Confidentialité

Politique de confidentialité

Dernière mise à jour : 20 mai 2026

Privacy

Privacy Policy

Last updated: May 20, 2026

Votre vie privée nous tient à cœur. ARESTO ne vend pas vos données et ne les utilise pas pour la publicité. Nous collectons uniquement ce qui est nécessaire pour fournir le service.

1. Qui nous sommes

ARESTO est un logiciel de gestion d'entreprise tout-en-un destiné aux entrepreneurs en services au Québec. Le présent document décrit comment nous traitons les renseignements personnels conformément à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (Loi 25).

Responsable du traitement : Pascal Boulianne, faisant affaire sous le nom ARESTO
Adresse : 3745 rue Guy, Terrebonne (Québec) J6Y 1C1, Canada
Personne désignée à la protection des renseignements personnels : Pascal Boulianne
Courriel : pascal.boulianne@aresto.app

2. Renseignements que nous collectons

  • Données de compte : nom, courriel, nom d'entreprise, mot de passe (haché)
  • Données d'affaires : contacts, deals, factures, soumissions, jobs et autres enregistrements que vous créez
  • Données d'utilisation : horodatages de connexion, journaux d'erreurs, utilisation des fonctionnalités (à des fins d'amélioration)
  • Données d'intégration : jetons OAuth chiffrés pour les services connectés (QuickBooks, Gmail)
  • Données de paiement : traitées par Stripe — nous ne stockons jamais les numéros de carte

Sources de collecte : directement auprès de vous lors de l'inscription, automatiquement via votre utilisation du service, et via les intégrations tierces que vous activez explicitement.

3. Finalités du traitement

  • Fournir, exploiter et maintenir le service ARESTO
  • Synchroniser les données avec les intégrations tierces que vous connectez (QuickBooks, Gmail)
  • Envoyer les courriels transactionnels (factures, soumissions) pour votre compte
  • Améliorer le service et corriger les bogues
  • Vous contacter au sujet de votre compte (facturation, sécurité, mises à jour critiques)

Nous n'utilisons pas vos données à des fins publicitaires, ne les vendons à aucun tiers, et ne les utilisons pas pour entraîner des modèles d'IA.

4. Données Gmail (Google API Services)

Lorsque vous connectez votre compte Gmail, ARESTO utilise les permissions OAuth suivantes :

  • gmail.readonly — lire vos courriels entrants pour détecter automatiquement les nouvelles demandes (leads) et les afficher dans le CRM
  • gmail.send — envoyer factures, soumissions et suivis à vos clients depuis votre adresse Gmail
  • gmail.modify — marquer comme lu et appliquer un libellé « ARESTO/Traité » sur les courriels traités (jamais de suppression)
  • userinfo.email et userinfo.profile — identifier le compte Google connecté

Conformité Limited Use Policy de Google : l'utilisation des données Gmail par ARESTO respecte la Google API Services User Data Policy, incluant les exigences Limited Use. Plus précisément :

  • Nous utilisons les données Gmail uniquement pour fournir les fonctionnalités CRM décrites ci-dessus, visibles par l'utilisateur
  • Nous ne transférons pas les données Gmail à des tiers, sauf si nécessaire pour fournir/améliorer ces fonctionnalités, pour respecter une obligation légale, ou dans le cadre d'une fusion/acquisition (avec consentement)
  • Nous n'utilisons pas les données Gmail pour cibler de la publicité
  • Nous ne permettons aucune lecture humaine des courriels, sauf : avec votre consentement explicite pour des cas de support, pour des raisons de sécurité (anti-fraude/abus), pour respecter la loi, ou pour des opérations strictement limitées et anonymisées sur des données agrégées
  • Nous n'utilisons pas les données Gmail pour entraîner des modèles d'IA généralistes ou personnalisés

Vous pouvez révoquer l'accès Gmail à tout moment depuis Paramètres → Sécurité → Déconnecter Gmail, ou via myaccount.google.com/permissions.

5. Données QuickBooks

Lorsque vous connectez QuickBooks Online, ARESTO accède à vos données comptables (clients, factures, codes de taxes) uniquement pour fournir l'intégration. Nous stockons les jetons OAuth de manière chiffrée. Nous ne stockons pas vos données comptables complètes — uniquement celles que vous poussez explicitement depuis ARESTO vers QuickBooks.

Vos données QuickBooks sont régies par la déclaration de confidentialité Intuit.

6. Stockage et sécurité

Vos données sont stockées sur l'infrastructure Supabase (PostgreSQL), hébergée chez Amazon Web Services dans la région US East (Virginia, États-Unis). Mesures de sécurité :

  • Chiffrement TLS/HTTPS pour toutes les communications
  • Row-level security (RLS) — vos données sont isolées des autres utilisateurs
  • Stockage chiffré des jetons OAuth et des secrets (pgcrypto)
  • Authentification à deux facteurs (2FA) disponible et obligatoire pour les comptes administrateurs
  • Sauvegardes quotidiennes par Supabase

Communication hors-Québec : en raison de l'hébergement chez AWS US East, vos renseignements sont traités à l'extérieur du Québec et du Canada. Conformément à la Loi 25, nous avons évalué que le niveau de protection offert est adéquat (chiffrement, contrôles d'accès, conformité SOC 2 d'AWS).

7. Conservation des données

Nous conservons vos données aussi longtemps que votre compte est actif. Si vous annulez votre compte, vous pouvez demander une exportation complète dans les 30 jours. Après 30 jours, vos données sont supprimées définitivement, sauf obligations légales contraires (ex. : conservation des registres comptables 6 ans selon Revenu Québec).

8. Vos droits

Conformément à la Loi 25, vous avez le droit de :

  • Accès : obtenir une copie des renseignements que nous détenons sur vous
  • Rectification : faire corriger des renseignements inexacts ou incomplets
  • Suppression / désindexation : demander l'effacement de vos renseignements
  • Portabilité : recevoir vos données dans un format structuré (CSV/JSON)
  • Retrait du consentement : déconnecter à tout moment QuickBooks, Gmail ou autres intégrations
  • Plainte : déposer une plainte auprès de la Commission d'accès à l'information du Québec

Pour exercer ces droits, écrivez à pascal.boulianne@aresto.app ou par courrier au 3745 rue Guy, Terrebonne (Québec) J6Y 1C1. Nous répondons dans un délai maximal de 30 jours.

9. Tiers à qui nous communiquons des données

  • Supabase Inc. (États-Unis) — base de données et authentification
  • Amazon Web Services (États-Unis) — infrastructure d'hébergement de Supabase
  • Stripe Inc. (États-Unis) — traitement des paiements
  • Vercel Inc. (États-Unis) — hébergement de l'application web
  • Resend (États-Unis) — livraison de courriels transactionnels
  • Intuit (QuickBooks) — intégration comptable optionnelle
  • Google LLC (Gmail) — intégration courriel optionnelle

Chaque tiers a sa propre politique de confidentialité régissant ses pratiques.

10. Témoins (cookies) et stockage local

ARESTO utilise trois catégories de témoins et de stockage navigateur :

  • Strictement nécessaires (toujours actifs)localStorage et sessionStorage pour maintenir votre session de connexion, vos préférences UI (mode sombre, langue, sidebar collapsed) et l'état d'onboarding. Sans eux, l'app ne fonctionne pas. Aucune information personnelle n'est envoyée à des tiers via ces témoins.
  • Analyse d'usage (consentement opt-in)PostHog et Vercel Web Analytics. Mesurent les pages visitées et les fonctionnalités utilisées pour nous aider à améliorer le service. Texte des inputs et valeurs des formulaires masqués automatiquement. Désactivés par défaut tant que vous n'avez pas accepté.
  • Replay de session sur erreur (consentement opt-in)Sentry Session Replay enregistre les ~30 dernières secondes uniquement lors d'un crash applicatif, afin de nous aider à reproduire et corriger le bug. Tous les champs de formulaire (mots de passe, informations clients) sont masqués. Désactivé par défaut.

Vous pouvez modifier vos préférences à tout moment depuis Paramètres → Sécurité → Gérer les cookies, ou révoquer entièrement votre consentement.

Suivi des erreurs (intérêt légitime) : Sentry capte les exceptions JavaScript de l'app (sans Session Replay sauf consentement). Cela nous permet de détecter et corriger les bogues. Les données sensibles (jetons, mots de passe, numéros de cartes) sont automatiquement nettoyées avant envoi.

Aucun témoin publicitaire et aucun pistage cross-site.

11. Incidents de confidentialité

Conformément à l'article 3.5 de la Loi 25, en cas d'incident de confidentialité présentant un risque de préjudice sérieux (accès, utilisation ou communication non autorisés à vos renseignements personnels), nous nous engageons à :

  • Notifier la Commission d'accès à l'information du Québec avec diligence raisonnable
  • Vous notifier personnellement par courriel à l'adresse associée à votre compte, dans les meilleurs délais
  • Tenir un registre des incidents conformément à l'article 3.8 de la Loi 25
  • Documenter les mesures correctives mises en place pour éviter la récurrence

Si vous suspectez un incident de sécurité impliquant votre compte (ex. : connexion non autorisée), contactez immédiatement pascal.boulianne@aresto.app.

12. Modifications à cette politique

Nous pouvons mettre à jour cette politique de temps à autre. En cas de changement matériel, nous vous notifierons par courriel ou notification dans l'app au moins 30 jours avant l'entrée en vigueur. La date de « Dernière mise à jour » en haut de cette page indique toujours la version courante.

13. Nous joindre

Pour toute question relative à la confidentialité ou pour exercer vos droits :
Pascal Boulianne, personne désignée à la protection des renseignements personnels
ARESTO — 3745 rue Guy, Terrebonne (Québec) J6Y 1C1, Canada
Courriel : pascal.boulianne@aresto.app

Your privacy matters. ARESTO does not sell your data and does not use it for advertising. We collect only what is necessary to operate the service.

1. Who We Are

ARESTO is an all-in-one business management software for service entrepreneurs in Quebec. This document describes how we handle personal information in compliance with Quebec's Act respecting the protection of personal information in the private sector (Law 25) and with the Google API Services User Data Policy.

Data controller: Pascal Boulianne, doing business as ARESTO
Address: 3745 rue Guy, Terrebonne (Quebec) J6Y 1C1, Canada
Privacy officer: Pascal Boulianne
Email: pascal.boulianne@aresto.app

2. Data We Collect

  • Account data: name, email, company name, password (hashed)
  • Business data: contacts, deals, invoices, quotes, jobs and other records you create
  • Usage data: login timestamps, error logs, feature usage (for service improvement)
  • Integration data: encrypted OAuth tokens for connected services (QuickBooks, Gmail)
  • Payment data: processed by Stripe — we never store card numbers

Sources: directly from you at signup, automatically via your use of the service, and via the third-party integrations you explicitly enable.

3. Purposes of Processing

  • Provide, operate and maintain the ARESTO service
  • Sync data with the third-party integrations you connect (QuickBooks, Gmail)
  • Send transactional emails (invoices, quotes) on your behalf
  • Improve the service and fix bugs
  • Contact you about your account (billing, security, critical updates)

We do not use your data for advertising purposes, do not sell it to any third party, and do not use it to train AI models.

4. Gmail Data (Google API Services)

When you connect your Gmail account, ARESTO uses the following OAuth permissions:

  • gmail.readonly — read incoming emails to automatically detect new inquiries (leads) and display them in the CRM
  • gmail.send — send invoices, quotes and follow-ups to your clients from your own Gmail address
  • gmail.modify — mark as read and apply a label ("ARESTO/Traité") on processed emails (never delete)
  • userinfo.email and userinfo.profile — identify the connected Google account

Google Limited Use Policy compliance: ARESTO's use and transfer of information received from Google APIs to any other app will adhere to the Google API Services User Data Policy, including the Limited Use requirements. Specifically:

  • We use Gmail data only to provide the user-facing CRM features described above
  • We do not transfer Gmail data to others except as necessary to provide or improve those features, comply with applicable law, or as part of a merger/acquisition (with notice)
  • We do not use Gmail data to serve advertisements
  • We allow no humans to read emails, except: with your explicit consent for support, for security investigations (fraud/abuse), to comply with law, or for limited operations on aggregated/anonymized data
  • We do not use Gmail data to develop, improve, or train generalized/non-personalized AI/ML models

You can revoke Gmail access at any time from Settings → Security → Disconnect Gmail, or via myaccount.google.com/permissions.

5. QuickBooks Data

When you connect QuickBooks Online, ARESTO accesses your accounting data (customers, invoices, tax codes) solely to provide the integration. We store OAuth tokens encrypted. We do not store your full QuickBooks data — only the records you explicitly push from ARESTO to QuickBooks.

Your QuickBooks data is governed by Intuit's Privacy Statement.

6. Storage & Security

Your data is stored on Supabase (PostgreSQL) infrastructure, hosted on Amazon Web Services in the US East (Virginia, USA) region. Security measures:

  • TLS/HTTPS encryption for all communications
  • Row-level security (RLS) — your data is isolated from other users
  • Encrypted storage for OAuth tokens and secrets (pgcrypto)
  • Two-factor authentication (2FA) available, mandatory for admin accounts
  • Daily backups by Supabase

Cross-border transfer: due to AWS US East hosting, your information is processed outside Quebec and Canada. Per Law 25, we have assessed that the protection level offered is adequate (encryption, access controls, AWS SOC 2 compliance).

7. Data Retention

We retain your data for as long as your account is active. If you cancel, you can request a full export within 30 days. After 30 days, your data is permanently deleted, except for legal retention obligations (e.g., 6-year retention of accounting records per Revenu Québec).

8. Your Rights

Per Quebec Law 25, you have the right to:

  • Access — obtain a copy of the information we hold about you
  • Rectification — correct inaccurate or incomplete information
  • Erasure / de-indexation — request deletion of your information
  • Portability — receive your data in a structured format (CSV/JSON)
  • Withdraw consent — disconnect QuickBooks, Gmail or any integration at any time
  • Complaint — file a complaint with the Quebec Access to Information Commission

To exercise these rights, email pascal.boulianne@aresto.app or write to 3745 rue Guy, Terrebonne (Quebec) J6Y 1C1. We respond within 30 days maximum.

9. Third Parties We Share Data With

  • Supabase Inc. (USA) — database and authentication
  • Amazon Web Services (USA) — Supabase hosting infrastructure
  • Stripe Inc. (USA) — payment processing
  • Vercel Inc. (USA) — web app hosting
  • Resend (USA) — transactional email delivery
  • Intuit (QuickBooks) — optional accounting integration
  • Google LLC (Gmail) — optional email integration

Each third party has its own privacy policy governing its practices.

10. Cookies & Local Storage

ARESTO uses three categories of cookies and browser storage:

  • Strictly necessary (always on)localStorage and sessionStorage to maintain your login session, UI preferences (dark mode, language, sidebar state) and onboarding state. The app cannot function without them. No personal information is sent to third parties through these.
  • Usage analytics (opt-in)PostHog and Vercel Web Analytics. Measure pages visited and features used to help us improve the service. Input text and form values are automatically masked. Disabled by default until you accept.
  • Session replay on error (opt-in)Sentry Session Replay records the last ~30 seconds only when an app crash occurs, to help us reproduce and fix the bug. All form fields (passwords, customer info) are masked. Disabled by default.

You can change your preferences anytime from Settings → Security → Manage Cookies, or fully withdraw consent.

Error tracking (legitimate interest): Sentry captures JavaScript exceptions (without Session Replay unless consented). This helps us detect and fix bugs. Sensitive data (tokens, passwords, card numbers) is automatically scrubbed before sending.

No advertising cookies and no cross-site tracking.

11. Privacy Incidents

In compliance with Article 3.5 of Quebec's Law 25, in the event of a privacy incident posing a risk of serious harm (unauthorized access, use or disclosure of your personal information), we commit to:

  • Notifying the Commission d'accès à l'information du Québec with due diligence
  • Personally notifying you by email at the address associated with your account, as quickly as possible
  • Maintaining an incident register as required by Article 3.8 of Law 25
  • Documenting the corrective measures implemented to prevent recurrence

If you suspect a security incident involving your account (e.g., unauthorized login), contact pascal.boulianne@aresto.app immediately.

12. Changes to This Policy

We may update this policy from time to time. For material changes, we will notify you via email or in-app notification at least 30 days before the change takes effect. The "Last updated" date at the top of this page always reflects the current version.

13. Contact Us

For privacy-related questions or to exercise your rights:
Pascal Boulianne, Privacy Officer
ARESTO — 3745 rue Guy, Terrebonne (Quebec) J6Y 1C1, Canada
Email: pascal.boulianne@aresto.app