Politique de confidentialité

Mis à jour le 26 mai 2026

Stamped, Comptable Professionnel Agréé Inc. (« Stamped », « nous », « notre ») exerce ses activités à partir du Québec, Canada. Nous nous conformons à la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels du Québec (communément appelée « Loi 25 »), à la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, chap. P-39.1), à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE / PIPEDA) du Canada, ainsi qu'au Règlement général sur la protection des données (RGPD) lorsqu'il s'applique.

Responsable du traitement et personne responsable de la protection des renseignements personnels

Stamped, Comptable Professionnel Agréé Inc.
Adresse pour les demandes : engineering@stamped.ai
Conformément à la Loi 25 et à l'article 3.1 de la Loi sur la protection des renseignements personnels dans le secteur privé, la personne ayant la plus haute autorité chez Stamped est responsable de la protection des renseignements personnels. Elle peut déléguer cette fonction par écrit. Pour rejoindre cette personne ou son délégué, écrivez à engineering@stamped.ai.

Renseignements personnels que nous recueillons

Renseignements de compte et d'identité

  • Adresse courriel, nom, nom de signature, nom d'utilisateur, numéro de téléphone
  • Titre du poste, numéro de permis professionnel, biographie
  • Renseignements d'authentification : mot de passe haché (jamais en clair), jetons OAuth chiffrés, empreintes de liens magiques
  • Métadonnées de session : adresse IP, agent utilisateur, dates et heures de connexion
  • Préférences : fuseau horaire, langue, paramètres de notification

Données de service téléversées par nos clients

Stamped est un fournisseur de services-conciergerie destiné aux cabinets comptables et aux CPA. Nos clients (les cabinets) téléversent dans la plateforme des renseignements concernant leurs propres clients et leurs mandats : documents fiscaux et comptables, relevés bancaires, états financiers, correspondance et autres données nécessaires à l'exécution du mandat. À l'égard de ces données, Stamped agit à titre de mandataire (sous-traitant) du cabinet, qui en demeure responsable.

Cookies et données d'utilisation

Nous utilisons des témoins (cookies) techniques nécessaires au fonctionnement du service (authentification, sécurité) et, sous réserve de votre consentement le cas échéant, des témoins d'analyse et de mesure d'audience. Vous pouvez configurer votre navigateur pour refuser les témoins non essentiels.

Finalités et fondements juridiques

Nous traitons les renseignements personnels aux fins suivantes :

  • Exécution du contrat – fournir, exploiter et maintenir le service Stamped, gérer les comptes utilisateurs et les abonnements;
  • Obligations légales – respecter les obligations comptables, fiscales et réglementaires applicables au Québec et au Canada;
  • Intérêts légitimes – sécurité, prévention de la fraude, amélioration du service, journalisation et audit;
  • Consentement – analytique non essentielle, communications marketing et toute autre finalité pour laquelle nous demandons explicitement votre accord.

Lieu d'hébergement et transferts hors du Québec

Les données applicatives et la base de données principale de Stamped sont hébergées au Canada, sur Google Cloud Platform, dans la région de Montréal (northamerica-northeast1). Les sauvegardes et le réplica en lecture seule sont conservés dans la même région.

Conformément à l'article 17 de la Loi sur la protection des renseignements personnels dans le secteur privé, nous réalisons une évaluation des facteurs relatifs à la vie privée (ÉFVP) avant tout transfert de renseignements personnels à l'extérieur du Québec. Certains de nos sous-traitants traitent des renseignements à l'extérieur du Québec ou du Canada (voir la liste ci-dessous). Lorsque c'est le cas, nous nous assurons par contrat que les renseignements bénéficient d'une protection équivalente.

Sous-traitants et tiers (fournisseurs de services)

Nous faisons appel aux sous-traitants suivants pour fournir le service. La liste peut être mise à jour; les modifications importantes seront communiquées sur cette page.

Infrastructure et exploitation

  • Google Cloud Platform (Google LLC) – hébergement applicatif, base de données et stockage des sauvegardes. Lieu : Canada (Montréal).
  • Cloudflare, Inc. – réseau de diffusion, pare-feu applicatif (WAF) et DNS. Lieu : États-Unis et réseau mondial.
  • Amazon Web Services (S3) (Amazon.com, Inc.) – stockage des fichiers téléversés via ActiveStorage. Lieu : États-Unis ou Canada selon la configuration du compartiment.

Intégrations comptables et financières (activées par le client)

  • Intuit QuickBooks – intégration comptable. Lieu : États-Unis.
  • Xero – intégration comptable. Lieu : Nouvelle-Zélande / international.
  • Plaid Inc. – agrégation bancaire. Lieu : États-Unis / Canada.
  • TaxPrep / Wolters Kluwer – production fiscale. Lieu : Canada.

Documents et messagerie

  • Microsoft Graph (Microsoft Corporation) – intégration SharePoint / OneDrive lorsque activée par le client. Lieu : variable selon le locataire Microsoft du client.
  • Mailgun (Sinch) – réception de courriels entrants via ActionMailbox. Lieu : États-Unis ou Union européenne selon la configuration.
  • Fournisseur SMTP sortant – envoi des courriels transactionnels.

Surveillance, sécurité et expérience utilisateur

  • Sentry (Functional Software, Inc.) – surveillance des erreurs applicatives. Lieu : États-Unis.
  • Google reCAPTCHA (Google LLC) – protection contre les robots et la fraude. Lieu : États-Unis.

Paiements

  • Stripe, Inc. – traitement des paiements. Stamped ne stocke pas de données complètes de carte de paiement. Lieu : États-Unis / Canada.

Fonctions d'intelligence artificielle

Certaines fonctionnalités de Stamped s'appuient sur des modèles d'intelligence artificielle générative fournis par des tiers afin d'assister les utilisateurs dans l'exécution de leurs mandats. Nous n'autorisons pas l'entraînement de modèles tiers à partir des données de nos clients. Nos ententes contractuelles avec ces fournisseurs prévoient une absence de conservation (zero data retention) ou une conservation strictement limitée à des fins de sécurité et de prévention des abus.

Durée de conservation

Nous conservons les renseignements personnels uniquement le temps nécessaire à la réalisation des fins pour lesquelles ils ont été recueillis, ou pour la durée requise par la loi (notamment les obligations de conservation prévues par la Loi sur les comptables professionnels agréés et la Loi de l'impôt sur le revenu). Les renseignements de compte sont supprimés ou anonymisés dans les 30 jours suivant la résiliation du compte ou une demande de suppression vérifiée, sous réserve des durées de conservation imposées par la loi. Les journaux de sécurité et d'audit peuvent être conservés jusqu'à 12 mois.

Vos droits

Conformément à la Loi 25, à la LPRPDE et, lorsqu'il s'applique, au RGPD, vous disposez des droits suivants :

  • Droit d'accès – obtenir confirmation de l'existence des renseignements personnels qui vous concernent et en obtenir communication;
  • Droit de rectification – faire corriger des renseignements inexacts, incomplets ou équivoques;
  • Droit à la portabilité – recevoir, en format technologique structuré et couramment utilisé, les renseignements informatisés que vous nous avez fournis (en vigueur depuis le 22 septembre 2024 en vertu de la Loi 25);
  • Droit à la désindexation et à la cessation de la diffusion – exiger que cesse la diffusion d'un renseignement ou que soit désindexé un hyperlien y donnant accès, dans les conditions prévues par la loi;
  • Droit de retirer votre consentement à tout moment, sans que cela n'affecte la licéité du traitement antérieur;
  • Droit d'être informé d'une décision automatisée qui produit un effet juridique ou vous affecte de façon significative, et droit de présenter des observations à une personne en mesure de réviser cette décision;
  • Droit de porter plainte auprès de la Commission d'accès à l'information du Québec (cai.gouv.qc.ca) ou du Commissariat à la protection de la vie privée du Canada.

Exercer vos droits

Pour exercer l'un de ces droits, écrivez à engineering@stamped.ai. Nous traiterons votre demande gratuitement et y répondrons dans un délai maximal de 30 jours, conformément à l'article 32 de la Loi sur la protection des renseignements personnels dans le secteur privé. Nous pouvons vous demander de confirmer votre identité avant de donner suite à la demande.

Décisions fondées exclusivement sur un traitement automatisé

Stamped n'utilise pas actuellement de processus de décision exclusivement automatisé produisant des effets juridiques sur les utilisateurs. Si cela devait changer, nous vous en informerions et vous offririons la possibilité de présenter des observations à un membre de notre personnel en mesure de réviser la décision.

Incidents de confidentialité

Conformément à l'article 3.5 de la Loi sur la protection des renseignements personnels dans le secteur privé, en cas d'incident de confidentialité présentant un risque de préjudice sérieux, nous aviserons sans délai la Commission d'accès à l'information du Québec ainsi que les personnes concernées, et tiendrons un registre des incidents que nous mettrons à disposition sur demande de la Commission.

Sécurité

Pour le détail des mesures techniques et organisationnelles que nous mettons en œuvre, consultez notre Déclaration de sécurité.

Témoins (cookies) et demandes « Ne pas pister »

Notre site utilise des témoins essentiels et, sous réserve de votre consentement, des témoins analytiques. Nous ne donnons pas actuellement suite aux signaux « Ne pas pister » du navigateur, mais vous pouvez gérer vos préférences via la bannière de consentement ou en configurant votre navigateur.

Modifications

Nous pouvons mettre à jour cette politique pour refléter des changements à nos pratiques ou aux exigences légales. Lorsque les modifications sont importantes, nous publierons un avis sur cette page et, le cas échéant, vous notifierons par courriel.

Nous joindre

Pour toute question relative à la présente politique ou au traitement de vos renseignements personnels, écrivez-nous à engineering@stamped.ai.