Aller au contenu
FR EN
Connexion Réserver ma démo
Légal

Politique de confidentialité

Dernière mise à jour : 21 juin 2026

Cette politique de confidentialité explique comment Kipo traite les renseignements personnels dans le cadre de son service de collecte d'avis clients et de gestion de l'e-réputation. Elle s'applique au Québec et au Canada (Loi sur la protection des renseignements personnels dans le secteur privé, modifiée par la Loi 25) comme en France et dans l'Union européenne (RGPD). Elle décrit qui est responsable des données, quelles données sont concernées, pourquoi et sur quelle base nous les utilisons, avec qui nous les partageons, combien de temps nous les conservons, comment nous les protégeons, et quels sont vos droits.

L'essentiel

  • Kipo joue deux rôles distincts : responsable du traitement pour les données de ses abonnés (les entreprises clientes), et simple sous-traitant pour les données des clients finaux que les entreprises clientes lui confient.
  • Les coordonnées de vos clients (nom, courriel, téléphone) ne servent qu'à envoyer, au nom de l'entreprise cliente, une demande d'avis. Kipo ne les vend jamais, ne les partage pas avec d'autres entreprises clientes et ne les utilise pas pour son propre marketing.
  • Chaque message identifie l'entreprise cliente et propose un moyen simple et gratuit de se désabonner. Tout refus est respecté sans délai (au plus tard 10 jours ouvrables au Canada).
  • Kipo ne filtre pas qui est invité à donner un avis : tous les clients sollicités le sont de la même façon (pas de review-gating).
  • Vous disposez de droits sur vos renseignements : accès, rectification, effacement, opposition, limitation, portabilité, retrait du consentement, et au Québec la cessation de diffusion et la désindexation.
  • Certaines données peuvent être hébergées hors du Québec ou de l'UE ; des garanties contractuelles et une évaluation préalable encadrent ces transferts.
  • Pour toute question ou pour exercer vos droits, écrivez au responsable de la protection des renseignements personnels à [adresse courriel à compléter].

Sommaire

1. Qui sommes-nous et à quel titre

Kipo est une plateforme en ligne (SaaS) qui aide les petites entreprises de services locales à recueillir des avis clients et à gérer leur réputation. Après une visite, Kipo envoie automatiquement, au nom de l'entreprise cliente, une demande d'avis par SMS ou courriel. Tous les clients sollicités sont invités de la même manière.

Responsable : [Raison sociale], [forme juridique], siège au [adresse complète], immatriculée sous le [NEQ / RCS ou SIREN]. Hébergeur du site : [nom, adresse et pays]. Courriel : [courriel]. Téléphone : [numéro].

Kipo intervient à deux titres distincts selon les données, ce qui détermine vos interlocuteurs, vos droits et la loi applicable :

  • RESPONSABLE du traitement (RGPD) / personne qui décide des fins (Loi 25) pour les données de ses entreprises clientes abonnées : compte, facturation, support, statistiques, prospection.
  • SOUS-TRAITANT (RGPD) / mandataire (Loi 25) pour les données des CLIENTS FINAUX que l'entreprise cliente confie à Kipo. L'entreprise cliente est alors responsable ; Kipo agit sur ses instructions documentées et ne réutilise jamais ces données à ses fins.

2. Responsable de la protection des renseignements personnels et DPO

Au Québec, la Loi 25 impose de désigner une personne responsable de la protection des renseignements personnels. En France et dans l'UE, le RGPD peut imposer un délégué à la protection des données (DPO). Kipo a confié ces fonctions à la même personne de contact, que vous pouvez joindre pour toute question ou pour exercer vos droits :

  • Nom / fonction : [nom et titre à compléter]
  • Courriel : [courriel dédié, ex. vieprivee@kipo.app]
  • Adresse postale : [adresse]

Si vous êtes un client final et que votre demande porte sur l'utilisation de vos coordonnées (ne plus recevoir de demandes, corriger un numéro), adressez-vous soit à l'entreprise cliente concernée (responsable du traitement), soit à Kipo, qui transmettra votre demande à l'entreprise cliente et l'assistera.

3. Quelles données nous traitons

Nous traitons deux catégories de renseignements, selon que vous êtes une entreprise cliente abonnée (ou prospect) ou un client final. Nous ne collectons que les données nécessaires aux finalités décrites plus bas.

  • Données des entreprises clientes abonnées et prospects (Kipo responsable) : nom du contact, raison sociale, adresse, courriel, téléphone, identifiants et données de connexion, données de facturation [prestataire de paiement à préciser ; Kipo ne stocke pas le numéro de carte complet], historique d'abonnement, échanges support, données d'usage (connexions, campagnes, statistiques).
  • Données des clients finaux (Kipo sous-traitant) : nom, courriel, numéro de mobile, et selon le paramétrage la date ou la nature de la prestation, le statut d'envoi et de désabonnement. Fournies par l'entreprise cliente ; Kipo ne les collecte pas directement.
  • Données techniques de navigation : adresse IP, navigateur, appareil, pages consultées, via cookies et traceurs (voir section dédiée).

Kipo n'a pas vocation à traiter de renseignements sensibles (santé, origine, opinions, données biométriques). Merci de ne pas en transmettre via la plateforme. Le contenu libre d'un avis relève de son auteur et de l'entreprise cliente.

4. Pourquoi nous traitons ces données (finalités et bases)

Le RGPD exige une base légale pour chaque traitement ; la Loi 25 exige une fin sérieuse et légitime déterminée avant la collecte. Pour les données des clients finaux, c'est l'entreprise cliente responsable qui détermine la finalité et la base ; Kipo agit pour son compte.

  • Fournir et gérer le compte de l'entreprise cliente : exécution du contrat (RGPD art. 6.1.b) ; nécessaire au contrat (Loi 25).
  • Facturer l'abonnement et tenir la comptabilité : exécution du contrat et obligations légales (RGPD art. 6.1.b et c).
  • Envoyer, au nom de l'entreprise cliente, les demandes d'avis par SMS et courriel : traitement réalisé pour le compte de l'entreprise cliente, qui en est responsable et détermine la base (intérêt légitime, consentement ou relation d'affaires au sens de la LCAP).
  • Améliorer et sécuriser le service, prévenir la fraude, produire des statistiques (anonymisées) : intérêt légitime (RGPD art. 6.1.f) ; fin légitime (Loi 25).
  • Répondre à vos demandes et respecter nos obligations légales.
  • Adresser nos communications commerciales aux entreprises clientes : consentement ou relation d'affaires existante (LCAP, ePrivacy, CNIL). Vous pouvez vous y opposer à tout moment.

5. Décisions automatisées et profilage

Kipo n'utilise pas vos renseignements pour prendre des décisions produisant des effets juridiques ou vous affectant de manière significative de façon entièrement automatisée.

Le déclenchement automatique de l'envoi d'une demande d'avis après une prestation est un simple automatisme paramétré par l'entreprise cliente ; il ne constitue pas une décision individuelle automatisée et n'établit pas de profil. Toute évolution serait signalée dans cette politique.

6. Demandes d'avis par SMS et courriel : nos engagements

L'envoi de messages commerciaux est strictement encadré : au Canada par la LCAP / CASL et les exigences opérateurs A2P / 10DLC pour les SMS ; en France et dans l'UE par la directive ePrivacy et la CNIL. Kipo conçoit son service pour aider les entreprises clientes à respecter ces règles, mais l'obtention du consentement des clients finaux relève de l'entreprise cliente responsable.

Pour chaque demande envoyée pour le compte d'une entreprise cliente, Kipo veille à ce que le message :

  • identifie clairement l'entreprise cliente et permette de la contacter facilement ;
  • contienne un mécanisme simple et gratuit de désabonnement (STOP par SMS, lien par courriel), fonctionnel au moins 60 jours (LCAP) ;
  • cesse d'être envoyé après une demande de désabonnement, au plus tard sous 10 jours ouvrables (LCAP).

Kipo ne pratique pas le filtrage des avis (review-gating) : tous les clients sollicités sont invités de la même façon. La séparation canal public / canal privé intervient seulement après la réponse du client et respecte les règles des plateformes d'avis (dont Google).

7. Avec qui nous partageons les données

Nous ne vendons ni ne louons vos renseignements. Nous les communiquons uniquement aux prestataires qui en ont besoin, encadrés par contrat (article 28 du RGPD ; entente écrite Loi 25). Catégories de destinataires :

  • Le personnel habilité de Kipo, tenu à la confidentialité.
  • Pour les données d'un client final : uniquement l'entreprise cliente responsable qui les a confiées. Jamais d'autres entreprises clientes ni de tiers à des fins propres.
  • Nos fournisseurs techniques (sous-traitants ultérieurs) : hébergeur [à compléter], plateforme SMS [à compléter, A2P/10DLC], plateforme courriel [à compléter], prestataire de paiement [à compléter], outils d'analyse et de support [à compléter].
  • Les plateformes d'avis publiques (ex. Google) vers lesquelles le client choisit lui-même de publier.
  • Les autorités, lorsque la loi l'oblige.
  • Un éventuel acquéreur en cas d'opération sur l'entreprise, avec maintien des engagements.

8. Transferts hors du Québec et hors de l'UE

Certains prestataires peuvent héberger ou traiter des données hors du Québec ou de l'Espace économique européen [pays à préciser].

Au Québec, avant toute communication hors province, Kipo procède à une évaluation des facteurs relatifs à la vie privée (EFVP) et conclut une entente écrite avec le prestataire.

Dans l'UE, lorsque le pays n'offre pas un niveau de protection adéquat, nous encadrons le transfert par des garanties appropriées, principalement les clauses contractuelles types, complétées si besoin de mesures supplémentaires.

Vous pouvez demander une copie ou une description des garanties mises en place pour ces transferts en écrivant à notre responsable de la protection des renseignements personnels.

9. Combien de temps nous conservons les données

Nous ne conservons les renseignements que le temps nécessaire aux finalités, puis nous les détruisons ou anonymisons. Durées indicatives [à confirmer] :

  • Compte d'une entreprise cliente : durée de l'abonnement, puis [ex. jusqu'à 3 ans] à des fins de preuve.
  • Facturation et comptabilité : durée imposée par les obligations comptables et fiscales ([ex. 10 ans en France ; 6 ans au Canada / Québec]).
  • Données des clients finaux : selon les instructions de l'entreprise cliente, supprimées ou restituées au plus tard à la fin du contrat entreprise cliente-Kipo.
  • Prospects entreprises clientes : [ex. 3 ans] depuis le dernier contact (recommandation CNIL).
  • Registre des incidents de confidentialité (Loi 25) : au moins 5 ans.
  • Cookies : voir la section dédiée (consentement conservé jusqu'à [ex. 6 mois]).

10. Comment nous protégeons les données

Kipo met en place des mesures techniques et organisationnelles proportionnées : chiffrement en transit (HTTPS / TLS) et au repos le cas échéant, contrôle des accès, journalisation, sauvegardes, cloisonnement des données entre entreprises clientes, minimisation, sensibilisation du personnel.

En cas d'incident de confidentialité présentant un risque de préjudice sérieux, Kipo le consigne dans un registre et, selon son rôle et la loi, informe l'entreprise cliente responsable et / ou l'autorité et les personnes concernées : la Commission d'accès à l'information du Québec, et la CNIL en France dans un délai de 72 heures lorsque le RGPD l'exige. Comme sous-traitant, Kipo notifie l'incident à l'entreprise cliente dans les meilleurs délais.

11. Données concernant les mineurs

Le service s'adresse à des entreprises et n'est pas destiné aux mineurs. Nous ne collectons pas sciemment de données de mineurs à la création de comptes.

Si les coordonnées d'un client final concernent un mineur, l'entreprise cliente responsable doit disposer d'une base appropriée. En France et dans l'UE, le consentement d'un mineur de moins de 15 ans requiert l'autorisation du titulaire de l'autorité parentale. Signalez-nous toute erreur pour correction ou suppression.

12. Cookies et traceurs

Notre site et notre application utilisent des cookies. Les cookies strictement nécessaires sont déposés sans consentement ; les autres (mesure d'audience non exemptée, marketing) seulement avec votre consentement préalable via le bandeau, conformément à la CNIL et à ePrivacy. Refuser doit être aussi simple qu'accepter.

Vous pouvez modifier ou retirer vos choix à tout moment depuis [le gestionnaire de préférences]. Le tableau ci-dessous présente les catégories ; la liste détaillée figure dans la Politique de cookies.

Cookie / traceur Catégorie Finalité Consentement Durée
[cookie de session] Strictement nécessaire Maintenir la connexion et la sécurité Non (exempté) Session / [à préciser]
[préférences de consentement] Strictement nécessaire Mémoriser vos choix de cookies Non (exempté) [ex. 6 mois]
[mesure d'audience] Mesure d'audience Comprendre l'utilisation du site Oui (sauf mode exempté CNIL) [13 mois ; données 25 mois max]
[marketing] Marketing Mesurer et personnaliser nos campagnes Oui [ex. 13 mois]
[service tiers intégré] Tiers Faire fonctionner un service intégré Oui [fixée par le tiers]

13. Vos droits

Selon votre situation et la loi (Loi 25 au Québec, RGPD dans l'UE), vous disposez de droits. Lorsque Kipo agit comme sous-traitant pour une entreprise cliente, ces droits s'exercent en principe auprès de l'entreprise cliente responsable, et Kipo l'assiste.

  • Droit d'accès : confirmation et copie des renseignements vous concernant.
  • Droit de rectification : faire corriger des renseignements inexacts ou incomplets.
  • Droit à l'effacement / suppression, lorsque la loi le permet.
  • Droit au retrait du consentement, sans effet rétroactif (ex. cesser de recevoir des demandes d'avis).
  • Droit d'opposition (RGPD), notamment à la prospection.
  • Droit à la limitation du traitement (RGPD).
  • Droit à la portabilité (RGPD et Loi 25, en vigueur depuis le 22 septembre 2024).
  • Droit à la cessation de diffusion et à la désindexation (Loi 25), lorsque la diffusion contrevient à la loi ou cause un préjudice grave.
  • Droit de définir des directives post-mortem, lorsque la loi le prévoit.

14. Comment exercer vos droits

Pour exercer un droit, écrivez à notre responsable de la protection des renseignements personnels (section 2). Nous pourrons demander une preuve d'identité, détruite après vérification.

Nous répondons au plus tard dans le délai légal : généralement 30 jours (Loi 25), un mois (RGPD, prolongeable de deux mois si la demande est complexe). L'exercice est gratuit, sauf demande manifestement infondée ou excessive. En cas de refus, nous indiquons les motifs et les recours.

Si votre demande concerne des données traitées par Kipo pour le compte d'une entreprise cliente (vos coordonnées de client final), nous la transmettrons à l'entreprise cliente responsable et l'assisterons. Vous pouvez aussi vous adresser directement à l'entreprise cliente.

15. Réclamation auprès d'une autorité

Si vous estimez que vos droits ne sont pas respectés, contactez-nous en priorité. Vous pouvez aussi déposer une plainte auprès de l'autorité compétente :

  • Au Québec : Commission d'accès à l'information du Québec (CAI), cai.gouv.qc.ca.
  • En France : CNIL, cnil.fr. Dans l'UE, l'autorité de contrôle de votre pays.
  • Communications électroniques au Canada (pourriels) : CRTC, crtc.gc.ca.

16. Modifications de la politique

Nous pouvons modifier cette politique pour refléter l'évolution de nos services ou de la réglementation. La version en vigueur est celle publiée ici, avec sa date. En cas de changement important, nous vous informerons par un moyen approprié. Version : [numéro].

Une question ?

Pour toute question ou pour exercer vos droits, contactez le responsable de la protection des renseignements personnels (DPO) de Kipo à [courriel à compléter] ou par courrier à [adresse]. Si vous êtes un client final, vous pouvez aussi vous adresser à l'entreprise cliente qui a recueilli vos coordonnées. Vous pouvez déposer une plainte auprès de la Commission d'accès à l'information du Québec (cai.gouv.qc.ca) ou, dans l'UE, de la CNIL (cnil.fr) ou de l'autorité de votre pays.

Nous écrire