Politique de confidentialité
Version 2.1 · Dernière mise à jour · 4 mai 2026
La présente Politique de confidentialité explique comment Super Nova Research Inc., qui exerce ses activités sous la marque Draft&Goal (« Draft&Goal », « nous », « notre » ou « nos »), accède aux renseignements personnels, les recueille, les conserve, les utilise, les communique, les transfère et les traite autrement. Draft&Goal est une plateforme logicielle-service B2B qui permet aux organisations de concevoir, déployer et orchestrer des agents IA et des workflows fondés sur l’IA pour le contenu, le marketing, le SEO, l’analyse de la recherche, l’analyse de données et l’automatisation des activités.
Portée
La présente Politique s’applique à notre site https://dng.ai et aux sites connexes qui y renvoient; à notre plateforme logicielle-service, nos applications, intégrations, API et produits connexes (la « Plateforme »); ainsi qu’à nos activités de vente, de marketing, d’événements, d’assistance et autres activités connexes. L’ensemble constitue les « Services ».
Si vous n’acceptez pas la présente Politique, veuillez ne pas utiliser les Services. Pour toute question ou demande relative à la vie privée, écrivez à . La présente version française est disponible à https://dng.ai/fr/legal/privacy-policy/. Pour les résidents du Québec, les versions française et anglaise font également autorité; à l’extérieur du Québec, la version anglaise prévaut, sauf disposition contraire de la loi applicable.
Nos rôles : responsable du traitement et sous-traitant
Lorsque nous agissons comme responsable du traitement, nous déterminons les finalités et les moyens du traitement des renseignements personnels pour des activités comme l’exploitation du site, la gestion des comptes et de la facturation, les communications avec les prospects et les clients, le marketing et les événements, l’assistance, la sécurité des Services et la gestion de l’entreprise. La présente Politique régit ces traitements.
Lorsque nous agissons comme sous-traitant ou fournisseur de services, les clients grands comptes utilisent la Plateforme pour traiter les renseignements personnels de leurs utilisateurs, employés, contacts, clients ou autres tiers (« Données client »), généralement selon leurs instructions documentées. Ce traitement est régi par le contrat client et tout accord de traitement des données applicable (« ATD »). Si vous utilisez un déploiement appartenant à un client, veuillez communiquer directement avec celui-ci.
Résumé des points essentiels
1. Renseignements que nous recueillons
1.1 Renseignements fournis directement
Nous pouvons recueillir les renseignements que vous fournissez lors de votre inscription, de l’utilisation de la Plateforme, d’une demande d’information ou de démonstration, d’une communication, d’un événement ou de toute autre interaction avec nous, notamment : identifiants (nom, nom d’utilisateur, adresse e-mail, téléphone et adresses postale ou de facturation); données de compte (identifiants de connexion, données d’authentification, rôle et préférences de communication); données professionnelles (entreprise, poste, employeur et coordonnées professionnelles); données de facturation; communications (demandes d’assistance, commentaires, e-mails, notes d’appel et sondages); données d’événements; ainsi que Données client, prompts, instructions, configurations de workflow, fichiers téléversés, jeux de données, documents sources et sorties générées.
1.2 Renseignements recueillis automatiquement
Lorsque vous consultez notre site ou utilisez les Services, nous pouvons recueillir automatiquement l’adresse IP, les identifiants d’appareil, le type et la version du navigateur, le système d’exploitation, les paramètres de langue, la localisation approximative déduite de l’adresse IP, les pages d’origine et de sortie, les pages consultées, les fonctionnalités utilisées, les horodatages, l’activité des workflows, les rapports d’erreur, les journaux de diagnostic et les données provenant de témoins ou de technologies similaires.
1.3 Renseignements provenant de tiers
Nous pouvons recevoir des renseignements limités de fournisseurs d’identité et d’authentification unique comme Google et Microsoft; de clients et d’administrateurs d’espaces de travail; de partenaires et de sources de recommandation; de sources publiques; de fournisseurs B2B d’enrichissement de données et de génération de leads; de partenaires d’analytique et de publicité; de fournisseurs de données SEO, de recherche, de marketing et d’enrichissement comme SEMrush et DataForSEO; ainsi que des intégrations tierces que vous ou votre organisation connectez aux Services.
1.4 Données client
Les « Données client » comprennent les données, contenus, prompts, fichiers, instructions, sorties, configurations de workflow, jeux de données et documents connexes transmis, connectés, générés ou traités dans la Plateforme par un client ou pour son compte. Elles peuvent comprendre des renseignements personnels, confidentiels, réglementés ou sensibles selon les choix du client. Les clients doivent disposer de tous les droits, autorisations, avis, consentements et fondements juridiques nécessaires.
1.5 Renseignements personnels sensibles
Nous ne demandons ni n’exigeons intentionnellement de renseignements personnels sensibles pour nos propres finalités. Comme la Plateforme permet de traiter des workflows et des données connectées flexibles, les Données client peuvent contenir des renseignements sensibles si un client choisit de les transmettre ou de les connecter. Les clients ne doivent traiter des renseignements sensibles ou réglementés qu’avec les autorisations et garanties appropriées et conformément au contrat et à l’ATD applicables.
1.6 Données de paiement
Draft&Goal fournit principalement ses services au moyen de contrats commerciaux et de factures. Nous pouvons également utiliser Stripe ou d’autres prestataires de paiement. Lorsque Stripe est utilisé, les données de carte et les codes de sécurité sont recueillis et conservés par Stripe, non par Draft&Goal. Nous recevons des renseignements limités sur les paiements et les transactions afin de gérer la facturation, les abonnements, les factures et la comptabilité.
2. Utilisation des renseignements personnels
Nous les utilisons pour fournir et exploiter les Services : créer et gérer les comptes, authentifier les utilisateurs, configurer les espaces de travail, fournir les accès, exploiter les agents IA et les workflows, connecter les intégrations, traiter les entrées et sorties, fournir l’assistance, gérer la facturation et livrer les fonctionnalités demandées.
Nous les utilisons pour fournir les fonctionnalités d’IA au moyen des prompts, instructions, fichiers téléversés, données connectées, configurations de workflow, Données client, sorties générées et métadonnées connexes nécessaires à l’automatisation, la génération de contenu, la génération augmentée par récupération, la classification, le routage, l’extraction, la synthèse, l’enrichissement, la génération d’images et la production d’analyses.
Nous les utilisons pour fournir les fonctionnalités SEO, d’analyse de la recherche et de marketing en traitant notamment les domaines, URL, mots-clés, requêtes et données de performance, classements, métadonnées de pages, données de campagne et de concurrence et données de workflow connexes.
Nous les utilisons également pour communiquer avec vous; améliorer, maintenir et sécuriser les Services; réaliser des activités de marketing, d’analytique et de publicité lorsque la loi le permet et sous réserve du consentement requis; et répondre à des finalités juridiques ou commerciales, notamment lors d’opérations sur l’entreprise.
3. Fondements juridiques du traitement
Lorsque la loi applicable exige un fondement juridique, notamment le RGPD, le RGPD britannique ou la LPD suisse, nous nous appuyons sur un ou plusieurs des fondements suivants :
| Finalité | Fondement juridique |
|---|---|
| Création et administration des comptes | Exécution d’un contrat; intérêts légitimes |
| Fourniture des Services et fonctionnalités demandées | Exécution d’un contrat; intérêts légitimes |
| Traitement des Données client | Instructions du client; exécution d’un contrat; obligations du sous-traitant |
| Fonctionnalités fondées sur l’IA | Exécution d’un contrat; intérêts légitimes; consentement lorsqu’il est requis |
| Facturation et paiements | Exécution d’un contrat; obligations légales |
| Sécurité, prévention de la fraude et surveillance des abus | Intérêts légitimes; obligations légales |
| Amélioration du produit et analytique | Intérêts légitimes; consentement lorsqu’il est requis |
| Communications marketing | Consentement ou intérêts légitimes selon le contexte |
| Témoins et publicité ciblée | Consentement lorsqu’il est requis; intérêts légitimes lorsque la loi le permet |
| Conformité juridique et réclamations | Obligations légales; intérêts légitimes |
Lorsque nous invoquons nos intérêts légitimes, nous avons évalué qu’ils ne sont pas supplantés par les droits et libertés des personnes concernées. Vous pouvez retirer votre consentement à tout moment, sans incidence sur les traitements antérieurs. Au Canada et au Québec, nous nous fondons sur un consentement exprès ou implicite, ou sur une exception prévue par la loi.
5. Sous-traitants
Nous faisons appel à des sous-traitants pour fournir les Services. Ils ne peuvent traiter les renseignements personnels que dans la mesure nécessaire à leurs services et sont soumis à des engagements contractuels de protection des données. Lorsque cela s’applique, les clients peuvent être avisés de nouveaux sous-traitants et s’y opposer conformément à l’ATD ou au contrat client. La liste à jour est disponible à https://trustcenter.dng.ai ou sur demande.
6. Transferts internationaux de données
Établis au Canada, nous pouvons traiter des renseignements personnels au Canada, aux États-Unis, dans l’EEE, au Royaume-Uni, en Suisse et dans les autres territoires où nous-mêmes, nos sociétés affiliées, nos fournisseurs ou nos sous-traitants exerçons nos activités. Lorsqu’un transfert vise un territoire ne présentant pas un niveau de protection adéquat, nous employons les garanties requises, notamment des accords de traitement, des clauses contractuelles types, l’Addendum britannique sur les transferts internationaux, des décisions d’adéquation, des évaluations d’incidence et des mesures complémentaires. Lorsque la loi québécoise s’applique, nous évaluons les facteurs liés à la vie privée avant toute communication hors Québec.
8. Produits d’IA et fournisseurs de services d’IA
La Plateforme permet de concevoir, déployer et exploiter des agents IA et des workflows fondés sur l’IA. Cela peut nécessiter le traitement des entrées, prompts, instructions, fichiers téléversés, données connectées, Données client, configurations de workflow et sorties générées par des modèles et infrastructures d’IA.
Selon la configuration, les entrées et sorties peuvent être traitées par Anthropic, OpenAI, Google Cloud AI (Gemini et Vertex AI), Microsoft Azure AI (Azure OpenAI Service), Amazon Web Services (Bedrock), Mistral AI et d’autres fournisseurs d’infrastructures, de modèles ou d’orchestration d’IA.
Engagements relatifs à l’entraînement. Nous n’utilisons pas les Données client pour entraîner des modèles publics ou généralistes et exigeons de nos fournisseurs qu’ils n’utilisent pas les entrées et sorties des clients à cette fin, sauf autorisation expresse. Lorsqu’elles sont disponibles, nous employons des configurations API d’entreprise, des clauses contractuelles de protection et des paramètres de conservation nulle ou limitée.
Limites des sorties d’IA. Les sorties peuvent être inexactes, incomplètes, biaisées, obsolètes ou trompeuses et ne remplacent pas un avis professionnel. Les clients et utilisateurs doivent les examiner et les valider. Nous exploitons un système de gestion de l’IA aligné sur ISO/IEC 42001:2023 et réalisons des analyses d’impact lorsque le traitement présente vraisemblablement un risque élevé. Signalez toute préoccupation à .
9. Données utilisateur des API Google et utilisation limitée
Si vous autorisez Draft&Goal à accéder aux API Google, nous utilisons les données utilisateur Google uniquement pour fournir, maintenir, sécuriser et dépanner les fonctionnalités connectées demandées. Notre utilisation et notre transfert respectent la Politique relative aux données utilisateur des services API Google, y compris ses exigences d’utilisation limitée.
| Service Google | Données consultées | Finalité |
|---|---|---|
| Google Drive | Métadonnées, fichiers sélectionnés, dossiers, contenu et autorisations | Récupérer, analyser, transformer, générer ou gérer du contenu et des workflows. |
| Gmail | Métadonnées et contenu des messages, destinataires, expéditeurs, libellés et pièces jointes autorisées | Fournir les fonctions demandées de rédaction, synthèse, classification et routage. |
| Google Calendar | Titres, descriptions, horaires, participants, lieux et métadonnées | Prendre en charge la planification, les rappels et fonctions de calendrier. |
| Google Contacts | Noms, e-mails, organisations, téléphones et métadonnées | Aider à sélectionner des contacts et automatiser les workflows connexes. |
| Google Search Console | Propriétés, requêtes, pages, impressions, clics, CTR et position | Analyser les performances de recherche et produire des fonctions SEO et des rapports. |
| BigQuery | Jeux de données, tables, schémas, métadonnées et résultats de requêtes | Analyser les données autorisées et prendre en charge les rapports et l’automatisation. |
Les données utilisateur Google ne seront ni vendues, ni utilisées à des fins publicitaires ou marketing, ni utilisées pour déterminer la solvabilité ou entraîner des modèles d’IA publics ou généralistes. Elles ne seront transférées que pour fournir les fonctionnalités demandées ou respecter la loi. Aucun accès humain n’est permis, sauf autorisation expresse, enquête de sécurité ou d’abus, obligation légale, assistance demandée ou données agrégées et anonymisées. Vous pouvez révoquer l’accès à https://myaccount.google.com/permissions ou demander la suppression à .
10. Authentification par un tiers
Les Services peuvent permettre l’inscription ou la connexion avec Google ou Microsoft. Selon vos paramètres et les autorisations accordées, nous pouvons recevoir votre nom, adresse e-mail, profil et jetons d’authentification. Nous les utilisons pour authentifier les utilisateurs, sécuriser les comptes, fournir les Services et administrer les espaces de travail. Nous ne contrôlons pas le traitement effectué par les fournisseurs d’identité.
11. Conservation des données
Nous ne conservons les renseignements personnels que pendant la durée raisonnablement nécessaire à la fourniture des Services, aux finalités décrites, au respect de nos obligations légales, fiscales, comptables, de sécurité et contractuelles, au règlement des différends et à la tenue de dossiers commerciaux.
| Catégorie | Durée de conservation |
|---|---|
| Données de compte et d’espace de travail | Durée du compte, puis 90 jours après sa suppression, sous réserve d’une conservation légale |
| Données client | Suppression dans les 30 jours suivant l’instruction du client ou la fin du contrat, sous réserve du cycle de sauvegarde |
| Jetons d’authentification | Jusqu’à leur révocation ou la déconnexion de l’intégration |
| Dossiers de facturation et fiscaux | 7 ans après la transaction |
| Demandes d’assistance et correspondance | 3 ans après la dernière interaction |
| Coordonnées marketing | Jusqu’au retrait du consentement ou après 24 mois d’inactivité, selon la première éventualité |
| Données analytiques et de témoins | Jusqu’à 14 mois ou selon la bannière de consentement |
| Journaux de sécurité, d’audit et d’accès | 12 mois, ou plus si une enquête ou une obligation légale l’exige |
12. Sécurité et incidents
Nous maintenons des mesures techniques et organisationnelles destinées à protéger les renseignements personnels, notamment le chiffrement en transit et au repos, les contrôles d’accès fondés sur les rôles, l’authentification multifacteur, le principe du moindre privilège, la journalisation et la surveillance, la gestion des vulnérabilités, le développement sécurisé, l’évaluation des fournisseurs, les obligations de confidentialité, la formation, l’intervention en cas d’incident et la séparation logique des environnements clients. Aucune méthode de transmission ou de stockage n’est totalement sûre.
Si nous découvrons un incident touchant des renseignements personnels, nous enquêterons, en limiterons les effets, le documenterons et aviserons les clients, personnes, autorités ou autres parties concernées lorsque la loi ou le contrat l’exige. Comme sous-traitant, nous aviserons les clients conformément à l’ATD applicable.
13. Protection des renseignements personnels des enfants
Les Services sont destinés aux professionnels et non aux personnes de moins de 18 ans. Nous ne recueillons pas sciemment leurs renseignements personnels, notamment ceux d’enfants de moins de 13 ans au sens de la COPPA. Si nous découvrons une telle collecte, nous prendrons des mesures raisonnables pour supprimer les renseignements. Écrivez à .
14. Droits relatifs à la vie privée
Selon votre lieu et la loi applicable, vous pouvez disposer de droits d’accès, de copie, de correction, de suppression, de limitation ou d’opposition au traitement, de retrait du consentement et de portabilité, ainsi que de droits de refus du marketing ou de certains usages publicitaires, ventes, partages ou profilages, de limitation de certains usages sensibles, d’appel d’un refus et de plainte auprès d’une autorité. Pour les exercer, écrivez à ; nous pourrons devoir vérifier votre identité.
EEE, Royaume-Uni et Suisse — droits d’accès, de rectification, d’effacement, de limitation, d’opposition, de retrait du consentement, de portabilité et de plainte auprès de l’autorité locale. Notre représentant dans l’Union européenne est indiqué ci-dessous.
Résidents du Québec — droits d’être informé des finalités, d’accéder, de corriger, de retirer le consentement, de demander la désindexation, de recevoir les données dans un format structuré et d’être informé des décisions automatisées. Le responsable de la protection des renseignements personnels est Vincent Terrasi (). Vous pouvez déposer une plainte auprès de la Commission d’accès à l’information du Québec.
États-Unis — selon l’État, droits de connaître ou confirmer, d’accéder, de corriger, de supprimer, d’obtenir une copie portable, de refuser la publicité ciblée, la vente ou le partage et certains profilages, de limiter certains usages sensibles et de faire appel. Nous ne vendons ni ne partageons de renseignements personnels contre une contrepartie monétaire ou de valeur et ne pratiquons pas de « publicité ciblée » ou de « publicité comportementale intercontextuelle » au sens des lois des États américains.
15. Communications marketing et LCAP
Nous n’envoyons des communications marketing que lorsque la loi le permet, notamment conformément à la Loi canadienne anti-pourriel, au RGPD et aux règles ePrivacy, ainsi qu’à la loi CAN-SPAM. Les e-mails indiquent notre identité, nos coordonnées et un mécanisme de désabonnement fonctionnel. Le désabonnement ne met pas fin aux communications liées aux Services, aux transactions, à la facturation, à la sécurité, au droit ou à l’administration.
16. Modifications et renseignements dépersonnalisés
Nous pouvons créer des renseignements agrégés, anonymisés ou dépersonnalisés et les utiliser pour l’analytique, la sécurité, la recherche, les rapports et l’amélioration du produit, à condition qu’ils ne permettent pas raisonnablement d’identifier une personne ou un client. Nous n’utilisons ni les données utilisateur Google ni les Données client pour entraîner des modèles d’IA publics ou généralistes.
Nous pouvons mettre à jour la présente Politique. La date de « Dernière mise à jour » indique la version en vigueur. En cas de modification importante, nous pouvons publier un avis, envoyer une notification directe ou demander un nouveau consentement lorsque cela est requis.
17. Nous joindre
Super Nova Research Inc., faisant affaire sous le nom Draft&Goal — 6795 rue Marconi, bureau 200, Montréal (Québec) H2S 3J9, Canada. Responsable de la protection des renseignements personnels : Vincent Terrasi — .
Représentant dans l’Union européenne (article 27 du RGPD) : Super Nova Research Inc. — Représentant UE, Station F, 5 Parvis Alan Turing, 75013 Paris, France.
- Liste des sous-traitants : https://trustcenter.dng.ai
- Accord de traitement des données : https://dng.ai/dpa
- Politique relative aux témoins : https://dng.ai/cookie-policy/
- Conditions d’utilisation : https://dng.ai/terms-conditions/
- Version française : https://dng.ai/fr/legal/privacy-policy/