SIMPLYSAVANT — PRIVACY POLICY

SimplySavant Inc.

Effective Date: April 7, 2026 | Version 1.0

1. Scope and Application

This Privacy Policy applies to:

All individuals who interact with SimplySavant Inc., including clients, users, website visitors, job applicants, and business contacts.
Personal information collected online (websites, applications, portals) and offline (in-person interactions, phone, mail).
All employees and contractors of SimplySavant who handle personal information on behalf of the company.

This policy does not apply to the employment-related practices of SimplySavant, which are governed by separate internal HR policies, nor does it apply to aggregated or de-identified data that cannot reasonably be linked to an individual.

2. Applicable Laws

SimplySavant Inc. is subject to the following Canadian and Quebec privacy laws:

2.1 Federal Law — PIPEDA

The Personal Information Protection and Electronic Documents Act (PIPEDA) governs how private-sector organizations collect, use, and disclose personal information in the course of commercial activity in Canada. PIPEDA establishes 10 Fair Information Principles that form the foundation of this policy.

2.2 Quebec Law — Law 25 (Act 25)

Quebec's Act Respecting the Protection of Personal Information in the Private Sector, as substantially amended by Bill 64 ("Law 25"), came into full force on September 22, 2023. Law 25 imposes additional requirements on organizations operating in Quebec, including:

Mandatory appointment of a person responsible for the protection of personal information.
Mandatory privacy impact assessments (PIAs) for certain high-risk processing activities.
Strengthened rights for individuals, including the right to data portability and the right to be forgotten.
Mandatory reporting of confidentiality incidents to the Commission d'accès à l'information (CAI) and affected individuals.
Enhanced consent requirements, including granular and separate consent for sensitive information.
Governance policies and publication of privacy information on publicly accessible websites.

3. Personal Information We Collect

"Personal information" means any information about an identifiable individual, other than an individual's business contact information when used for business purposes. We may collect the following categories of personal information:

3.1 Identity and Contact Information

Full name, date of birth, gender.
Postal address, email address, telephone number.
Government-issued identification numbers where required by law.

3.2 Account and Service Information

Username, password (stored in encrypted form), and account preferences.
Service history, subscription details, and billing records.
Support requests, feedback, and correspondence with us.

3.3 Financial and Transaction Information

Payment card details (processed through PCI-DSS compliant third-party processors; we do not store full card numbers).
Billing address, invoice history, and payment status.

3.4 Technical and Usage Information

IP address, browser type, operating system, and device identifiers.
Log data, session duration, pages viewed, and click-stream data.
Cookies and similar tracking technologies (see Section 9).

3.5 Sensitive Personal Information

Where applicable and with your explicit consent, we may collect sensitive personal information such as health information, biometric identifiers, or other information prescribed as sensitive under Law 25. This information is subject to heightened protections described in Section 6.

3.6 Information from Third Parties

We may receive personal information from third parties such as identity verification services, marketing partners, and publicly available sources, solely to the extent permitted by applicable law.

4. How We Collect Personal Information

We collect personal information through the following means:

Directly from you when you register an account, purchase a service, fill out a form, or contact us.
Automatically through our platforms via cookies, log files, pixels, and similar technologies.
From third-party sources, including identity verification providers and publicly available directories.
Through your interactions with our customer support team, surveys, or promotional activities.

We collect only the personal information that is necessary for the identified purposes and do not collect information indiscriminately. In accordance with Law 25, when collecting personal information, we will clearly disclose: (i) the purposes of the collection; (ii) the means of collection; (iii) your rights of access and rectification; and (iv) contact information for our Privacy Officer.

5. Purposes for Collecting and Using Personal Information

We collect, use, and disclose personal information only for the following identified purposes:

Purpose	Description
Service Delivery	To provide, maintain, and improve our products and services.
Account Management	To create and manage your account, authenticate your identity, and process transactions.
Communication	To respond to your inquiries, send service-related notices, and provide customer support.
Marketing	With your consent, to send promotional communications about products and services that may interest you.
Analytics & Improvement	To analyze usage patterns and improve our platforms, products, and user experience.
Legal Compliance	To comply with applicable laws, regulations, and legal processes.
Security	To protect against fraud, unauthorized access, and other security threats.

We will not use your personal information for a new purpose that is not compatible with the original purpose without first identifying and disclosing the new purpose to you and, where required, obtaining your fresh consent.

6. Consent

Our collection, use, and disclosure of personal information is based on your meaningful consent, except where applicable law permits or requires otherwise (e.g., legal obligation, vital interest, law enforcement).

6.1 Express and Implied Consent

We rely on express consent for the collection of sensitive personal information, for non-essential data uses such as marketing, and for new purposes not previously identified. We may rely on implied consent for the collection and use of personal information that is incidental to a transaction you initiate, where the purpose is obvious and you would reasonably expect such use.

6.2 Withdrawal of Consent

You may withdraw your consent at any time, subject to legal or contractual restrictions and reasonable notice. To withdraw consent, contact our Privacy Officer at [email protected]. Please note that withdrawal of consent may affect our ability to provide you with certain products or services.

6.3 Consent of Minors

We do not knowingly collect personal information from individuals under the age of 14 without verifiable parental or guardian consent. Individuals between the ages of 14 and 17 may provide consent for non-sensitive personal information. If we become aware that we have inadvertently collected information from a minor without appropriate consent, we will take immediate steps to delete it.

7. Disclosure of Personal Information

We do not sell, rent, or trade personal information. We may share personal information with third parties only in the following circumstances:

7.1 Service Providers

We engage trusted third-party service providers to perform functions on our behalf, such as cloud hosting, payment processing, analytics, and customer support. These providers are contractually required to protect personal information and use it only for the purposes for which it was disclosed.

7.2 Legal Requirements

We may disclose personal information when required by law, court order, or government authority, or where we reasonably believe disclosure is necessary to protect the rights, property, or safety of SimplySavant, our users, or the public.

7.3 Business Transfers

In the event of a merger, acquisition, sale of assets, or similar corporate transaction, personal information may be transferred to the successor entity, subject to the same protections as described in this policy. We will notify affected individuals prior to any transfer of personal information to an entity subject to different privacy policies.

7.4 With Your Consent

We may share personal information with third parties for other purposes with your express consent.

8. Cross-Border Transfers of Personal Information

Some of our service providers may be located outside of Quebec or Canada. Where we transfer personal information outside of Quebec, we comply with Law 25's requirements, including conducting a privacy impact assessment (PIA) where required and ensuring that the personal information receives a level of protection equivalent to that provided under Quebec law.

Prior to any transfer of personal information outside Quebec, we will publish relevant information about such transfers in our privacy governance documentation, as required by the Commission d'accès à l'information (CAI).

9. Cookies and Tracking Technologies

Our websites and platforms use cookies and similar technologies to enhance your experience, analyze usage, and support our marketing efforts.

9.1 Types of Cookies We Use

Strictly Necessary Cookies: Essential for the operation of our website and services. These cannot be disabled.
Performance and Analytics Cookies: Collect information about how visitors use our site. Used to improve functionality.
Functional Cookies: Enable enhanced features and personalization.
Targeting and Advertising Cookies: Used with your consent to deliver relevant advertisements.

9.2 Cookie Consent

In accordance with Law 25 and applicable guidelines of the CAI, we obtain your prior consent before placing non-essential cookies on your device. You may manage or withdraw cookie consent at any time through our Cookie Preference Centre available on our website, or through your browser settings. Refusing non-essential cookies will not affect the core functionality of our services.

10. Retention of Personal Information

We retain personal information only for as long as necessary to fulfill the purposes for which it was collected, or as required by applicable law, regulation, or legitimate business need. The following general retention periods apply:

Account and transaction records: 7 years from the date of the last transaction, consistent with Quebec tax and bookkeeping obligations.
Marketing consent records: Until consent is withdrawn, plus 1 year.
Support and correspondence records: 3 years from the date of the last interaction.
Website usage logs: 13 months from collection.
Security and fraud logs: Up to 5 years from the date of the incident.

When personal information is no longer required, we securely destroy, erase, or anonymize it using methods appropriate to the sensitivity of the information, in compliance with Law 25 requirements.

11. Protection of Personal Information

SimplySavant implements appropriate technical, organizational, and physical safeguards to protect personal information against unauthorized access, use, disclosure, alteration, and destruction. Our measures include:

Encryption of personal information in transit (TLS 1.2 or higher) and at rest using industry-standard algorithms.
Role-based access controls limiting access to personal information to authorized personnel on a need-to-know basis.
Regular security assessments, vulnerability scans, and penetration testing.
Employee training on privacy and information security obligations.
Incident response plans and breach notification procedures.
Physical security measures at all facilities where personal information is processed.

No system is completely secure. In the event of a privacy breach involving a risk of serious injury, we will notify the Commission d'accès à l'information (CAI) and affected individuals without undue delay, in accordance with our obligations under Law 25.

12. Privacy Impact Assessments (PIAs)

In accordance with Law 25, SimplySavant conducts Privacy Impact Assessments (PIAs) before implementing any project or system involving the collection, use, communication, retention, or destruction of personal information that presents a risk to privacy. PIAs are also conducted when personal information is to be communicated outside Quebec. We maintain records of all PIAs and make summaries available to the CAI upon request.

13. Your Rights

Subject to applicable law and certain exceptions, you have the following rights with respect to your personal information:

13.1 Right of Access

You have the right to request access to the personal information we hold about you, including information about the categories of data collected, the purposes of use, the retention period, and any third parties with whom your information has been shared.

13.2 Right of Rectification

You have the right to request correction of inaccurate, incomplete, or outdated personal information.

13.3 Right to Withdraw Consent

You may withdraw consent for non-essential uses of your personal information at any time (see Section 6.2).

13.4 Right to Data Portability (Law 25)

Under Law 25, you have the right to receive personal information you have provided to us in a commonly used, structured, and technological format, and to have that information communicated to any person or body authorized by law to collect such information.

13.5 Right to De-indexing / Right to be Forgotten (Law 25)

You have the right to request that we cease disseminating your personal information or de-index any hyperlink attached to your name that allows access to your personal information, where such dissemination causes you injury, contravenes the law, or is no longer justified by the original purpose.

13.6 Right to Lodge a Complaint

You have the right to lodge a complaint with our Privacy Officer or with the Commission d'accès à l'information (CAI) if you believe your privacy rights have been violated.

To exercise any of the above rights, please submit a written request to our Privacy Officer at [email protected] or by mail at the address below. We will respond to your request within 30 days (or such other period as required by law) and at no charge, unless requests are manifestly unfounded or excessive.

14. Person Responsible for the Protection of Personal Information

As required by Law 25, SimplySavant Inc. has designated a Privacy Officer who is responsible for:

Overseeing compliance with this policy and applicable privacy legislation.
Handling individual access and rectification requests.
Managing and investigating privacy incidents and complaints.
Conducting and maintaining privacy impact assessments.
Providing privacy-related training and awareness to staff.
Liaising with the Commission d'accès à l'information (CAI) and other regulatory bodies.

Contact our Privacy Officer:

Email: [email protected]

SimplySavant Inc.
Montréal, Québec, Canada

15. Privacy Incidents and Breach Notification

In the event of a confidentiality incident (including unauthorized access, use, disclosure, or destruction of personal information), SimplySavant will:

Take immediate steps to contain and assess the incident.
Document the incident, including its nature, scope, timing, and the information affected.
Notify the Commission d'accès à l'information (CAI) as soon as reasonably possible if the incident presents a risk of serious injury to the individuals concerned.
Notify affected individuals as soon as reasonably possible if the incident presents a risk of serious injury, providing sufficient information to allow individuals to take protective measures.
Maintain a confidentiality incident register for all incidents, regardless of severity.

We conduct post-incident reviews to identify root causes and implement corrective measures to prevent recurrence.

16. Children's Privacy

Our services are not directed to children under the age of 14. We do not knowingly collect personal information from children under 14 without verifiable parental consent. If you believe we have collected personal information from a child under 14 without appropriate consent, please contact our Privacy Officer immediately and we will take prompt action to delete such information.

17. Third-Party Links

Our websites and services may contain links to third-party websites or platforms. This Privacy Policy does not apply to those third parties. We are not responsible for the privacy practices of external sites and encourage you to review the privacy policies of any third-party services you visit.

18. Automated Decision-Making

Where we use automated decision-making processes (including profiling) that could have a significant impact on you, we will inform you of this and, where required by Law 25, provide you with the opportunity to have the decision reviewed by a human being. You may also request that we inform you of the personal information used in the automated decision and the reasons for the decision.

19. Updates to This Privacy Policy

We may update this Privacy Policy from time to time to reflect changes in our practices, applicable laws, or other operational requirements. We will notify you of material changes by:

Posting the updated policy on our website with the new effective date clearly displayed.
Sending an email notification to registered users (for material changes).
Displaying a prominent notice on our platform or website.

We encourage you to review this policy periodically. Your continued use of our services following notice of changes constitutes your acknowledgment of the updated policy, to the extent permitted by law. For changes that require fresh consent, we will seek your renewed consent before processing your information for the new purposes.

20. How to Contact Us

For any questions, concerns, or requests regarding this Privacy Policy or our personal information handling practices, please contact us:

SimplySavant Inc.

Email: [email protected]

Website: www.simplysavant.com

Montréal, Québec, Canada

SIMPLYSAVANT — POLITIQUE DE CONFIDENTIALITÉ

SimplySavant Inc.

Date d'entrée en vigueur : 7 avril 2026 | Version 1.0

1. Portée et application

La présente Politique de confidentialité s'applique :

À toute personne qui interagit avec SimplySavant Inc., y compris les clients, les utilisateurs, les visiteurs du site Web, les candidats à un emploi et les contacts d'affaires.
Aux renseignements personnels recueillis en ligne (sites Web, applications, portails) et hors ligne (interactions en personne, téléphone, courrier).
À tous les employés et sous-traitants de SimplySavant qui traitent des renseignements personnels pour le compte de l'entreprise.

La présente politique ne s'applique pas aux pratiques liées à l'emploi de SimplySavant, lesquelles sont régies par des politiques internes distinctes en matière de ressources humaines, ni aux données agrégées ou dépersonnalisées qui ne peuvent raisonnablement être associées à une personne.

2. Lois applicables

SimplySavant Inc. est assujettie aux lois canadiennes et québécoises suivantes en matière de protection de la vie privée :

2.1 Loi fédérale — LPRPDE

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) régit la façon dont les organisations du secteur privé recueillent, utilisent et communiquent des renseignements personnels dans le cadre d'activités commerciales au Canada. La LPRPDE établit 10 principes relatifs à l'équité dans le traitement de l'information qui constituent le fondement de la présente politique.

2.2 Loi québécoise — Loi 25

La Loi sur la protection des renseignements personnels dans le secteur privé du Québec, considérablement modifiée par le projet de loi 64 (« Loi 25 »), est entrée pleinement en vigueur le 22 septembre 2023. La Loi 25 impose des exigences supplémentaires aux organisations opérant au Québec, notamment :

La désignation obligatoire d'une personne responsable de la protection des renseignements personnels.
Des évaluations obligatoires des facteurs relatifs à la vie privée (EFVP) pour certaines activités de traitement à risque élevé.
Le renforcement des droits des personnes, y compris le droit à la portabilité des données et le droit à l'oubli.
La déclaration obligatoire des incidents de confidentialité à la Commission d'accès à l'information (CAI) et aux personnes concernées.
Des exigences accrues en matière de consentement, y compris un consentement granulaire et distinct pour les renseignements sensibles.
Des politiques de gouvernance et la publication d'informations relatives à la vie privée sur des sites Web accessibles au public.

3. Renseignements personnels que nous recueillons

« Renseignement personnel » désigne tout renseignement concernant une personne identifiable, à l'exclusion des coordonnées d'affaires d'une personne lorsqu'elles sont utilisées à des fins professionnelles. Nous pouvons recueillir les catégories de renseignements personnels suivantes :

3.1 Renseignements d'identité et coordonnées

Nom complet, date de naissance, genre.
Adresse postale, adresse courriel, numéro de téléphone.
Numéros d'identification délivrés par le gouvernement, lorsque requis par la loi.

3.2 Renseignements relatifs au compte et aux services

Nom d'utilisateur, mot de passe (stocké sous forme chiffrée) et préférences de compte.
Historique des services, détails d'abonnement et relevés de facturation.
Demandes d'assistance, commentaires et correspondance avec nous.

3.3 Renseignements financiers et transactionnels

Données de carte de paiement (traitées par des processeurs tiers conformes à la norme PCI-DSS; nous ne conservons pas les numéros de carte complets).
Adresse de facturation, historique des factures et état des paiements.

3.4 Renseignements techniques et d'utilisation

Adresse IP, type de navigateur, système d'exploitation et identifiants d'appareil.
Données de connexion, durée de session, pages consultées et données de parcours.
Témoins (cookies) et technologies de suivi similaires (voir Section 9).

3.5 Renseignements personnels sensibles

Le cas échéant et avec votre consentement explicite, nous pouvons recueillir des renseignements personnels sensibles tels que des informations sur la santé, des identifiants biométriques ou d'autres renseignements désignés comme sensibles en vertu de la Loi 25. Ces renseignements font l'objet de protections renforcées décrites à la Section 6.

3.6 Renseignements provenant de tiers

Nous pouvons recevoir des renseignements personnels de tiers, tels que des services de vérification d'identité, des partenaires marketing et des sources accessibles au public, uniquement dans la mesure permise par la loi applicable.

4. Comment nous recueillons les renseignements personnels

Nous recueillons des renseignements personnels par les moyens suivants :

Directement auprès de vous lorsque vous créez un compte, achetez un service, remplissez un formulaire ou communiquez avec nous.
Automatiquement par l'entremise de nos plateformes au moyen de témoins, de fichiers journaux, de pixels et de technologies similaires.
De sources tierces, y compris des fournisseurs de vérification d'identité et des répertoires accessibles au public.
Par vos interactions avec notre équipe de soutien à la clientèle, des sondages ou des activités promotionnelles.

Nous ne recueillons que les renseignements personnels nécessaires aux fins identifiées et ne recueillons pas de renseignements de manière indiscriminatoire. Conformément à la Loi 25, lors de la collecte de renseignements personnels, nous divulguerons clairement : (i) les finalités de la collecte; (ii) les moyens de collecte; (iii) vos droits d'accès et de rectification; et (iv) les coordonnées de notre Responsable de la protection de la vie privée.

5. Finalités de la collecte et de l'utilisation des renseignements personnels

Nous recueillons, utilisons et communiquons des renseignements personnels uniquement aux fins identifiées suivantes :

Finalité	Description
Prestation de services	Fournir, maintenir et améliorer nos produits et services.
Gestion de compte	Créer et gérer votre compte, authentifier votre identité et traiter les transactions.
Communication	Répondre à vos demandes, envoyer des avis liés aux services et fournir du soutien à la clientèle.
Marketing	Avec votre consentement, envoyer des communications promotionnelles sur les produits et services susceptibles de vous intéresser.
Analyse et amélioration	Analyser les tendances d'utilisation et améliorer nos plateformes, produits et expérience utilisateur.
Conformité juridique	Se conformer aux lois, règlements et procédures juridiques applicables.
Sécurité	Protéger contre la fraude, l'accès non autorisé et les autres menaces à la sécurité.

Nous n'utiliserons pas vos renseignements personnels à une nouvelle fin incompatible avec la fin initiale sans d'abord identifier et divulguer cette nouvelle fin et, le cas échéant, obtenir votre consentement renouvelé.

6. Consentement

Notre collecte, utilisation et communication de renseignements personnels reposent sur votre consentement éclairé, sauf lorsque la loi applicable le permet ou l'exige autrement (p. ex., obligation légale, intérêt vital, application de la loi).

6.1 Consentement expres et implicite

Nous nous appuyons sur le consentement expres pour la collecte de renseignements personnels sensibles, pour les utilisations non essentielles telles que le marketing et pour de nouvelles fins non préalablement identifiées. Nous pouvons nous appuyer sur le consentement implicite pour la collecte et l'utilisation de renseignements personnels accessoires à une transaction que vous initiez, lorsque la fin est évidente et que vous pourriez raisonnablement vous y attendre.

6.2 Retrait du consentement

Vous pouvez retirer votre consentement à tout moment, sous réserve de restrictions légales ou contractuelles et d'un préavis raisonnable. Pour retirer votre consentement, communiquez avec notre Responsable de la protection de la vie privée à [email protected]. Veuillez noter que le retrait du consentement peut affecter notre capacité à vous fournir certains produits ou services.

6.3 Consentement des mineurs

Nous ne recueillons pas sciemment de renseignements personnels auprès de personnes de moins de 14 ans sans le consentement vérifiable d'un parent ou d'un tuteur. Les personnes âgées de 14 à 17 ans peuvent donner leur consentement pour des renseignements personnels non sensibles. Si nous apprenons que nous avons par inadvertance recueilli des renseignements d'un mineur sans consentement approprié, nous prendrons immédiatement des mesures pour les supprimer.

7. Communication de renseignements personnels

Nous ne vendons, ne louons ni n'échangeons de renseignements personnels. Nous pouvons communiquer des renseignements personnels à des tiers uniquement dans les circonstances suivantes :

7.1 Fournisseurs de services

Nous faisons appel à des fournisseurs de services tiers de confiance pour exécuter des fonctions en notre nom, telles que l'hébergement infonuagique, le traitement des paiements, l'analytique et le soutien à la clientèle. Ces fournisseurs sont contractuellement tenus de protéger les renseignements personnels et de ne les utiliser qu'aux fins pour lesquelles ils ont été communiqués.

7.2 Exigences légales

Nous pouvons communiquer des renseignements personnels lorsque la loi, une ordonnance du tribunal ou une autorité gouvernementale l'exige, ou lorsque nous croyons raisonnablement que la communication est nécessaire pour protéger les droits, les biens ou la sécurité de SimplySavant, de nos utilisateurs ou du public.

7.3 Transferts d'entreprise

En cas de fusion, d'acquisition, de vente d'actifs ou de transaction similaire, les renseignements personnels peuvent être transférés à l'entité successeur, sous réserve des mêmes protections que celles décrites dans la présente politique. Nous informerons les personnes concernées avant tout transfert de renseignements personnels à une entité soumise à des politiques de confidentialité différentes.

7.4 Avec votre consentement

Nous pouvons communiquer des renseignements personnels à des tiers à d'autres fins avec votre consentement expres.

8. Transferts transfrontaliers de renseignements personnels

Certains de nos fournisseurs de services peuvent être situés à l'extérieur du Québec ou du Canada. Lorsque nous transférons des renseignements personnels à l'extérieur du Québec, nous nous conformons aux exigences de la Loi 25, notamment en réalisant une évaluation des facteurs relatifs à la vie privée (EFVP) lorsque requis et en veillant à ce que les renseignements personnels bénéficient d'un niveau de protection équivalent à celui prévu par la loi québécoise.

Avant tout transfert de renseignements personnels à l'extérieur du Québec, nous publierons les informations pertinentes concernant ces transferts dans notre documentation de gouvernance en matière de vie privée, comme l'exige la Commission d'accès à l'information (CAI).

9. Témoins (cookies) et technologies de suivi

Nos sites Web et plateformes utilisent des témoins et des technologies similaires pour améliorer votre expérience, analyser l'utilisation et soutenir nos efforts de marketing.

9.1 Types de témoins utilisés

Témoins strictement nécessaires : Essentiels au fonctionnement de notre site Web et de nos services. Ils ne peuvent être désactivés.
Témoins de performance et d'analytique : Recueillent des informations sur la façon dont les visiteurs utilisent notre site. Utilisés pour améliorer les fonctionnalités.
Témoins fonctionnels : Permettent des fonctionnalités améliorées et la personnalisation.
Témoins de ciblage et de publicité : Utilisés avec votre consentement pour diffuser des publicités pertinentes.

9.2 Consentement aux témoins

Conformément à la Loi 25 et aux lignes directrices applicables de la CAI, nous obtenons votre consentement préalable avant de placer des témoins non essentiels sur votre appareil. Vous pouvez gérer ou retirer votre consentement aux témoins à tout moment par le biais de notre Centre de préférences des témoins disponible sur notre site Web, ou par les paramètres de votre navigateur. Le refus des témoins non essentiels n'affectera pas les fonctionnalités de base de nos services.

10. Conservation des renseignements personnels

Nous ne conservons les renseignements personnels que le temps nécessaire à la réalisation des fins pour lesquelles ils ont été recueillis, ou tel que requis par la loi, la réglementation ou un besoin légitime d'affaires. Les périodes de conservation générales suivantes s'appliquent :

Dossiers de compte et de transactions : 7 ans à compter de la date de la dernière transaction, conformément aux obligations fiscales et comptables du Québec.
Dossiers de consentement marketing : Jusqu'au retrait du consentement, plus 1 an.
Dossiers de soutien et de correspondance : 3 ans à compter de la date de la dernière interaction.
Journaux d'utilisation du site Web : 13 mois à compter de la collecte.
Journaux de sécurité et de fraude : Jusqu'à 5 ans à compter de la date de l'incident.

Lorsque les renseignements personnels ne sont plus nécessaires, nous les détruisons, les effacons ou les anonymisons de manière sécurisée en utilisant des méthodes adaptées à la sensibilité des renseignements, conformément aux exigences de la Loi 25.

11. Protection des renseignements personnels

SimplySavant met en œuvre des mesures de protection techniques, organisationnelles et physiques appropriées pour protéger les renseignements personnels contre l'accès, l'utilisation, la communication, la modification et la destruction non autorisés. Nos mesures comprennent :

Le chiffrement des renseignements personnels en transit (TLS 1.2 ou supérieur) et au repos à l'aide d'algorithmes conformes aux normes de l'industrie.
Des contrôles d'accès basés sur les rôles limitant l'accès aux renseignements personnels au personnel autorisé selon le principe du besoin de savoir.
Des évaluations de sécurité régulières, des analyses de vulnérabilités et des tests d'intrusion.
La formation des employés sur les obligations en matière de vie privée et de sécurité de l'information.
Des plans d'intervention en cas d'incident et des procédures de notification en cas d'atteinte.
Des mesures de sécurité physique dans toutes les installations où des renseignements personnels sont traités.

Aucun système n'est entièrement sécuritaire. En cas d'atteinte à la vie privée comportant un risque de préjudice sérieux, nous aviserons la Commission d'accès à l'information (CAI) et les personnes concernées dans les meilleurs délais, conformément à nos obligations en vertu de la Loi 25.

12. Évaluations des facteurs relatifs à la vie privée (EFVP)

Conformément à la Loi 25, SimplySavant réalise des évaluations des facteurs relatifs à la vie privée (EFVP) avant la mise en œuvre de tout projet ou système impliquant la collecte, l'utilisation, la communication, la conservation ou la destruction de renseignements personnels présentant un risque pour la vie privée. Des EFVP sont également réalisées lorsque des renseignements personnels doivent être communiqués à l'extérieur du Québec. Nous conservons les dossiers de toutes les EFVP et mettons des résumés à la disposition de la CAI sur demande.

13. Vos droits

Sous réserve de la loi applicable et de certaines exceptions, vous disposez des droits suivants à l'égard de vos renseignements personnels :

13.1 Droit d'accès

Vous avez le droit de demander l'accès aux renseignements personnels que nous détenons à votre sujet, y compris des informations sur les catégories de données recueillies, les fins d'utilisation, la période de conservation et les tiers avec lesquels vos renseignements ont été partagés.

13.2 Droit de rectification

Vous avez le droit de demander la correction de renseignements personnels inexacts, incomplets ou périmés.

13.3 Droit de retirer le consentement

Vous pouvez retirer votre consentement pour les utilisations non essentielles de vos renseignements personnels à tout moment (voir Section 6.2).

13.4 Droit à la portabilité des données (Loi 25)

En vertu de la Loi 25, vous avez le droit de recevoir les renseignements personnels que vous nous avez fournis dans un format couramment utilisé, structuré et technologique, et de faire communiquer ces renseignements à toute personne ou organisme autorisé par la loi à recueillir de tels renseignements.

13.5 Droit au déréférencement / Droit à l'oubli (Loi 25)

Vous avez le droit de demander que nous cessions de diffuser vos renseignements personnels ou que nous désindexions tout hyperlien rattaché à votre nom permettant d'accéder à vos renseignements personnels, lorsque cette diffusion vous cause un préjudice, contrevient à la loi ou n'est plus justifiée par la fin initiale.

13.6 Droit de déposer une plainte

Vous avez le droit de déposer une plainte auprès de notre Responsable de la protection de la vie privée ou auprès de la Commission d'accès à l'information (CAI) si vous estimez que vos droits en matière de vie privée ont été violés.

Pour exercer l'un des droits ci-dessus, veuillez soumettre une demande écrite à notre Responsable de la protection de la vie privée à [email protected] ou par courrier à l'adresse ci-dessous. Nous répondrons à votre demande dans un délai de 30 jours (ou tout autre délai prescrit par la loi) et sans frais, à moins que les demandes ne soient manifestement non fondées ou excessives.

14. Personne responsable de la protection des renseignements personnels

Conformément à la Loi 25, SimplySavant Inc. a désigné un Responsable de la protection de la vie privée dont les responsabilités comprennent :

Veiller à la conformité à la présente politique et à la législation applicable en matière de vie privée.
Traiter les demandes individuelles d'accès et de rectification.
Gérer et enquêter sur les incidents de confidentialité et les plaintes.
Réaliser et maintenir les évaluations des facteurs relatifs à la vie privée.
Fournir de la formation et de la sensibilisation en matière de vie privée au personnel.
Assurer la liaison avec la Commission d'accès à l'information (CAI) et les autres organismes de réglementation.

Communiquez avec notre Responsable de la protection de la vie privée :

Courriel : [email protected]

SimplySavant Inc.
Montréal, Québec, Canada

15. Incidents de confidentialité et notification d'atteinte

En cas d'incident de confidentialité (y compris l'accès, l'utilisation, la communication ou la destruction non autorisés de renseignements personnels), SimplySavant :

Prendra des mesures immédiates pour contenir et évaluer l'incident.
Documentera l'incident, y compris sa nature, sa portée, son moment et les renseignements touchés.
Avisera la Commission d'accès à l'information (CAI) dès que raisonnablement possible si l'incident présente un risque de préjudice sérieux pour les personnes concernées.
Avisera les personnes concernées dès que raisonnablement possible si l'incident présente un risque de préjudice sérieux, en fournissant suffisamment d'informations pour leur permettre de prendre des mesures de protection.
Tiendra un registre des incidents de confidentialité pour tous les incidents, indépendamment de leur gravité.

Nous réalisons des examens post-incident afin d'identifier les causes profondes et de mettre en œuvre des mesures correctives pour prévenir toute récurrence.

16. Vie privée des enfants

Nos services ne s'adressent pas aux enfants de moins de 14 ans. Nous ne recueillons pas sciemment de renseignements personnels auprès d'enfants de moins de 14 ans sans le consentement vérifiable d'un parent. Si vous croyez que nous avons recueilli des renseignements personnels d'un enfant de moins de 14 ans sans consentement approprié, veuillez communiquer immédiatement avec notre Responsable de la protection de la vie privée et nous prendrons des mesures rapides pour supprimer ces renseignements.

17. Liens vers des tiers

Nos sites Web et services peuvent contenir des liens vers des sites Web ou des plateformes de tiers. La présente Politique de confidentialité ne s'applique pas à ces tiers. Nous ne sommes pas responsables des pratiques de confidentialité des sites externes et vous encourageons à consulter les politiques de confidentialité de tout service tiers que vous visitez.

18. Prise de décision automatisée

Lorsque nous utilisons des processus de décision automatisés (y compris le profilage) susceptibles d'avoir un impact significatif sur vous, nous vous en informerons et, lorsque requis par la Loi 25, vous offrirons la possibilité de faire réviser la décision par un être humain. Vous pouvez également demander que nous vous informions des renseignements personnels utilisés dans la décision automatisée et des raisons de la décision.

19. Mises à jour de la présente Politique de confidentialité

Nous pouvons mettre à jour la présente Politique de confidentialité périodiquement afin de refléter les changements dans nos pratiques, les lois applicables ou d'autres exigences opérationnelles. Nous vous informerons des changements importants par :

La publication de la politique mise à jour sur notre site Web avec la nouvelle date d'entrée en vigueur clairement affichée.
L'envoi d'un avis par courriel aux utilisateurs inscrits (pour les changements importants).
L'affichage d'un avis visible sur notre plateforme ou notre site Web.

Nous vous encourageons à consulter cette politique périodiquement. Votre utilisation continue de nos services après notification des changements constitue votre reconnaissance de la politique mise à jour, dans la mesure permise par la loi. Pour les changements nécessitant un nouveau consentement, nous solliciterons votre consentement renouvelé avant de traiter vos renseignements aux nouvelles fins.

20. Nous joindre

Pour toute question, préoccupation ou demande concernant la présente Politique de confidentialité ou nos pratiques de traitement des renseignements personnels, veuillez communiquer avec nous :

SimplySavant Inc.

Courriel : [email protected]

Site Web : www.simplysavant.com

Montréal, Québec, Canada