Politique de confidentialité
Programme de récompenses — Rockaberry Jean-Talon, Montréal
Dernière mise à jour : TODO : indiquer la date de publication
1. Qui sommes-nous
Le programme de récompenses est exploité par Rockaberry Jean-Talon (TODO : dénomination légale complète de l’entreprise et NEQ), situé au TODO : adresse complète du restaurant. La présente politique décrit comment nous recueillons, utilisons, conservons et protégeons vos renseignements personnels, conformément à la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (« Loi 25 », Québec), à la Loi canadienne anti-pourriel (« LCAP ») et à la Loi sur la protection du consommateur (« LPC »).
Responsable de la protection des renseignements personnels
Conformément à l’article 3.1 de la Loi sur la protection des renseignements personnels dans le secteur privé, la personne responsable de la protection des renseignements personnels est :
- Nom : TODO : nom du ou de la responsable (par défaut, la personne ayant la plus haute autorité)
- Courriel : TODO : adresse courriel dédiée, p. ex. confidentialite@…
- Adresse postale : TODO : adresse où transmettre une demande écrite
Toute demande d’accès, de rectification, de retrait de consentement ou de suppression, ainsi que toute plainte, peut lui être adressée. Nous répondons dans un délai maximal de 30 jours.
2. Renseignements que nous recueillons
Dans le cadre du programme, nous recueillons uniquement ce qui est nécessaire :
- Identification : numéro de téléphone cellulaire (identifiant du compte), prénom, date d’anniversaire (facultative), courriel (facultatif), langue préférée.
- Transactions de fidélité : points, tampons, échanges de récompenses, montants d’achat avant taxes, dates de visite.
- Cartes-cadeaux : cartes achetées, soldes, historique des transactions, nom et coordonnées du destinataire si vous envoyez une carte.
- Communications : journal des textos et courriels que nous vous envoyons (liens de connexion, codes de récompense, promotions si vous y avez consenti).
- Avis : notes et commentaires que vous nous laissez, ainsi que votre consentement (ou non) à leur publication.
- Données techniques minimales : témoins (cookies) de session et de langue, journaux de sécurité (limitation de débit, accès administratifs).
Nous n’utilisons aucun témoin publicitaire ni outil de suivi de tiers à des fins de profilage.
3. Finalités d'utilisation
- administrer votre compte de membre, vos points, tampons et récompenses;
- émettre et gérer les cartes-cadeaux (les soldes ne s’expirent jamais);
- vous transmettre les messages transactionnels nécessaires au service (lien de connexion, codes de récompense, confirmations);
- vous transmettre des offres promotionnelles uniquement si vous y avez consenti (voir la section 4);
- prévenir la fraude et concilier nos registres avec les ventes du restaurant;
- respecter nos obligations légales, comptables et fiscales.
4. Consentement aux communications promotionnelles (LCAP)
Le consentement aux textos et courriels promotionnels est facultatifet distinct de votre adhésion au programme. Il est recueilli explicitement (cases à cocher non précochées), horodaté, et vous pouvez le retirer en tout temps, sans frais :
- en répondant « STOP » à un texto;
- via le lien de désabonnement présent dans chaque courriel;
- depuis votre profil membre.
Nous limitons les envois promotionnels à un maximum de 2 messages par semaine et n’envoyons jamais entre 21 h et 9 h. Les messages transactionnels liés à votre compte ne requièrent pas ce consentement.
5. Conservation et suppression
Vos renseignements personnels sont conservés tant que votre compte est actif. Vous pouvez supprimer votre compte vous-même depuis votre profil membre. La suppression :
- efface immédiatement votre prénom, votre courriel, votre date d’anniversaire et votre numéro de téléphone de nos systèmes actifs, et révoque tous vos consentements;
- conserve l’historique de transactions sous forme anonymisée (points, échanges, montants), car nos obligations comptables et fiscales l’exigent — ces lignes ne sont plus rattachables à vous;
- conserve les registres de cartes-cadeaux, car les soldes constituent un passif que la LPC nous oblige à honorer sans limite de temps.
Durées de conservation détaillées : TODO : préciser les durées exactes (p. ex. registres comptables 7 ans) avec le comptable.
6. Communication à des tiers et hébergement
Nous ne vendons ni ne louons jamais vos renseignements. Ils sont traités par un nombre restreint de fournisseurs de services, chacun lié par des engagements de confidentialité :
- Supabase (hébergement de la base de données) — TODO : confirmer la région d’hébergement du projet;
- Twilio (envoi de textos);
- Resend (envoi de courriels);
- Stripe (paiement des cartes-cadeaux en ligne — Stripe ne nous transmet jamais votre numéro de carte bancaire);
- Vercel ou équivalent (hébergement de l’application) — TODO : confirmer l’hébergeur et la région.
Certains de ces fournisseurs peuvent traiter des données à l’extérieur du Québec (notamment aux États-Unis). Conformément à la Loi 25, une évaluation des facteurs relatifs à la vie privée a été réalisée pour ces communications hors Québec : TODO : réaliser et documenter l’ÉFVP pour chaque fournisseur.
7. Vos droits (Loi 25)
Vous disposez en tout temps des droits suivants :
- Accès et portabilité : téléchargez une copie complète de vos données (format JSON structuré) depuis votre profil membre, en libre-service;
- Rectification : corrigez vos renseignements directement dans votre profil;
- Retrait du consentement : désactivez les communications promotionnelles en un clic;
- Suppression : supprimez votre compte en libre-service (voir la section 5);
- Plainte : adressez-vous à notre responsable (bloc ci-dessus) ou à la Commission d’accès à l’information du Québec.
8. Sécurité
Accès aux données limité au personnel autorisé (chaque consultation d’un profil par l’administration est journalisée), connexions membres sans mot de passe par lien à usage unique expirant après 15 minutes, chiffrement en transit (HTTPS) et au repos chez notre hébergeur, limitation de débit sur les points d’accès publics.
9. Incident de confidentialité
En cas d’incident présentant un risque de préjudice sérieux, nous aviserons la Commission d’accès à l’information et les personnes concernées, et tiendrons le registre des incidents exigé par la Loi 25. Procédure interne détaillée : TODO : documenter la procédure de réponse aux incidents.
10. Modifications
Toute modification importante de cette politique sera annoncée sur cette page et, si elle élargit l’utilisation de vos renseignements, fera l’objet d’un nouveau consentement.