Entente de traitement des données

Dernière mise à jour: 1er mai 2026

1. Introduction et champ d'application

La présente Entente de traitement des données (ci-après « ETD » ou « DPA ») constitue un addendum aux Conditions d'utilisation de Meo (les « Conditions ») conclues entre 9553-6785 Québec Inc., société constituée en vertu des lois du Québec, exploitant le logiciel de gestion documentaire Meo (ci-après « Meo », « nous » ou le « Mandataire ») et l'entité ayant accepté les Conditions (ci-après le « Client » ou le « Mandant »).

La présente ETD s'applique lorsque Meo traite des Renseignements personnels pour le compte du Client dans le cadre de la fourniture des Services. Elle a pour objet d'assurer que ce traitement est conforme à la Loi sur la protection des renseignements personnels dans le secteur privé (chapitre P-39.1), telle que modifiée par la Loi 25 (SQ 2021, c. 25), et qu'il respecte les droits des personnes concernées.

En cas de conflit entre la présente ETD et les Conditions, la présente ETD prévaut en ce qui concerne le traitement des Renseignements personnels.

2. Définitions

« CAI »

La Commission d'accès à l'information du Québec, l'organisme provincial responsable de la protection des renseignements personnels.

« Données Client »

L'ensemble des données, y compris les Renseignements personnels, soumises, stockées, envoyées ou reçues par le Client, ses utilisateurs autorisés ou ses collaborateurs externes dans le cadre de l'utilisation des Services.

« Incident de confidentialité »

Tout accès, toute utilisation ou toute communication non autorisé(e) d'un Renseignement personnel, de même que toute perte de Renseignement personnel ou toute autre atteinte à la protection d'un tel renseignement, au sens des articles 3.5 à 3.8 de P-39.1.

« Loi applicable »

La Loi sur la protection des renseignements personnels dans le secteur privé (chapitre P-39.1), la Loi 25 (SQ 2021, c. 25), le Code civil du Québec, et toute autre loi ou règlement applicable en matière de protection des renseignements personnels au Québec et au Canada.

« Renseignement personnel »

Tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l'identifier, au sens de l'article 2 de P-39.1.

« Responsable »

Le responsable de la protection des renseignements personnels désigné conformément à l'article 3.1 de P-39.1.

« Services »

Le logiciel de gestion documentaire Meo, y compris le portail client, les fonctionnalités de collecte de documents, le stockage sécurisé, et tout service connexe fourni en vertu des Conditions.

« Sous-traitant ultérieur »

Tout tiers autorisé par Meo à traiter des Données Client pour le compte du Client dans le cadre de la fourniture des Services.

3. Rôles des parties

Dans le cadre de la présente ETD, les parties reconnaissent que :

a)

Le Client agit à titre de personne exploitant une entreprise qui recueille et détient des Renseignements personnels sur ses propres clients et employés (ci-après le « Mandant » au sens du droit civil québécois).

b)

Meo agit à titre de mandataire ou d'exécutant d'un contrat de service au sens de l'article 18.3 de P-39.1, traitant les Données Client uniquement pour le compte du Client et selon ses instructions.

c)

La présente ETD constitue le mandat écrit exigé par l'article 18.3, alinéa 2, paragraphe 1° de P-39.1.

4. Description du traitement

4.1 Objet et finalité — Meo traite les Données Client uniquement aux fins suivantes : stockage sécurisé de documents, gestion des demandes de documents et des portails clients, chiffrement, sauvegarde, journalisation des accès, et toute fonctionnalité inhérente aux Services tels que décrits dans les Conditions.

4.2 Catégories de personnes concernées — Les personnes dont les Renseignements personnels peuvent être traités comprennent :

  • Les clients du Client
  • Les employés du Client
  • Les collaborateurs externes du Client
  • Toute personne physique dont les renseignements apparaissent dans les documents téléversés dans Meo

4.3 Types de renseignements personnels — Les types de renseignements pouvant être traités incluent, sans s'y limiter :

  • Noms, adresses, numéros de téléphone, adresses courriel
  • Numéros d'identification
  • Renseignements financiers et fiscaux
  • Tout autre renseignement personnel contenu dans les documents téléversés par le Client

4.4 Durée du traitement — Le traitement débute à la date d'activation du compte du Client et se termine conformément à la section 12 de la présente ETD.

5. Obligations de Meo (article 18.3 de P-39.1)

Conformément à l'article 18.3 de P-39.1, Meo s'engage aux obligations suivantes :

5.1 Limitation de la finalité — Meo traite les Données Client exclusivement dans le cadre de l'exécution du présent contrat de service et pour la fourniture des Services.

Meo s'interdit expressément d'utiliser les Données Client à des fins de :

  • Publicité, profilage ou marketing
  • Entraînement de modèles d'intelligence artificielle
  • Analyse de données agrégées ou désagrégées à des fins commerciales
  • Toute autre finalité non expressément prévue aux Conditions ou à la présente ETD

5.2 Mesures de protection de la confidentialité — Conformément à l'article 18.3, alinéa 2, paragraphe 2° de P-39.1, Meo met en oeuvre et maintient les mesures techniques et organisationnelles suivantes :

Chiffrement

  • En transit : TLS 1.3 pour toutes les communications
  • Au repos : AES-256 pour toutes les Données Client

Contrôle d'accès

  • Principe du moindre privilège
  • Authentification multifacteur obligatoire en production
  • Aucun accès au contenu des documents sauf sur demande expresse

Hébergement et localisation

  • Données stockées exclusivement au Québec (AWS ca-central-1, Montréal)
  • Aucun document stocké hors du Canada

Intégrité documentaire

  • Empreinte SHA-256 au téléversement
  • Journal d'audit complet de chaque action

5.2.5 Sécurité organisationnelle — Tout le personnel de Meo est lié par des obligations contractuelles de confidentialité. Meo est en processus de conformité SOC 2 Type 2. Un pare-feu applicatif (WAF) Cloudflare est en place pour la protection contre les menaces.

5.3 Confidentialité du personnel — Meo s'assure que toute personne autorisée à traiter les Données Client est soumise à une obligation contractuelle de confidentialité et a reçu une formation adéquate en matière de protection des renseignements personnels.

5.4 Vie privée par défaut (article 9.1)

Conformément à l'article 9.1 de P-39.1, les paramètres de confidentialité des Services sont réglés par défaut au niveau le plus élevé de protection, sans intervention requise du Client.

6. Notification des incidents de confidentialité

Conformément à l'article 18.3, alinéa 2, paragraphe 2° de P-39.1, Meo s'engage à aviser sans délai le Responsable de la protection des renseignements personnels du Client de toute violation ou tentative de violation des obligations relatives à la confidentialité des Données Client.

6.1 Contenu de la notification — La notification comprendra, dans la mesure où l'information est disponible :

  • La nature de l'Incident de confidentialité
  • Les catégories et le nombre approximatif de personnes concernées
  • Une description des Renseignements personnels visés
  • Une évaluation du risque de préjudice pour les personnes concernées
  • Les mesures prises ou envisagées pour atténuer les conséquences

6.2 Coopération — Meo fournira une coopération raisonnable au Client pour lui permettre de respecter ses propres obligations de notification envers la CAI et les personnes concernées (articles 3.5 à 3.8 de P-39.1).

6.3 Registre des incidents — Meo maintient un registre des incidents de confidentialité conformément à l'article 3.8 de P-39.1, conservé pendant une période minimale de cinq (5) ans.

7. Droit de vérification

Conformément à l'article 18.3, alinéa 2, paragraphe 2° de P-39.1, Meo permet au Responsable du Client d'effectuer toute vérification relative au respect des obligations de confidentialité prévues à la présente ETD.

7.1 Modalités

  • Le Client peut demander, une (1) fois par période de douze (12) mois, une vérification de la conformité de Meo aux obligations de la présente ETD.
  • La demande doit être formulée par écrit avec un préavis raisonnable d'au moins trente (30) jours.
  • La vérification peut prendre la forme d'un questionnaire écrit, d'une revue documentaire, ou d'un audit mené par un tiers indépendant choisi d'un commun accord.
  • Meo mettra à la disposition du Client les rapports de conformité SOC 2 (lorsque disponibles), les rapports de tests d'intrusion, et toute autre documentation pertinente.

7.2 Confidentialité des résultats — Les résultats de toute vérification sont traités comme des renseignements confidentiels de Meo et ne peuvent être divulgués à des tiers sans le consentement écrit de Meo, sauf si la loi l'exige.

8. Sous-traitants ultérieurs

8.1 Autorisation générale — Le Client autorise Meo à faire appel aux Sous-traitants ultérieurs énumérés ci-dessous pour la fourniture des Services.

8.2 Obligations de Meo envers ses sous-traitants — Avant de confier le traitement de Données Client à un Sous-traitant ultérieur, Meo s'assure que :

  • Un contrat écrit imposant des obligations de protection au moins équivalentes est conclu
  • Le niveau de protection offert est équivalent ou supérieur à celui exigé par la Loi applicable
  • Meo demeure pleinement responsable envers le Client des actes et omissions de ses Sous-traitants ultérieurs

8.3 Avis de changement — Meo informera le Client par courriel au moins trente (30) jours avant d'autoriser un nouveau Sous-traitant ultérieur à traiter des Données Client. Le Client peut s'opposer par écrit dans ce délai. En cas d'opposition raisonnable non résolue, le Client peut résilier les Services affectés.

8.4 Liste des sous-traitants actuels

Sous-traitant Emplacement Fonction Données traitées
AWS (ca-central-1) Montréal, QC Hébergement et stockage Documents, données de compte, métadonnées
Supabase Montréal, QC Base de données et auth. Données de compte, authentification, fichiers
Stripe États-Unis Paiements Données de facturation (non stockées chez Meo)
Postmark États-Unis Courriels transactionnels Nom, courriel, contenu des notifications
Cloudflare Mondial (transit) Sécurité et CDN Données en transit uniquement (TLS 1.3)

Pour la liste à jour de nos sous-traitants, consultez notre politique de confidentialité.

9. Transferts hors du Québec (article 17 de P-39.1)

Les documents et données de compte du Client sont stockés exclusivement au Québec. Aucun document n'est stocké hors du Canada.

Certains Sous-traitants ultérieurs (Stripe, Postmark) peuvent traiter des Renseignements personnels limités aux États-Unis. Pour ces transferts :

  • Des ententes de traitement de données sont en place avec chaque Sous-traitant ultérieur
  • Le niveau de protection est équivalent ou supérieur à celui exigé par la Loi applicable
  • Meo fournit au Client les informations nécessaires pour réaliser l'évaluation des facteurs relatifs à la vie privée (EFVP) exigée par l'article 17 de P-39.1

Meo met à disposition, sur demande, la documentation détaillée de ses mesures de sécurité et de celles de ses Sous-traitants ultérieurs afin de faciliter la réalisation de l'EFVP du Client.

10. Droits des personnes concernées

Meo assistera le Client, dans la mesure du possible et compte tenu de la nature du traitement, pour lui permettre de répondre aux demandes des personnes concernées exerçant leurs droits en vertu de la Loi applicable :

Droit Comment Meo y répond
Droit d'accès Export des données du client en un clic depuis le tableau de bord
Droit de rectification Outils d'édition et de mise à jour des données
Droit à l'effacement Anonymisation en un clic, suppression définitive
Droit à la portabilité (art. 27) Export en formats structurés : CSV, JSON, XML
Droit de désindexation (art. 28.1) Meo ne publie ni n'indexe les Données Client

Le Client demeure responsable de la réponse aux demandes des personnes concernées dans le délai de trente (30) jours prévu par la Loi applicable.

11. Coopération en matière d'EFVP (article 3.3)

Meo coopère avec le Client pour la réalisation des évaluations des facteurs relatifs à la vie privée (EFVP) requises par l'article 3.3 de P-39.1, en fournissant :

  • La documentation technique de sécurité relative aux Services
  • Les informations sur l'emplacement du traitement et les Sous-traitants ultérieurs
  • Les rapports de conformité et d'audit disponibles (SOC 2, tests d'intrusion)
  • Toute autre information raisonnablement nécessaire

12. Restitution et destruction des données

Conformément à l'article 18.3, alinéa 2, paragraphe 2° de P-39.1, Meo ne conservera pas les Données Client après l'expiration ou la résiliation des Conditions.

12.1 Période de récupération

Pendant une période de trente (30) jours suivant la fin du contrat, le Client peut télécharger l'ensemble de ses Données Client depuis son tableau de bord.

12.2 Destruction

Passé le délai de récupération :

  • Les Données Client en production seront supprimées dans un délai de soixante (60) jours
  • Les copies de sauvegarde seront purgées dans un délai de quatre-vingt-dix (90) jours
  • Meo fournira, sur demande, une confirmation écrite de la destruction

12.3 Exceptions

Meo peut conserver des Renseignements personnels au-delà des délais ci-dessus uniquement dans la mesure où la Loi applicable l'exige (par exemple, documents de facturation aux fins fiscales).

13. Obligations du Client

Le Client s'engage à :

  • Désigner un Responsable de la protection des renseignements personnels conformément à l'article 3.1 de P-39.1 et en communiquer les coordonnées à Meo
  • S'assurer que les Renseignements personnels transmis à Meo ont été collectés conformément à la Loi applicable, y compris l'obtention des consentements nécessaires
  • Réaliser les évaluations des facteurs relatifs à la vie privée (EFVP) requises par la Loi applicable, notamment en cas de transfert hors du Québec (article 17 de P-39.1)
  • Répondre aux demandes des personnes concernées dans les délais prescrits par la Loi applicable

14. Responsabilité

La responsabilité de chaque partie en vertu de la présente ETD est soumise aux limitations et exclusions de responsabilité prévues aux Conditions, sauf disposition contraire de la Loi applicable.

Meo demeure responsable des actes et omissions de ses Sous-traitants ultérieurs dans le cadre du traitement des Données Client.

15. Durée et résiliation

La présente ETD entre en vigueur à la date d'acceptation des Conditions par le Client et demeure en vigueur tant que Meo traite des Données Client pour le compte du Client.

Les dispositions relatives à la confidentialité, à la destruction des données et à la responsabilité survivent à la résiliation.

16. Modifications

Meo peut modifier la présente ETD pour refléter des changements législatifs, réglementaires ou opérationnels. En cas de modification substantielle, Meo en informera le Client par courriel au moins trente (30) jours avant l'entrée en vigueur.

Si le Client n'accepte pas la modification, il peut résilier les Services avant la date d'entrée en vigueur de la modification.

17. Droit applicable et juridiction

La présente ETD est régie par les lois du Québec et les lois du Canada qui y sont applicables. Tout litige sera soumis à la compétence exclusive des tribunaux du district judiciaire de Québec.

18. Contact

Pour toute question relative à la présente ETD ou à la protection des Données Client :

Olivier Beaulieu

Responsable de la protection des renseignements personnels

conformite@documeo.ca

1779 rue Careau, Québec, Canada, G1M 0C9

Version 1.0 — 1er mai 2026

Prochaine révision prévue : 1er mai 2027