12 mois après la fin du contrat | Anonymisation irréversible |
| Agrégation k ≥ 5 métadonnées M365 | 90 jours actifs (lookback), puis 12 mois post-contrat | Suppression définitive |
| Journaux techniques (logs) | 30 jours glissants | Suppression automatique |
| Données d’identification professionnelle | Durée du contrat + 12 mois | Suppression sur demande ou expiration |
| Jetons OAuth (chiffrés) | Session active uniquement | Invalidation automatique à la révocation |
| Données biométriques de Gilles Brassard — Phase 2 | 60 jours après révocation auprès de HeyGen / ElevenLabs | Suppression confirmée par certificat |
| Données agrégées anonymisées | Indéfinie | Non applicable |
Vous disposez des droits suivants, exerçables à tout moment auprès de FLAIRIA :
Obtenir la confirmation que vos données sont traitées, une copie des renseignements vous concernant, et des informations sur leur utilisation.
Corriger des renseignements personnels inexacts ou incomplets vous concernant.
Demander la suppression de vos données lorsque le traitement n’est plus nécessaire ou que vous retirez votre consentement, sous réserve des obligations légales de conservation.
Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine.
Vous opposer à tout moment au traitement de vos données fondé sur l’intérêt légitime de FLAIRIA. FLAIRIA cessera le traitement sauf motifs légitimes impérieux.
Demander la restriction temporaire du traitement dans certains cas (contestation de l’exactitude, opposition en cours, etc.).
Retirer votre consentement à tout moment pour les traitements qui en sont fondés, sans que ce retrait affecte la licéité des traitements antérieurs.
Adressez votre demande par courriel à privacy@flairia.ai en précisant :
Délai de réponse : sous 30 jours civils (prorogeable à 60 jours pour demandes complexes, avec notification). Art. 27 Loi 25 / Art. 12 RGPD.
Conformément à l’article 8.2 de la Loi 25 et à l’article 32 du RGPD, FLAIRIA met en œuvre les mesures suivantes :
En cas de violation de données, FLAIRIA s’engage à :
Avant tout transfert de renseignements personnels hors du Québec, FLAIRIA :
Tout changement matériel dans les mécanismes de transfert (ex. remise en cause du DPF) fera l’objet d’une notification aux utilisateurs et à l’organisation employeur dans un délai maximum de 30 jours.
La présente politique est versionnée. L’historique complet des modifications est accessible sur demande à privacy@flairia.ai.
Pour tout changement matériel affectant vos droits ou les finalités du traitement, FLAIRIA s’engage à :
Les corrections typographiques, mises à jour de coordonnées, ou clarifications rédactionnelles sans impact sur vos droits peuvent être publiées sans préavis, avec indication de la date de mise à jour.
Pour toute question relative à la présente politique ou à l’exercice de vos droits :
| Courriel | privacy@flairia.ai |
|---|---|
| Adresse postale | Communiquée sur demande écrite |
| Responsable | Gilles Brassard, Responsable de la protection des renseignements personnels (RPRP) |
| Langue de service | Français (Québec) et anglais |
| Délai de réponse | 30 jours civils (Art. 27 Loi 25 / Art. 12 RGPD) |
Pour les questions relatives au traitement effectué par votre organisation employeur dans le cadre du contrat FLAIRIA, veuillez d’abord contacter le responsable informatique ou RH de votre organisation.