Politique de confidentialité de Gestioo
Dernière mise à jour : 3 mai 2026
La présente Politique de confidentialité explique comment Gestioo (« Gestioo », « nous », « notre » ou « nos ») collecte, utilise, conserve, communique et protège les renseignements personnels dans le cadre de l’utilisation de notre site Web et de notre plateforme SaaS accessible à l’adresse https://gestioo.co.
Gestioo fournit une plateforme de signature électronique, de gestion documentaire, de gestion de contrats et de génération ou conservation de certificats liés aux documents et signatures.
1. Responsable de la protection des renseignements personnels
Gestioo
2260 Kennan-Jenckes
Sherbrooke, QC, Canada
J1M 0A5
Courriel confidentialité : privacy@gestioo.co
Courriel support : support@gestioo.co
2. Renseignements personnels collectés ou traités
Selon l’utilisation de Gestioo, nous pouvons collecter ou traiter :
- nom, prénom, courriel, organisation, rôle et permissions;
- renseignements d’authentification liés au SSO Microsoft 365 et, lorsque disponible, Google Workspace;
- adresse IP, navigateur, appareil, système d’exploitation et journaux techniques;
- actions effectuées dans la plateforme;
- documents complets, contrats, pièces jointes, signatures, certificats et métadonnées;
- PDF templates, documents applicatifs, fichiers temporaires ou documents générés;
- fragments d’adresse ou adresses complètes lorsque l’autofill d’adresse est utilisé;
- données d’audit, horodatages, journaux de preuve et informations de signataires;
- renseignements de facturation et d’abonnement traités par Stripe;
- données analytiques et de performance traitées par Vercel Analytics.
3. Finalités
Nous utilisons les renseignements personnels pour :
- créer, gérer et sécuriser les comptes;
- fournir la plateforme Gestioo;
- permettre l’authentification SSO Microsoft 365 et, lorsque disponible, Google Workspace;
- permettre l’autofill ou la validation d’adresse lorsque cette fonctionnalité est activée;
- permettre la signature électronique;
- gérer les documents, contrats, PDF templates et certificats;
- produire des journaux d’audit et preuves;
- traiter les paiements et abonnements;
- fournir le support;
- prévenir la fraude et les accès non autorisés;
- diagnostiquer les problèmes techniques;
- respecter nos obligations légales, contractuelles et de conformité.
Gestioo ne vend pas les renseignements personnels.
4. Données sensibles
Gestioo peut être utilisé pour traiter des documents contenant des renseignements sensibles. Les clients sont responsables de déterminer si leur utilisation de Gestioo est appropriée pour les renseignements qu’ils téléversent, signent ou traitent.
Les clients doivent éviter de téléverser des renseignements sensibles qui ne sont pas nécessaires à l’utilisation prévue de Gestioo.
5. Fournisseurs et emplacements
Gestioo utilise des fournisseurs actifs, ainsi que certains fournisseurs selon configuration ou fonctionnalités activées. Les fournisseurs futurs ou possibles ne devraient être activés en production qu’après mise à jour de la documentation et avis raisonnable lorsqu’un changement important le requiert.
| Sous-traitant | Statut | Service | Emplacement / résidence déclaré |
|---|---|---|---|
| Vercel | Actif | Hébergement applicatif, déploiement, analytics | Montréal, QC, Canada |
| Supabase | Actif / selon configuration | Base de données, backend, authentification applicative, Supabase Storage | Montréal, QC, Canada |
| Microsoft Entra ID / Microsoft 365 | Actif / selon configuration | SSO Microsoft 365 | Selon configuration Microsoft 365 du client et services Microsoft |
| Google Workspace | Futur / selon configuration | SSO Google Workspace | Selon configuration Google Workspace du client et services Google |
| Pingram.io | Actif / selon configuration | Services techniques ou applicatifs | Montréal, QC, Canada |
| OVH Storage | Actif / selon configuration | Stockage, sauvegarde ou archivage | Beauharnois, QC, Canada |
| Backblaze B2 | Possible / selon configuration | Stockage objet, sauvegarde ou archivage alternatif | Toronto, ON, Canada |
| SignatureAPI | Actif / selon configuration | Signature électronique, documents, certificats | États-Unis |
| GlobalSign | Possible / selon configuration | Certificats, signature numérique, validation | États-Unis |
| Stripe | Actif | Paiement, facturation et abonnements | États-Unis |
La liste complète des sous-traitants et fournisseurs est disponible à https://gestioo.co/sous-traitants.
6. Microsoft Entra ID / Microsoft 365
Lorsque le SSO Microsoft 365 est utilisé, Gestioo peut recevoir ou traiter des renseignements provenant de Microsoft Entra ID, notamment le nom, le courriel, l’identifiant utilisateur, le tenant, certains groupes ou rôles et des métadonnées d’authentification.
7. Mapbox et autofill d’adresse
Lorsque l’autofill d’adresse est activé, Gestioo peut transmettre à Mapbox les informations nécessaires pour suggérer, compléter ou valider une adresse.
Ces informations peuvent inclure des fragments d’adresse, une adresse complète, une ville, une province, un code postal, des coordonnées approximatives ou des métadonnées techniques nécessaires au fonctionnement de la fonctionnalité.
8. Stockage selon configuration
Selon la configuration, Gestioo peut utiliser OVH Storage, Supabase Storage ou Backblaze B2 pour stocker des documents, PDF templates, documents applicatifs, fichiers générés, sauvegardes ou archives.
Pour Backblaze B2, la résidence indiquée est Toronto, ON, Canada pour la configuration retenue.
9. Fournisseurs de signature et certificats
Certaines fonctionnalités de signature électronique, de certification ou de validation peuvent nécessiter la transmission du document complet ou de données de signature à un fournisseur spécialisé.
Les fournisseurs possibles incluent SignatureAPI et, selon configuration, GlobalSign.
Lorsque SignatureAPI est utilisé, le document complet peut être transmis aux États-Unis. Lorsque GlobalSign est utilisé, l’emplacement indiqué est États-Unis selon le service configuré.
10. SignatureAPI et transfert aux États-Unis
Certaines fonctionnalités de signature électronique, de certification ou de validation nécessitent la transmission du document complet à SignatureAPI.
Lorsque cette fonctionnalité est utilisée, les données suivantes peuvent être transmises :
- document complet;
- métadonnées du document;
- informations des signataires;
- données nécessaires à la signature ou validation;
- certificats, audit trail, horodatages ou éléments techniques connexes.
SignatureAPI utilise une infrastructure située aux États-Unis. Des renseignements personnels, incluant des renseignements sensibles contenus dans les documents, peuvent donc être transférés ou rendus accessibles à l’extérieur du Québec et du Canada.
Après la complétion de la signature, Gestioo télécharge le livrable signé, sauvegarde le PDF signé ainsi que les preuves nécessaires, puis demande la suppression de l’enveloppe SignatureAPI via l’API. Cette demande de suppression rend l’enveloppe inaccessible ou réduit sa conservation selon les capacités de l’API et les modalités de SignatureAPI, sans garantir un effacement permanent immédiat des systèmes, journaux, sauvegardes ou mécanismes de récupération du fournisseur.
11. Conservation
Les données de compte et données clients sont conservées pendant la durée de l’abonnement ou de la relation contractuelle.
Après la fermeture d’un compte, les documents non scellés, non archivés et non soumis à un mécanisme de conservation particulier peuvent être conservés jusqu’à 90 jours, sauf si une conservation plus longue est requise par la loi, un litige, une obligation de sécurité ou une obligation de conformité.
Les documents scellés, archivés, placés sous Object Lock, Legal Hold ou autre mécanisme de conservation, ainsi que les certificats, audit trails, preuves de signature, exports et journaux nécessaires à la preuve, peuvent être conservés au-delà de 90 jours selon la configuration du client, la finalité de preuve, les obligations contractuelles, les obligations légales ou les paramètres d’archivage applicables.
Les sauvegardes sont conservées jusqu’à 30 jours.
Certaines données minimales peuvent être conservées plus longtemps pour respecter des obligations légales, fiscales, comptables, de sécurité, d’audit ou de preuve.
12. Sécurité
Gestioo met en œuvre des mesures raisonnables, incluant :
- chiffrement des communications en transit;
- contrôles d’accès;
- authentification sécurisée;
- gestion des rôles et permissions;
- journalisation;
- sauvegardes;
- séparation logique des données;
- principe du moindre privilège;
- surveillance technique;
- processus de réponse aux incidents.
Aucune méthode de transmission ou de stockage électronique n’est toutefois entièrement sécurisée.
13. Droits des personnes concernées
Sous réserve des limites prévues par la loi, vous pouvez demander l’accès, la rectification, le retrait du consentement lorsque applicable, la suppression de certains renseignements, et des informations sur l’utilisation ou la communication de vos renseignements.
Pour exercer vos droits : privacy@gestioo.co.
Lorsque Gestioo traite les renseignements pour le compte d’un client, nous pouvons rediriger la demande vers ce client.
14. Témoins et technologies similaires
Gestioo peut utiliser des témoins, journaux techniques ou technologies similaires pour maintenir les sessions, sécuriser l’authentification, prévenir la fraude, mesurer la performance, diagnostiquer les erreurs et améliorer l’expérience utilisateur.
15. Incidents de confidentialité
En cas d’incident de confidentialité, Gestioo prendra des mesures raisonnables pour évaluer la situation, réduire les risques, sécuriser les systèmes, documenter l’incident et effectuer les avis requis lorsque la loi l’exige.
16. Modifications
La version la plus récente de cette Politique sera disponible à https://gestioo.co/politique-confidentialite.
17. Contact
Gestioo
2260 Kennan-Jenckes
Sherbrooke, QC, Canada
J1M 0A5
Courriel confidentialité : privacy@gestioo.co
Courriel support : support@gestioo.co