Aller au contenu
Gestioo - Gestion municipale
Retour au site
Documents légaux

Addendum sur le traitement des données de Gestioo

Dernière mise à jour : 3 mai 2026

Le présent Addendum sur le traitement des données (« DPA ») fait partie intégrante des Conditions d’utilisation, du contrat SaaS, du bon de commande, de l’abonnement ou de toute autre entente applicable entre Gestioo et le client utilisant la plateforme Gestioo.

1. Parties

Gestioo
2260 Kennan-Jenckes
Sherbrooke, QC, Canada
J1M 0A5

ci-après « Gestioo », « nous » ou le « Sous-traitant »;

et le client utilisant Gestioo, ci-après le « Client » ou le « Responsable du traitement ».

2. Rôle des parties

Gestioo agit généralement comme sous-traitant lorsque le Client téléverse, génère, signe, gère ou conserve des documents, contrats, certificats ou contenus contenant des renseignements personnels.

Le Client agit généralement comme responsable du traitement à l’égard des données qu’il fournit, téléverse ou demande à Gestioo de traiter.

Gestioo peut agir comme responsable du traitement pour ses propres données administratives, de facturation, sécurité, support et gestion de compte.

3. Objet

Ce DPA encadre :

  • la nature et les finalités du traitement;
  • les catégories de données et personnes concernées;
  • les obligations de Gestioo et du Client;
  • les mesures de sécurité;
  • les sous-traitants;
  • les fournisseurs selon configuration;
  • les transferts hors Québec ou hors Canada;
  • les modalités de conservation, suppression et retour.

4. Nature et finalités du traitement

Gestioo peut collecter, recevoir, héberger, stocker, organiser, consulter, utiliser, transmettre, signer, certifier, valider, journaliser, sauvegarder, supprimer, exporter et soutenir techniquement les données traitées.

Les finalités incluent :

  • fournir la plateforme;
  • permettre l’authentification SSO;
  • permettre l’autofill ou la validation d’adresse lorsque configuré;
  • permettre la signature électronique;
  • gérer les documents, contrats, PDF templates et fichiers applicatifs;
  • générer et conserver des certificats;
  • produire des journaux d’audit;
  • gérer les accès et permissions;
  • sécuriser la plateforme;
  • fournir le support;
  • maintenir les sauvegardes;
  • respecter les obligations légales et contractuelles.

5. Durée

Le traitement dure pendant la durée du contrat ou de l’abonnement.

Après fermeture du compte ou fin du contrat, les documents non scellés, non archivés et non soumis à un mécanisme particulier peuvent être conservés jusqu’à 90 jours. Les documents scellés, archivés, placés sous Object Lock, Legal Hold ou autre mécanisme de conservation, ainsi que les certificats, audit trails, preuves de signature, exports et journaux nécessaires à la preuve, peuvent être conservés au-delà de 90 jours selon la configuration du Client, la finalité de preuve, les obligations contractuelles, les obligations légales ou les paramètres d’archivage applicables. Les sauvegardes sont conservées jusqu’à 30 jours. Certaines données peuvent être conservées plus longtemps si nécessaire pour des obligations légales, fiscales, comptables, de sécurité, d’audit ou de règlement de différends.

6. Personnes concernées

Les données peuvent concerner :

  • administrateurs et utilisateurs du Client;
  • employés, représentants, clients, fournisseurs ou partenaires du Client;
  • signataires et destinataires de documents;
  • personnes mentionnées dans les contrats ou documents.

7. Catégories de données

Les données peuvent inclure :

  • nom, courriel, organisation, rôle;
  • identifiants SSO, tenant, groupes ou rôles;
  • adresse IP et journaux de connexion;
  • fragments d’adresse ou adresses complètes;
  • documents complets et contrats;
  • PDF templates, documents applicatifs et fichiers générés;
  • signatures électroniques;
  • certificats, horodatages, audit trails;
  • métadonnées de documents;
  • informations contenues dans les documents du Client.

8. Données sensibles

Le Client peut traiter des renseignements sensibles dans Gestioo. Il demeure responsable de déterminer si ce traitement est nécessaire, approprié et conforme aux lois applicables.

Gestioo applique des mesures raisonnables de protection, incluant contrôles d’accès, sécurité technique, confidentialité et restrictions d’utilisation.

9. Instructions du Client

Gestioo traite les données selon les instructions documentées du Client, incluant le contrat, le présent DPA, les Conditions d’utilisation, les paramètres de la plateforme, les actions des utilisateurs autorisés et les demandes de support.

10. Obligations du Client

Le Client doit :

  • disposer des droits, consentements et autorisations nécessaires;
  • fournir les avis requis aux personnes concernées;
  • respecter les lois applicables;
  • configurer adéquatement les accès et permissions;
  • maintenir la confidentialité de ses comptes;
  • répondre aux demandes des personnes concernées lorsqu’il est responsable du traitement;
  • évaluer si Gestioo convient aux données sensibles traitées;
  • évaluer les fonctionnalités optionnelles ou selon configuration qu’il active.

11. Obligations de Gestioo

Gestioo s’engage à :

  • traiter les données uniquement pour fournir les services;
  • ne pas vendre les renseignements personnels;
  • ne pas utiliser les données du Client à des fins non autorisées;
  • limiter les accès internes;
  • imposer des obligations de confidentialité;
  • maintenir des mesures de sécurité raisonnables;
  • encadrer les sous-traitants;
  • aider raisonnablement le Client;
  • aviser le Client d’un incident lorsque requis;
  • supprimer ou rendre les données inaccessibles selon le présent DPA.

12. Mesures de sécurité

Les mesures peuvent inclure :

  • chiffrement en transit;
  • contrôles d’accès;
  • authentification sécurisée;
  • gestion des rôles et permissions;
  • journalisation;
  • sauvegardes;
  • séparation logique;
  • moindre privilège;
  • restriction des accès internes;
  • processus de réponse aux incidents.

13. Sous-traitants et fournisseurs selon configuration

Le Client autorise Gestioo à utiliser les sous-traitants et fournisseurs actifs ou utilisés selon la configuration du service. Les fournisseurs futurs ou possibles ne sont pas automatiquement activés pour le Client; lorsqu’un changement important peut avoir un impact matériel sur le traitement des renseignements personnels, Gestioo mettra sa liste de sous-traitants à jour et fournira un avis raisonnable lorsque requis ou approprié.

Sous-traitantStatutServiceEmplacement / résidence déclaré
VercelActifHébergement applicatif, déploiement, analyticsMontréal, QC, Canada
SupabaseActif / selon configurationBase de données, backend, authentification applicative, Supabase StorageMontréal, QC, Canada
Microsoft Entra ID / Microsoft 365Actif / selon configurationSSO Microsoft 365Selon configuration Microsoft 365 du client et services Microsoft
Google WorkspaceFutur / selon configurationSSO Google WorkspaceSelon configuration Google Workspace du client et services Google
Pingram.ioActif / selon configurationServices techniques ou applicatifsMontréal, QC, Canada
OVH StorageActif / selon configurationStockage, sauvegarde ou archivageBeauharnois, QC, Canada
Backblaze B2Possible / selon configurationStockage objet, sauvegarde ou archivage alternatifToronto, ON, Canada
SignatureAPIActif / selon configurationSignature électronique, documents, certificatsÉtats-Unis
GlobalSignPossible / selon configurationCertificats, signature numérique, validationÉtats-Unis
StripeActifPaiement, facturation et abonnementsÉtats-Unis

La liste complète est disponible à https://gestioo.co/sous-traitants.

14. Mapbox

Lorsque l’autofill d’adresse est activé, Gestioo peut transmettre à Mapbox les informations nécessaires à la suggestion ou validation d’adresse, incluant des fragments d’adresse, une adresse complète, une ville, une province, un code postal, des coordonnées approximatives ou des métadonnées techniques.

15. Stockage selon configuration

Gestioo peut utiliser OVH Storage, Supabase Storage ou Backblaze B2 pour le stockage de documents, PDF templates, fichiers générés, sauvegardes ou archives. Pour Backblaze B2, la résidence indiquée est Toronto, ON, Canada pour la configuration retenue.

16. SignatureAPI et GlobalSign

Certaines fonctionnalités de signature électronique, certification ou validation peuvent nécessiter l’utilisation de SignatureAPI, GlobalSign ou d’un fournisseur similaire.

Lorsque SignatureAPI est utilisé, Gestioo peut transmettre le document complet, les métadonnées, les informations des signataires, les données nécessaires à la signature, les certificats, horodatages et données de preuve. SignatureAPI utilise une infrastructure située aux États-Unis. Après la complétion de la signature, la récupération du livrable signé et la sauvegarde des preuves nécessaires, Gestioo appelle l’API de suppression de l’enveloppe SignatureAPI. Cette demande de suppression rend l’enveloppe inaccessible ou réduit sa conservation selon les capacités de l’API et les modalités de SignatureAPI, sans constituer une garantie d’effacement permanent immédiat des systèmes, journaux, sauvegardes ou mécanismes de récupération du fournisseur.

Lorsque GlobalSign est utilisé, les données traitées peuvent inclure les données nécessaires à la signature, validation, certificat ou service de confiance. L’emplacement indiqué pour GlobalSign est États-Unis selon le service configuré.

17. Transferts hors Québec ou hors Canada

Le Client autorise Gestioo à transférer ou rendre accessibles des renseignements personnels hors Québec ou hors Canada lorsque nécessaire aux services actifs ou aux fonctionnalités configurées par le Client, notamment pour SignatureAPI, GlobalSign, Stripe, Mapbox, Microsoft, Google ou tout autre fournisseur documenté selon configuration.

Gestioo prend des mesures raisonnables, incluant évaluation des risques, engagements contractuels, restrictions d’utilisation, mesures de sécurité et limitation des données lorsque possible.

18. Demandes des personnes concernées

Gestioo peut rediriger les demandes reçues directement vers le Client et fournira une assistance raisonnable dans la mesure techniquement possible.

19. Incidents

Gestioo avisera le Client dans un délai raisonnable après avoir pris connaissance d’un incident impliquant des données traitées pour le compte du Client.

20. Suppression ou retour

À la fin du contrat, le Client peut demander l’exportation ou la suppression des données selon les fonctionnalités disponibles. Gestioo supprimera ou rendra les documents non scellés et non archivés inaccessibles dans un délai maximal de 90 jours, sous réserve des exceptions légales, contractuelles, de sécurité, d’audit, de litige ou de conformité. Les documents scellés, archivés, placés sous Object Lock, Legal Hold ou autre mécanisme de conservation, ainsi que les certificats, audit trails, preuves de signature et exports, peuvent suivre une période de conservation distincte selon la configuration, la finalité de preuve ou les obligations applicables.

21. Audits

Sur demande raisonnable, Gestioo peut fournir des informations sur ses pratiques de sécurité et confidentialité. Les demandes doivent être limitées, confidentielles et ne pas perturber les opérations.

22. Contact

Gestioo
2260 Kennan-Jenckes
Sherbrooke, QC, Canada
J1M 0A5

Courriel confidentialité : privacy@gestioo.co
Courriel support : support@gestioo.co

DEV

Vos préférences de confidentialité

Gestioo utilise les témoins essentiels pour la session, la sécurité, la langue et le thème. Les mesures d'audience et le marketing restent désactivés tant que vous ne les acceptez pas.