Sésame
Votre vie privée est sacrée.
On va se le dire : personne n'aime l'idée que ses données soient vendues à des inconnus sur internet. Chez MidBox, nous détestons ça autant que vous.
Sésame est conçu pour être votre assistant de cuisine personnel, pas un espion. Nous utilisons vos données uniquement pour faire fonctionner l'application (comme sauvegarder vos recettes ou vous éviter de vous reconnecter à chaque fois). Nous ne vendrons jamais vos informations personnelles. Point final.
Ce qui suit est la version officielle et détaillée de la façon dont nous protégeons vos ingrédients secrets (et vos données).
1. PRÉAMBULE ET ENGAGEMENT DE CONFIANCE
La protection de votre vie privée et la sécurité de vos données sont des priorités absolues pour Les Technologies MidBox Inc. (« MidBox », « nous », « notre », « l'Entreprise »). Dans le cadre de l'exploitation de l'application mobile Sésame (« l'Application »), nous nous engageons à gérer vos renseignements personnels avec la plus grande transparence et conformément aux normes législatives les plus strictes.
Cette Politique de Confidentialité décrit de manière exhaustive comment nous collectons, utilisons, stockons et partageons vos informations. Elle a été rédigée pour se conformer spécifiquement aux exigences de :
La Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) du Québec ;
Le Règlement Général sur la Protection des Données (RGPD - Règlement UE 2016/679) ;
Le Children’s Online Privacy Protection Act (COPPA) des États-Unis.
En installant et en utilisant l'Application Sésame, vous reconnaissez avoir pris connaissance et accepté les pratiques décrites dans ce document.
2. RESPONSABLE DE LA PROTECTION DES RENSEIGNEMENTS PERSONNELS
Conformément à la Loi 25, nous avons désigné une personne responsable de la protection des renseignements personnels (RPRP) au sein de notre organisation. Cette personne est chargée de veiller au respect de la législation et de traiter vos demandes.
Pour toute question relative à cette politique, pour exercer vos droits ou pour déposer une plainte, vous pouvez contacter :
Responsable de la Protection des Données :
Titre : Directeur de la Conformité des Données
Adresse Courriel : privacy@midboxtech.com
Adresse Postale : 6300 avenue Auteuil, Suite 505-147, Brossard (Québec) J4Z 3P2
3. DONNÉES COLLECTÉES ET MÉTHODES DE COLLECTE
Nous appliquons le principe de minimisation des données, ne collectant que ce qui est strictement nécessaire au bon fonctionnement de l'Application et à l'amélioration de nos services.
3.1 Données que vous nous fournissez directement
Ces données sont collectées lorsque vous créez un compte ou interagissez avec l'Application.
Informations de Compte (Essentielles) : Adresse courriel, mot de passe (crypté) et nom d’utilisateur. Ces données sont nécessaires à l'exécution du contrat d'utilisation et à la sécurisation de votre accès via nos services d'authentification (Firebase).
Contenu Utilisateur : Les textes de recettes, les listes d'ingrédients, les notes personnelles et les photos de plats que vous téléversez ou créez dans l'Application.
Objectifs Nutritionnels et Importation de Recettes : L'Application agit comme un carnet de recettes intelligent. Sésame ne génère pas de recettes de manière autonome, mais importe et structure uniquement les recettes que vous identifiez et soumettez expressément. Si vous choisissez de définir des objectifs nutritionnels personnels (cibles caloriques ou de macronutriments), vous consentez à ce que nous utilisions ces données pour analyser les recettes que vous avez importées. Sésame ne gère aucune restriction alimentaire, diète spécifique ou allergie. L'Application n'est pas un dispositif médical, ne fournit aucun diagnostic ni suivi de poids, et les données qui y sont saisies ne constituent en aucun cas un dossier de santé.
Données importées via des liens tiers (Extraction automatisée) : Lorsque vous utilisez l'Application pour importer les instructions d'une recette à partir d'un hyperlien externe (ex. : réseaux sociaux) via nos outils automatisés d'extraction (Apify), vous garantissez avoir le droit légal d'accéder à ce contenu et de l'importer pour votre usage personnel. L'Application agit uniquement comme un intermédiaire technique automatisé qui extrait et formate le texte public à votre demande expresse. Nous déclinons toute responsabilité quant aux éventuelles violations de droits d'auteur ou de conditions d'utilisation de plateformes tierces résultant des liens que vous choisissez de soumettre.
Communications de Support : Le contenu de vos échanges avec notre service client ou nos rapports de bogues.
3.2 Données collectées automatiquement
Ces données sont collectées via des témoins (cookies), des pixels et des SDK (kits de développement logiciel) intégrés à l'Application.
Données Techniques : Adresse IP, modèle de l'appareil, version du système d'exploitation, identifiant unique de l'appareil (UUID), langue, fuseau horaire. (Base légale : Intérêt légitime pour la sécurité et la compatibilité).
Données Analytiques : Les données diagnostiques et de performance (collectées via Firebase et Crashlytics) sont agrégées et ne sont pas liées de manière persistante à votre identité personnelle ou à votre nom. Elles servent uniquement à résoudre les bogues techniques et à mesurer l'efficacité de l'Application, sans finalité de suivi (tracking) ou de marketing.
Données Transactionnelles : Historique des abonnements, dates de renouvellement et jetons de validation de reçus (Receipt Tokens). Ces données sont collectées via notre partenaire RevenueCat.
Note Importante : MidBox ne collecte, ne traite ni ne stocke jamais vos informations bancaires complètes (numéros de carte de crédit). Toutes les transactions financières sont traitées exclusivement et de manière sécurisée par l'Apple App Store ou le Google Play Store.
3.3 Données importées via des liens tiers
Lorsque vous utilisez l'Application pour importer une recette à partir d'un hyperlien externe, nous utilisons un outil automatisé pour extraire et formater le texte à votre demande. Ces informations extraites sont traitées et stockées uniquement dans le but d'être ajoutées à votre carnet de recettes privé.
4. INTELLIGENCE ARTIFICIELLE ET TRANSPARENCE (LOI 25 / GOOGLE VERTEX AI)
L'Application Sésame intègre des fonctionnalités avancées d'intelligence artificielle générative pour vous aider à structurer vos recettes, générer des images ou suggérer des ingrédients. Ces services sont fournis par Google Cloud Vertex AI (modèles Gemini).
4.1 Transparence, Consentement et Assistant Culinaire (IA)
Conformément à la Loi 25 (Québec) et aux principes de transparence :
L'Application intègre un Assistant Culinaire interactif propulsé par les modèles d'intelligence artificielle de Google Cloud (Vertex AI). En utilisant cet assistant pour poser des questions sur vos recettes, demander des substitutions d'ingrédients ou des conseils de préparation, vous consentez à ce que le contenu de votre requête soit transmis à ce service tiers.
4.2 Protection de vos Données dans l'IA (Garantie « No Training »)
Nous comprenons vos inquiétudes concernant l'utilisation de vos données pour entraîner des modèles d'IA publics.
Engagement de Non-Entraînement : Nous utilisons la version « Entreprise » de Google Vertex AI. En vertu des conditions de service applicables, Google s'engage contractuellement à ne pas utiliser vos données (prompts, recettes, photos) pour entraîner ses modèles de fondation génératifs.
Isolation : Vos données sont traitées dans un environnement sécurisé et isolé. Elles ne sont utilisées que pour générer la réponse spécifique à votre demande, puis sont supprimées du contexte de traitement actif. Elles ne viennent pas enrichir une base de connaissances partagée avec d'autres utilisateurs ou avec Google.
4.3 Recommandations algorithmiques et traitement automatisé
Les suggestions de recettes fournies par l'Application (par exemple, vous recommander une recette de votre propre catalogue que vous n'avez pas cuisinée récemment) reposent sur l'analyse de votre historique d'utilisation. Conformément à la Loi 25, nous vous informons que ces suggestions automatisées visent uniquement à faciliter la gestion de votre carnet culinaire. Elles ne constituent pas un profilage à des fins publicitaires et n'entraînent aucune décision automatisée ayant une conséquence juridique ou un impact significatif sur vous. Vous demeurez l'unique décideur quant au suivi ou à l'ignorance de ces recommandations.
5. PARTAGE ET TRANSFERT INTERNATIONAL DE DONNÉES
Nous ne vendons, ne louons et ne commercialisons jamais vos données personnelles à des tiers à des fins publicitaires. Nous partageons vos données uniquement avec des sous-traitants techniques nécessaires à la fourniture du service.
5.1 Nos Sous-Traitants Certifiés
Pour assurer le fonctionnement de Sésame, nous utilisons les services de prestataires tiers situés aux États-Unis.
Google Cloud Platform
Service fourni : Hébergement, Base de données (Firestore), IA (Vertex), Authentification
Localisation : États-Unis
Mécanisme de conformité (Loi 25 / RGPD) : Cadre de confidentialité (Data Privacy Framework) et Accords internationaux de sécurité.
RevenueCat
Service fourni : Gestion des abonnements et des reçus d'achat
Localisation : États-Unis
Mécanisme de conformité (Loi 25 / RGPD) : Cadre de confidentialité (Data Privacy Framework) & Accord de Traitement des Données (DPA)
Apify Technologies
Service fourni : Indexation de recettes provenant de sources publiques
Localisation : Union Européenne (République Tchèque) / États-Unis
Mécanisme de conformité (Loi 25 / RGPD) : Conformité RGPD intégrée (Fournisseur basé dans l'UE) et Clauses Contractuelles Types (CCT) pour les transferts hors-UE.
5.2 Cadre Juridique des Transferts (Data Privacy Framework)
Vos données sont transférées et traitées sur des serveurs situés aux États-Unis.
Utilisateurs de l'UE et de Suisse : Ces transferts sont couverts par la décision d'adéquation de la Commission Européenne (10 juillet 2023) relative au Cadre de protection des données UE-États-Unis (Data Privacy Framework). Nos fournisseurs (Google LLC et RevenueCat) sont certifiés sous ce cadre, garantissant un niveau de protection des données substantiellement équivalent à celui de l'Union Européenne.
Utilisateurs du Québec et du Canada : Conformément à la Loi 25, nous avons réalisé une Évaluation des Facteurs relatifs à la Vie Privée (EFVP - une analyse de risques rigoureuse) avant d'autoriser ces transferts.
6. VOS DROITS ET CONTRÔLE DES DONNÉES
Vous disposez de droits étendus sur vos données, que nous nous engageons à respecter quel que soit votre lieu de résidence.
6.1 Liste de vos Droits
Droit d'accès : Vous pouvez demander une copie des données que nous détenons sur vous.
Droit de rectification : Vous pouvez corriger des informations inexactes directement dans l'Application ou en nous contactant.
Droit à l'effacement et à la destruction : Vous pouvez exiger la suppression définitive de votre compte et des données associées de nos bases de données. (Note : Le droit à la désindexation prévu par la Loi 25 ne s'applique pas à notre service, car l'Application Sésame est un environnement privé qui ne diffuse aucune de vos informations personnelles sur des moteurs de recherche publics).
Droit de retrait du consentement : Vous pouvez retirer votre consentement au traitement de données spécifiques (ex: notifications, données de santé) à tout moment.
Droit à la limitation et d'opposition : Vous pouvez demander de limiter le traitement de vos données ou vous opposer à certains usages.
6.2 Droit à la Portabilité des Données (Nouveau - Loi 25 & RGPD)
Depuis septembre 2024, la Loi 25 (tout comme le RGPD) vous confère le droit à la portabilité. Cela signifie que vous pouvez demander à recevoir les renseignements personnels informatisés que vous nous avez fournis dans un format technologique structuré et couramment utilisé (tel que JSON ou CSV).
Ce droit vise à vous permettre de réutiliser vos données ou de les transférer à un autre fournisseur de service.
Pour exercer ce droit, veuillez contacter notre Responsable de la Protection des Données. Nous nous engageons à vous fournir un fichier exportable contenant vos recettes et informations de profil dans un délai de 30 jours suivant la réception de votre demande écrite.
6.3 Droit à l'effacement (Droit à l'oubli) et Révocation
Vous pouvez supprimer votre compte et toutes les données associées directement depuis l'Application (Profil > Paramètres > Supprimer mon compte). Cette action déclenche une suppression irréversible de vos données de nos bases de données actives (Firestore) et de notre système d'authentification.
Utilisateurs « Connexion avec Apple » : Conformément aux directives de l'App Store, la suppression de votre compte depuis l'Application déclenchera également l'appel de l'API Apple (Sign in with Apple REST API) afin de révoquer immédiatement et définitivement le jeton d'utilisateur (user token) associé à votre compte Sésame. Nous rompons ainsi tout lien technique entre votre identifiant Apple et notre système.
Pour toute autre demande (portabilité, accès complexe, ou si vous n'avez plus accès à l'Application), contactez-nous à : privacy@midboxtech.com.
7. SÉCURITÉ ET RÉTENTION DES DONNÉES
7.1 Sécurité
Bien qu'aucun système informatique ne puisse garantir une sécurité absolue, nous mettons en œuvre des mesures techniques et organisationnelles raisonnables, adaptées à la nature des données traitées, pour protéger vos informations. Cela inclut le recours à des fournisseurs d'infrastructure cloud reconnus (Google Cloud) qui assurent le chiffrement de vos données en transit (TLS) et au repos. Nous limitons l'accès à nos bases de données aux seules nécessités techniques liées à la maintenance et à l'amélioration du service.
7.2 Conservation
Nous ne conservons vos données que le temps nécessaire aux fins pour lesquelles elles ont été collectées.
Compte Actif : Données conservées tant que le compte est actif.
Compte Inactif : Si aucune activité n'est détectée sur votre compte pendant une période de 24 mois, nous vous enverrons une notification. En l'absence de réponse, vos données personnelles seront supprimées ou anonymisées de manière irréversible.
Données Techniques : Les journaux (logs) serveurs et données analytiques brutes sont conservés pour une durée maximale de 14 mois.
8. PROTECTION DES ENFANTS (COPPA)
L'Application Sésame n'est pas destinée aux enfants de moins de 13 ans (ou l'âge de consentement numérique applicable dans votre juridiction, par exemple 16 ans dans certains pays de l'UE).
Absence de Collecte Intentionnelle : Nous ne collectons pas sciemment de données auprès de mineurs.
Mesure Corrective : Si nous apprenons ou avons des raisons de croire qu'un compte a été créé par un enfant en violation de cette politique (standard de « connaissance réelle »), nous supprimerons immédiatement ce compte et toutes les données associées de nos systèmes. Si vous êtes un parent ou un tuteur et que vous pensez que votre enfant nous a fourni des données, veuillez nous contacter immédiatement à privacy@midboxtech.com.
9. MODIFICATIONS DE LA POLITIQUE
Nous pouvons mettre à jour cette politique pour refléter des évolutions technologiques, légales ou commerciales. En cas de modification substantielle (par exemple, changement dans les finalités de l'utilisation de l'IA ou ajout d'un nouveau sous-traitant majeur), nous vous en informerons par une notification visible dans l'Application ou par courriel, au moins 15 jours avant l'entrée en vigueur des nouvelles conditions. L'utilisation continue de l'Application après cette période vaudra acceptation.