Politique de confidentialité

1. Introduction

HML Gestion Immobilière Inc. (« HML », « nous ») s'engage à protéger la vie privée et les renseignements personnels de ses clients, locataires, propriétaires et visiteurs de son site web.

La présente politique décrit en termes clairs : quels renseignements nous recueillons, à quelles fins, où ils sont hébergés, qui peut y accéder, combien de temps nous les conservons, et comment vous pouvez exercer les droits qui vous sont conférés par la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (« Loi 25 », RLRQ c P-39.1) et la Loi sur la protection des renseignements personnels et les documents électroniques fédérale (« LPRPDE »).

2. Renseignements recueillis

Nous recueillons les renseignements personnels suivants, selon la finalité :

• Identification : nom complet, adresse courriel, numéro de téléphone, adresse postale, numéro de logement.
• Informations de bail : dates du bail, montant du loyer, conditions, documents téléversés (PDF du bail).
• Informations bancaires : nom du titulaire, numéro de transit, numéro d'institution, numéro de compte — uniquement si vous activez le prélèvement préautorisé. Chiffrement AES-256-GCM au repos. Les numéros de compte ne sont jamais affichés en clair après enregistrement.
• Authentification : mot de passe haché (jamais en clair), codes OTP temporaires (10 min), témoins de session, témoin d'appareil de confiance (30 jours).
• Communications : messages des formulaires de contact, demandes de maintenance, conversations avec notre assistant virtuel.
• Données techniques : adresse IP, type de navigateur, pages visitées, journaux d'audit horodatés.

3. Finalités de l'utilisation

Vos renseignements sont utilisés exclusivement pour les finalités suivantes :

• Gérer votre compte, votre bail et vos relations avec HML.
• Percevoir le loyer et émettre des reçus / factures.
• Traiter vos demandes de maintenance et de service.
• Vous communiquer les informations relatives à votre logement ou à votre immeuble.
• Respecter nos obligations légales (fiscales, comptables, Régie du logement / TAL).
• Détecter et prévenir la fraude ou les accès non autorisés.
• Améliorer la qualité de nos services.

Nous n'utilisons jamais vos renseignements à des fins de publicité ciblée, et nous ne les vendons à personne.

4. Sous-traitants et hébergement

HML s'appuie sur des fournisseurs technologiques (sous-traitants) pour offrir ses services. Chacun est lié par une entente écrite de traitement des données (DPA — Data Processing Agreement) qui leur impose des obligations de sécurité et de confidentialité équivalentes à la Loi 25 :

• Supabase Inc. (États-Unis, région us-east-1 — Virginie) — base de données PostgreSQL, authentification, stockage des fichiers de bail.
• Vercel Inc. (États-Unis, région iad1 — Washington) — hébergement du site web et des fonctions serveur.
• Stripe Payments Canada Ltd. (siège Canada ; traitement technique possible aux États-Unis) — traitement des paiements et tokenisation bancaire (certifié PCI DSS niveau 1).
• VoPay International Inc. (Canada) — rail de prélèvement préautorisé (PPA) canadien, en remplacement progressif de Stripe ACSS.
• OpenAI L.L.C. (États-Unis) — extraction automatisée d'informations à partir des documents de bail téléversés (OCR). Les documents ne sont pas conservés par OpenAI au-delà du traitement (rétention zéro garantie par DPA).
• Anthropic PBC (États-Unis) — assistant virtuel public (Claude). Les conversations ne sont pas utilisées pour entraîner les modèles (garanti par DPA).
• Resend Inc. (États-Unis) — envoi de courriels transactionnels (confirmations, alertes).
• Google LLC (États-Unis, applicable au portail admin) — calendrier, courriel et stockage Google Workspace, utilisés exclusivement par le personnel administratif de HML.

5. Transfert hors-Québec

Comme indiqué à la section 4, plusieurs de nos sous-traitants sont situés aux États-Unis. Vos renseignements personnels peuvent donc être traités ou hébergés à l'extérieur du Québec et du Canada.

Conformément à l'article 17 de la Loi 25, HML a procédé à une évaluation des facteurs relatifs à la vie privée (ÉFVP) pour chacun de ces transferts. Cette évaluation conclut qu'avec les mesures contractuelles et techniques en place (chiffrement, DPA, tokenisation, contrôles d'accès, audits de sécurité tiers), les renseignements bénéficient d'une protection adéquate.

Le régime juridique américain (notamment le Cloud Act) peut permettre, dans des circonstances exceptionnelles, à des autorités américaines d'accéder à des données hébergées sur leur territoire. Nous l'indiquons ici en toute transparence afin que votre consentement soit pleinement éclairé.

En créant un compte, vous reconnaissez avoir été informé(e) de ces transferts et y consentez.

6. Usage de l'intelligence artificielle

HML utilise des modèles d'intelligence artificielle dans deux contextes précis :

(a) Extraction d'informations de bail (OCR) — Lorsqu'un propriétaire téléverse un bail PDF, le contenu est envoyé à OpenAI (États-Unis) pour en extraire automatiquement les champs (nom du locataire, adresse, montant du loyer, dates). Le document n'est pas conservé par OpenAI ; vous pouvez désactiver cette extraction sur demande à admin@gestionhml.com.

(b) Assistant virtuel — Notre site comporte un agent conversationnel propulsé par Anthropic Claude (États-Unis). Les questions et réponses peuvent être journalisées chez HML aux fins d'amélioration. Les conversations ne sont pas utilisées pour entraîner les modèles d'Anthropic.

Aucune décision automatisée ayant une incidence juridique ou significative sur vous (acceptation d'un bail, refus d'un paiement, etc.) n'est prise par l'IA sans révision humaine.

7. Partage des renseignements

En dehors des sous-traitants ci-dessus, nous pouvons partager certains renseignements avec :

• Les propriétaires des immeubles que nous gérons — uniquement les informations strictement pertinentes au bail.
• Les autorités compétentes (tribunaux, agences gouvernementales) lorsque la loi l'exige.
• Tout tiers que vous autorisez expressément à recevoir vos renseignements.

Nous ne vendons jamais vos renseignements personnels et n'autorisons aucun usage à des fins de publicité ciblée par des tiers.

8. Sécurité

Mesures techniques et organisationnelles en place :

• Chiffrement TLS 1.2+ pour toutes les communications.
• Chiffrement au repos AES-256-GCM des informations bancaires ; chiffrement AES-256 du stockage Postgres.
• Tokenisation systématique des numéros de compte chez Stripe.
• Authentification à deux facteurs (code OTP par courriel) à chaque connexion.
• Sécurité au niveau des lignes (Row Level Security) appliquée dans la base de données.
• En-têtes HTTP de sécurité (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy).
• Journaux d'audit pour toutes les actions sensibles.
• Politique de mots de passe (minimum 8 caractères avec complexité).
• Revue régulière des accès et des permissions du personnel.
• Formation du personnel à la protection des renseignements personnels.

9. Vos droits

Conformément à la Loi 25 et à la LPRPDE, vous avez en tout temps le droit de :

• Accéder aux renseignements personnels que nous détenons sur vous (délai légal : 30 jours).
• Rectifier ces renseignements s'ils sont inexacts, incomplets ou équivoques.
• Demander la suppression de vos renseignements (sous réserve des obligations légales de conservation, voir section 10).
• Recevoir vos renseignements dans un format technologique structuré et couramment utilisé (droit à la portabilité, en vigueur depuis le 22 septembre 2024). Disponible via la page Politique de confidentialité, section « Vos droits ».
• Retirer votre consentement à tout moment pour toute finalité non essentielle au service.
• Être informé(e) du recours à une décision automatisée et de présenter des observations à une personne humaine.
• Déposer une plainte auprès de la Commission d'accès à l'information du Québec ou du Commissariat fédéral à la protection de la vie privée.

Pour exercer un droit, écrivez à admin@gestionhml.com ou utilisez les boutons d'exportation/suppression au bas de cette page.

10. Conservation des données

Nous conservons vos renseignements aussi longtemps que nécessaire aux finalités annoncées ou aux obligations légales :

• Compte utilisateur : tant que le compte est actif. Anonymisation immédiate sur demande, sauf obligations ci-dessous.
• Documents de bail : minimum 3 ans après la fin du bail (recours civils et fiscaux).
• Pièces financières (factures, paiements) : 6 ans après l'année fiscale visée (Loi sur les impôts du Québec et fédérale).
• Ententes de prélèvement préautorisé : 12 mois après le dernier prélèvement (Règle H1 de Paiements Canada).
• Journal d'audit : 7 ans, pour fins de preuve et de conformité.
• Journal des consentements : tant que requis pour démontrer notre conformité à la Loi 25.

11. Témoins (cookies)

Notre site utilise uniquement des témoins essentiels au fonctionnement de la plateforme : authentification, session, préférence linguistique, témoin d'appareil de confiance pour la double authentification, et préférence de consentement aux témoins.

Nous n'utilisons aucun témoin publicitaire, de suivi tiers, d'analyse comportementale ou de profilage.

12. Gouvernance et notification d'incident

Gouvernance interne : HML maintient un programme de gouvernance des renseignements personnels comprenant la formation du personnel, la revue annuelle des accès, la tenue d'un registre des incidents et la révision périodique de la présente politique.

Notification d'incident : En cas d'incident de confidentialité présentant un risque sérieux de préjudice, HML s'engage à : (a) vous informer dans les meilleurs délais ; (b) notifier la Commission d'accès à l'information du Québec ; (c) consigner l'incident dans notre registre interne d'incidents ; (d) prendre les mesures correctives appropriées.

Si vous croyez qu'un incident impliquant vos renseignements personnels s'est produit, contactez immédiatement admin@gestionhml.com.