Politique de confidentialité

Préambule

Les présentes sont émises par Vertus Stanley, entrepreneur individuel domicilié au 3105 Promenade du Quartier-Saint-Martin, Laval (Québec) H7T 0N7, faisant affaires sous le nom commercial Hypora, immatriculé au Registraire des entreprises du Québec sous le NEQ 2275462044 (ci-après « Hypora », « Nous », « notre » ou « nos »).

La présente Politique décrit de quelle manière Hypora recueille, utilise, communique, conserve et protège les renseignements personnels lorsque vous utilisez notre logiciel et nos services. Elle s'applique à tous les utilisateurs de la plateforme, qu'il s'agisse de courtiers hypothécaires abonnés ou de clients finaux (emprunteurs) dont les renseignements transitent par notre plateforme sous le contrôle d'un courtier.

Hypora respecte la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1), telle que modifiée par la Loi 25 adoptée au Québec, ainsi que la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE, ou PIPEDA) applicable à l'échelle fédérale canadienne.

En utilisant nos services, vous reconnaissez avoir pris connaissance de la présente Politique et consentez au traitement de vos renseignements personnels conformément aux modalités ci-dessous.

1.Responsable de la protection des renseignements personnels

Conformément à l'article 3.1 de la Loi sur la protection des renseignements personnels dans le secteur privé, Hypora a désigné une personne responsable de la protection des renseignements personnels.

Responsable : Stanley Vertus
Titre : Fondateur et responsable de la protection des renseignements personnels
Courriel : contact@hypora.ca
Adresse postale : 3105 Promenade du Quartier-Saint-Martin, Laval (Québec) H7T 0N7

Vous pouvez communiquer avec la personne responsable pour toute question, préoccupation ou demande relative à vos renseignements personnels, incluant les demandes d'accès, de rectification, de retrait de consentement, de portabilité et de plainte.

2.Rôles dans le traitement des données

2.1 Renseignements des courtiers

Lorsque vous vous inscrivez comme courtier abonné, Hypora agit à titre de responsable du traitement de vos renseignements personnels (nom, courriel, numéro de licence, informations de facturation, etc.).

2.2 Renseignements des clients finaux (emprunteurs)

Lorsqu'un courtier utilise Hypora pour collecter, organiser et préparer les dossiers de ses propres clients, le courtier demeure responsable du traitement des renseignements personnels de ces clients. Hypora agit alors à titre de prestataire de services (sous-traitant au sens de l'article 18.3 LPRPSP) pour le compte du courtier.

Les relations entre Hypora et chaque courtier sont encadrées par un Accord de traitement des données (DPA) qui fait partie intégrante des Conditions d'utilisation.

3.Renseignements que nous collectons

3.1 Renseignements des courtiers

Dans le cadre de la création et de la gestion de votre compte, nous collectons :

Identification : prénom, nom, titre professionnel, nom du cabinet de courtage.
Coordonnées : adresse courriel professionnelle, numéro de téléphone.
Informations professionnelles : numéro de licence AMF, FSRA ou autre régulateur provincial, province d'exercice, années d'expérience déclarées.
Authentification : mot de passe (stocké sous forme de hachage cryptographique), paramètres d'authentification multifacteur, jetons de session.
Facturation : nom, adresse de facturation, mode de paiement (les données de carte sont stockées directement par notre prestataire Stripe et ne sont jamais conservées par Hypora).
Préférences : langue (français ou anglais), préférences de notification.
Données d'utilisation : pages visitées, fonctionnalités utilisées, dossiers créés, statistiques d'usage.
Journaux techniques : adresse IP, type de navigateur, système d'exploitation, horodatage des connexions.

3.2 Renseignements des clients finaux (emprunteurs)

Lorsqu'un courtier vous invite à téléverser des documents dans le cadre d'une demande hypothécaire, les renseignements suivants peuvent transiter par Hypora :

Identification : prénom, nom, date de naissance, langue préférée.
Coordonnées : adresse postale, adresse courriel, numéro de téléphone.
Pièces d'identité gouvernementales : permis de conduire, passeport, carte de résident permanent, carte d'identité provinciale (collectées aux fins de la vérification d'identité exigée par la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes, LRPCFAT/PCMLTFA).
Numéro d'assurance sociale (NAS) : lorsque requis par le courtier pour des démarches précises. Nous traitons le NAS avec les mesures de protection renforcées prévues à la Directive sur le NAS.
Renseignements financiers : revenus, employeur, poste, ancienneté, relevés bancaires, talons de paie, avis de cotisation de l'ARC (T1, T4, T4A, T5), déclarations Revenu Québec, bilans personnels.
Renseignements sur le bien : adresse, type, valeur estimée, offre d'achat.
Co-emprunteurs : les mêmes catégories lorsque le dossier en comporte. Nous recueillons le consentement du co-emprunteur avant tout traitement.
Documents téléversés : tout document soumis par le client à la demande de son courtier.
Métadonnées d'interaction : horodatage des téléversements, dispositifs utilisés, statuts de lecture.

3.3 Renseignements collectés automatiquement

Lors de votre visite sur notre site ou de votre utilisation de l'application, nous recueillons automatiquement certains renseignements techniques via des témoins et traceurs. Les détails figurent dans notre Politique de témoins.

4.Finalités de la collecte

Nous recueillons et utilisons les renseignements personnels exclusivement aux fins suivantes.

4.1 Pour les courtiers

Créer, authentifier et gérer votre compte.
Fournir l'accès aux fonctionnalités de la plateforme.
Traiter la facturation, le renouvellement et l'annulation.
Envoyer des communications transactionnelles (confirmations, alertes, reçus).
Envoyer des communications promotionnelles uniquement avec votre consentement exprès.
Offrir un soutien technique et répondre à vos questions.
Améliorer la plateforme par l'analyse agrégée d'usage.
Détecter, prévenir et traiter les fraudes et incidents de sécurité.
Respecter nos obligations légales et réglementaires.

4.2 Pour les clients finaux

Permettre au courtier de recueillir les documents nécessaires à l'étude d'une demande hypothécaire.
Extraire automatiquement certaines informations non sensibles des documents à l'aide d'outils logiciels, afin d'accélérer la préparation du dossier du courtier. Toute donnée extraite demeure sous le contrôle du courtier et doit être validée par lui.
Conserver les renseignements de vérification d'identité aux fins des obligations du courtier sous la LRPCFAT/PCMLTFA.
Assurer la sécurité et la traçabilité des échanges documentaires entre le client et son courtier.

Nous ne recueillons pas de renseignements au-delà de ce qui est nécessaire à ces finalités, conformément au principe de limitation de la collecte (article 5 LPRPSP, principe 4 PIPEDA).

5.Consentement

5.1 Consentement explicite

Lorsque requis par la loi, votre consentement est recueilli de manière expresse, claire et distincte, sans case pré-cochée ni consentement implicite. Vous pouvez retirer votre consentement à tout moment à contact@hypora.ca.

5.2 Consentement du client final

Lorsqu'un courtier vous invite à téléverser des documents, vous consentez au traitement de vos renseignements par Hypora à titre de prestataire de services du courtier. Vous pouvez retirer ce consentement en contactant votre courtier, qui procédera à la suppression sous réserve des obligations légales de conservation qui s'appliquent à lui (notamment LRPCFAT/PCMLTFA).

5.3 Communications marketing

Conformément à la Loi canadienne anti-pourriel (LCAP), nous n'envoyons de communications promotionnelles qu'aux personnes y ayant expressément consenti. Chaque communication comporte un mécanisme de désabonnement clair et gratuit.

6.Localisation des données

Tous les renseignements personnels traités par Hypora sont stockés au Canada.

La base de données principale et le stockage des fichiers sont hébergés par Supabase dans la région ca-central-1 (Montréal, Québec).
L'infrastructure applicative est déployée par Vercel dans la région yul1 (Montréal, Québec).
Les sauvegardes chiffrées sont conservées au Canada.

Certaines opérations de traitement peuvent impliquer un transfert hors Canada dans les cas décrits à la section 7. Conformément à l'article 17 LPRPSP tel que modifié par la Loi 25, Hypora procède à une évaluation des facteurs relatifs à la vie privée avant tout transfert hors Québec et s'assure que le destinataire offre un niveau de protection adéquat.

7.Sous-traitants et destinataires

Hypora fait appel aux sous-traitants suivants pour l'exploitation de la plateforme. Chaque sous-traitant est lié par des obligations contractuelles de confidentialité et de sécurité équivalentes à celles d'Hypora.

Sous-traitant	Pays	Finalité	Données transmises
Supabase Inc.	Canada (Montréal)	Base de données, authentification, stockage fichiers	Toutes les catégories
Vercel Inc.	Canada (Montréal)	Hébergement applicatif, livraison de contenu	Métadonnées HTTP, aucune donnée persistée
Anthropic PBC	États-Unis	Extraction automatique depuis les documents	Extraits textuels, anonymisés lorsque possible
Stripe, Inc.	Canada + États-Unis	Facturation et traitement des paiements	Informations de facturation, historique
Resend, Inc.	États-Unis	Courriels transactionnels	Adresse courriel, contenu du message
PostHog Inc.	Canada ou Union européenne	Analytique produit agrégé	Métadonnées d'usage anonymisées

Transferts hors Canada : les traitements effectués par Anthropic, Stripe et Resend peuvent impliquer une transmission de données vers les États-Unis. Hypora a signé avec chacun de ces sous-traitants un accord de traitement de données prévoyant des clauses contractuelles assurant un niveau de protection comparable à celui exigé par la législation canadienne.

Ajout d'un sous-traitant : nous vous informerons par courriel au moins 30 jours avant l'ajout d'un nouveau sous-traitant ayant accès à des renseignements personnels. Vous pourrez vous opposer au transfert si ses modalités ne vous conviennent pas.

8.Durée de conservation

Nous conservons vos renseignements uniquement pendant la durée nécessaire aux finalités pour lesquelles ils ont été recueillis, ou pendant la durée minimale imposée par la loi.

Catégorie	Durée	Fondement
Pièces d'identité gouvernementales des emprunteurs	5 ans après la fin de la relation d'affaires	LRPCFAT / PCMLTFA, article 6
Dossiers hypothécaires complets	5 ans après la fin de la relation d'affaires	Conformité FINTRAC
Compte courtier actif	Durée de l'abonnement	Exigence opérationnelle
Compte résilié	30 jours d'accès lecture seule pour export, puis suppression	Droit à la portabilité
Registres de facturation Hypora	7 ans	Agence du revenu du Canada
Communications avec le soutien	2 ans	Exigence opérationnelle
Journaux techniques	90 jours	Sécurité et dépannage
Journaux d'audit liés à FINTRAC	7 ans	Conformité

Après les délais ci-dessus, les renseignements sont détruits de manière sécurisée ou anonymisés de façon irréversible.

9.Vos droits

Conformément à la Loi 25 et à la LPRPDE, vous disposez des droits suivants.

9.1 Droit d'accès

Vous avez le droit d'obtenir confirmation de la détention de vos renseignements et d'en recevoir copie dans un format intelligible.

9.2 Droit de rectification

Vous pouvez demander la correction de renseignements inexacts, incomplets ou équivoques.

9.3 Droit à la désindexation et au retrait

Vous pouvez demander la cessation de la diffusion de vos renseignements ou leur désindexation lorsque la diffusion contrevient à la loi ou à une décision judiciaire, ou cause un préjudice grave à votre vie privée.

9.4 Droit à la portabilité

Pour les renseignements que vous nous avez communiqués, vous pouvez demander à les recevoir dans un format technologique structuré et couramment utilisé, ou demander leur transmission directe à un autre organisme.

9.5 Droit de retrait du consentement

Vous pouvez retirer à tout moment votre consentement au traitement, sous réserve des obligations légales de conservation qui s'appliquent.

9.6 Décisions automatisées

Hypora ne prend aucune décision automatisée produisant des effets juridiques à l'égard des personnes. L'intelligence artificielle est utilisée uniquement comme aide à la saisie pour le courtier, qui demeure seul décideur.

9.7 Comment exercer vos droits

Envoyez une demande écrite à contact@hypora.ca en précisant la nature de votre demande et en joignant une preuve d'identité raisonnable. Nous répondrons dans un délai maximum de 30 jours.

9.8 Droit de déposer une plainte

Si vous êtes insatisfait de notre traitement, vous pouvez déposer une plainte auprès de :

Commission d'accès à l'information du Québec (CAI) — cai.gouv.qc.ca — 418 528-7741.
Commissariat à la protection de la vie privée du Canada (CPVP) — priv.gc.ca — 1 800 282-1376.

10.Sécurité des données

Hypora met en œuvre des mesures de sécurité techniques, physiques et administratives pour protéger les renseignements personnels contre la perte, l'accès non autorisé, la divulgation, la modification ou la destruction.

Mesures techniques

Chiffrement AES-256 des données au repos.
Chiffrement TLS 1.3 des données en transit.
Authentification forte et options d'authentification multifacteur.
Isolation des données par locataire via Row-Level Security.
Surveillance continue et journaux d'audit.
Sauvegardes chiffrées et testées régulièrement.

Mesures administratives

Accès aux données limité au personnel autorisé selon le principe du moindre privilège.
Formation continue en matière de confidentialité et de sécurité.
Procédures documentées de gestion des incidents.
Évaluation périodique des risques.

Malgré toutes les précautions, aucune transmission ni aucun stockage électronique n'est totalement sécuritaire. Nous ne pouvons donc pas garantir la sécurité absolue de vos renseignements.

11.Incident de confidentialité

Conformément à l'article 3.5 LPRPSP, en cas d'incident présentant un risque qu'un préjudice sérieux soit causé aux personnes concernées, Hypora :

avisera la Commission d'accès à l'information du Québec avec diligence ;
avisera les personnes concernées, ainsi que tout tiers susceptible de diminuer le risque ;
tiendra un registre des incidents, disponible sur demande à la CAI.

Nous nous engageons à notifier nos clients courtiers d'un incident dans les 72 heures suivant sa découverte, afin qu'ils puissent à leur tour respecter leurs propres obligations.

12.Mineurs

Nos services s'adressent à des professionnels adultes et à leurs clients majeurs. Nous ne recueillons pas sciemment de renseignements concernant des mineurs. Si vous avez connaissance qu'un mineur a fourni des renseignements, contactez-nous pour que nous procédions à la suppression.

13.Témoins et traceurs

Notre site utilise des témoins (cookies) et des technologies similaires. Les détails (catégories, finalités, durée, gestion du consentement) figurent dans notre Politique de témoins.

14.Modifications de la présente politique

Nous pouvons modifier la présente Politique pour refléter les changements à nos pratiques, à nos services ou à la législation applicable. Toute modification substantielle sera communiquée par courriel aux comptes actifs au moins 30 jours avant son entrée en vigueur, sauf si la loi exige une prise d'effet plus rapide.

15.Loi applicable

La présente Politique est régie par les lois en vigueur dans la province de Québec et par les lois fédérales du Canada qui s'y appliquent. Tout litige sera porté devant les tribunaux du district judiciaire de Montréal, sous réserve des recours administratifs devant la CAI ou le CPVP.

16.Comment nous joindre

Responsable de la protection des renseignements personnels
Stanley Vertus
Hypora (nom commercial de Vertus Stanley, NEQ 2275462044)
3105 Promenade du Quartier-Saint-Martin
Laval (Québec) H7T 0N7, Canada
Courriel : contact@hypora.ca

Préambule

En utilisant nos services, vous reconnaissez avoir pris connaissance de la présente Politique et consentez au traitement de vos renseignements personnels conformément aux modalités ci-dessous.

1.Responsable de la protection des renseignements personnels

2.Rôles dans le traitement des données

2.1 Renseignements des courtiers

2.2 Renseignements des clients finaux (emprunteurs)

Les relations entre Hypora et chaque courtier sont encadrées par un Accord de traitement des données (DPA) qui fait partie intégrante des Conditions d'utilisation.

3.Renseignements que nous collectons

3.1 Renseignements des courtiers

Dans le cadre de la création et de la gestion de votre compte, nous collectons :

Identification : prénom, nom, titre professionnel, nom du cabinet de courtage.
Coordonnées : adresse courriel professionnelle, numéro de téléphone.
Informations professionnelles : numéro de licence AMF, FSRA ou autre régulateur provincial, province d'exercice, années d'expérience déclarées.
Authentification : mot de passe (stocké sous forme de hachage cryptographique), paramètres d'authentification multifacteur, jetons de session.
Facturation : nom, adresse de facturation, mode de paiement (les données de carte sont stockées directement par notre prestataire Stripe et ne sont jamais conservées par Hypora).
Préférences : langue (français ou anglais), préférences de notification.
Données d'utilisation : pages visitées, fonctionnalités utilisées, dossiers créés, statistiques d'usage.
Journaux techniques : adresse IP, type de navigateur, système d'exploitation, horodatage des connexions.

3.2 Renseignements des clients finaux (emprunteurs)

Lorsqu'un courtier vous invite à téléverser des documents dans le cadre d'une demande hypothécaire, les renseignements suivants peuvent transiter par Hypora :

Identification : prénom, nom, date de naissance, langue préférée.
Coordonnées : adresse postale, adresse courriel, numéro de téléphone.
Pièces d'identité gouvernementales : permis de conduire, passeport, carte de résident permanent, carte d'identité provinciale (collectées aux fins de la vérification d'identité exigée par la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes, LRPCFAT/PCMLTFA).
Numéro d'assurance sociale (NAS) : lorsque requis par le courtier pour des démarches précises. Nous traitons le NAS avec les mesures de protection renforcées prévues à la Directive sur le NAS.
Renseignements financiers : revenus, employeur, poste, ancienneté, relevés bancaires, talons de paie, avis de cotisation de l'ARC (T1, T4, T4A, T5), déclarations Revenu Québec, bilans personnels.
Renseignements sur le bien : adresse, type, valeur estimée, offre d'achat.
Co-emprunteurs : les mêmes catégories lorsque le dossier en comporte. Nous recueillons le consentement du co-emprunteur avant tout traitement.
Documents téléversés : tout document soumis par le client à la demande de son courtier.
Métadonnées d'interaction : horodatage des téléversements, dispositifs utilisés, statuts de lecture.

3.3 Renseignements collectés automatiquement

4.Finalités de la collecte

Nous recueillons et utilisons les renseignements personnels exclusivement aux fins suivantes.

4.1 Pour les courtiers

Créer, authentifier et gérer votre compte.
Fournir l'accès aux fonctionnalités de la plateforme.
Traiter la facturation, le renouvellement et l'annulation.
Envoyer des communications transactionnelles (confirmations, alertes, reçus).
Envoyer des communications promotionnelles uniquement avec votre consentement exprès.
Offrir un soutien technique et répondre à vos questions.
Améliorer la plateforme par l'analyse agrégée d'usage.
Détecter, prévenir et traiter les fraudes et incidents de sécurité.
Respecter nos obligations légales et réglementaires.

4.2 Pour les clients finaux

Permettre au courtier de recueillir les documents nécessaires à l'étude d'une demande hypothécaire.
Extraire automatiquement certaines informations non sensibles des documents à l'aide d'outils logiciels, afin d'accélérer la préparation du dossier du courtier. Toute donnée extraite demeure sous le contrôle du courtier et doit être validée par lui.
Conserver les renseignements de vérification d'identité aux fins des obligations du courtier sous la LRPCFAT/PCMLTFA.
Assurer la sécurité et la traçabilité des échanges documentaires entre le client et son courtier.

Nous ne recueillons pas de renseignements au-delà de ce qui est nécessaire à ces finalités, conformément au principe de limitation de la collecte (article 5 LPRPSP, principe 4 PIPEDA).

5.Consentement

5.1 Consentement explicite

5.2 Consentement du client final

5.3 Communications marketing

6.Localisation des données

Tous les renseignements personnels traités par Hypora sont stockés au Canada.

La base de données principale et le stockage des fichiers sont hébergés par Supabase dans la région ca-central-1 (Montréal, Québec).
L'infrastructure applicative est déployée par Vercel dans la région yul1 (Montréal, Québec).
Les sauvegardes chiffrées sont conservées au Canada.

7.Sous-traitants et destinataires

Sous-traitant	Pays	Finalité	Données transmises
Supabase Inc.	Canada (Montréal)	Base de données, authentification, stockage fichiers	Toutes les catégories
Vercel Inc.	Canada (Montréal)	Hébergement applicatif, livraison de contenu	Métadonnées HTTP, aucune donnée persistée
Anthropic PBC	États-Unis	Extraction automatique depuis les documents	Extraits textuels, anonymisés lorsque possible
Stripe, Inc.	Canada + États-Unis	Facturation et traitement des paiements	Informations de facturation, historique
Resend, Inc.	États-Unis	Courriels transactionnels	Adresse courriel, contenu du message
PostHog Inc.	Canada ou Union européenne	Analytique produit agrégé	Métadonnées d'usage anonymisées

8.Durée de conservation

Nous conservons vos renseignements uniquement pendant la durée nécessaire aux finalités pour lesquelles ils ont été recueillis, ou pendant la durée minimale imposée par la loi.

Catégorie	Durée	Fondement
Pièces d'identité gouvernementales des emprunteurs	5 ans après la fin de la relation d'affaires	LRPCFAT / PCMLTFA, article 6
Dossiers hypothécaires complets	5 ans après la fin de la relation d'affaires	Conformité FINTRAC
Compte courtier actif	Durée de l'abonnement	Exigence opérationnelle
Compte résilié	30 jours d'accès lecture seule pour export, puis suppression	Droit à la portabilité
Registres de facturation Hypora	7 ans	Agence du revenu du Canada
Communications avec le soutien	2 ans	Exigence opérationnelle
Journaux techniques	90 jours	Sécurité et dépannage
Journaux d'audit liés à FINTRAC	7 ans	Conformité

Après les délais ci-dessus, les renseignements sont détruits de manière sécurisée ou anonymisés de façon irréversible.

9.Vos droits

Conformément à la Loi 25 et à la LPRPDE, vous disposez des droits suivants.

9.1 Droit d'accès

Vous avez le droit d'obtenir confirmation de la détention de vos renseignements et d'en recevoir copie dans un format intelligible.

9.2 Droit de rectification

Vous pouvez demander la correction de renseignements inexacts, incomplets ou équivoques.

9.3 Droit à la désindexation et au retrait

9.4 Droit à la portabilité

9.5 Droit de retrait du consentement

Vous pouvez retirer à tout moment votre consentement au traitement, sous réserve des obligations légales de conservation qui s'appliquent.

9.6 Décisions automatisées

9.7 Comment exercer vos droits

Envoyez une demande écrite à contact@hypora.ca en précisant la nature de votre demande et en joignant une preuve d'identité raisonnable. Nous répondrons dans un délai maximum de 30 jours.

9.8 Droit de déposer une plainte

Si vous êtes insatisfait de notre traitement, vous pouvez déposer une plainte auprès de :

Commission d'accès à l'information du Québec (CAI) — cai.gouv.qc.ca — 418 528-7741.
Commissariat à la protection de la vie privée du Canada (CPVP) — priv.gc.ca — 1 800 282-1376.

10.Sécurité des données

Mesures techniques

Chiffrement AES-256 des données au repos.
Chiffrement TLS 1.3 des données en transit.
Authentification forte et options d'authentification multifacteur.
Isolation des données par locataire via Row-Level Security.
Surveillance continue et journaux d'audit.
Sauvegardes chiffrées et testées régulièrement.

Mesures administratives

Accès aux données limité au personnel autorisé selon le principe du moindre privilège.
Formation continue en matière de confidentialité et de sécurité.
Procédures documentées de gestion des incidents.
Évaluation périodique des risques.

Malgré toutes les précautions, aucune transmission ni aucun stockage électronique n'est totalement sécuritaire. Nous ne pouvons donc pas garantir la sécurité absolue de vos renseignements.

11.Incident de confidentialité

Conformément à l'article 3.5 LPRPSP, en cas d'incident présentant un risque qu'un préjudice sérieux soit causé aux personnes concernées, Hypora :

avisera la Commission d'accès à l'information du Québec avec diligence ;
avisera les personnes concernées, ainsi que tout tiers susceptible de diminuer le risque ;
tiendra un registre des incidents, disponible sur demande à la CAI.

Nous nous engageons à notifier nos clients courtiers d'un incident dans les 72 heures suivant sa découverte, afin qu'ils puissent à leur tour respecter leurs propres obligations.

12.Mineurs

13.Témoins et traceurs

Notre site utilise des témoins (cookies) et des technologies similaires. Les détails (catégories, finalités, durée, gestion du consentement) figurent dans notre Politique de témoins.