Innova-AI/dictia-public
3
0
Fork 0
Code Issues Pull Requests Releases Wiki Activity

fix(legal): conform site to signed master legal documents (PDC, CGU, EFVP, DPA)

Browse Source 
Audit conducted 2026-04-27 against signed PDFs in DOCS_DictIA/. All 6 legal
markdown files + 3 marketing templates aligned on the contractual ground truth
(documents signed by Allison Rioux + Jean-David Lévesque-Rioux 9 mars 2026).

CRITICAL DISCREPANCIES FIXED (D1-D9 — Loi 25 / contractual)

D1. Entity identity: removed false "filiale d'InnovA AI S.E.N.C." claim.
    Canonical (PDC §1.1, CGU §1, RPRP doc): DictIA Inc. is a standalone SPA
    constituted 22 mars 2026 (LSAQ), 50/50 owned by Allison Rioux + Jean-David
    Lévesque-Rioux. NOT a subsidiary of InnovA AI.

D2. NEQ: replaced placeholder with canonical NEQ 1181949562 (DictIA Inc.).

D3. Sub-processors list: PDC §6.2 declares 5 sub-processors. Site listed only
    OVH, Stripe, Resend (the latter two not in canonical). Now aligned:
    OVH Beauharnois QC + GCP Toronto ON (RAM-only, 5min) + Cloudflare US (CDN)
    + HubSpot US (CRM) + Stripe US (paiements). Resend removed.

D4. GCP Toronto disclosure: NEW. PDC §6.2, §11.2, EFVP_GCP all declare GPU
    processing on GCP Toronto Ontario as a transfer hors-Québec under art. 17
    LSP. Site previously claimed "100 % au Québec" without GCP disclosure.
    Now declared in confidentialite.md §6, §7 + conditions.md §2.4, §9 +
    conformite.html pillar.

D5. Biometrics: NEW dedicated section. PDC §12, CGU §6, EFVP_BIOVOCAL all
    require disclosure of voice biometrics (pyannote.audio embeddings) per
    LCCJTI art. 44-45 + CAI declaration K1. Site had ZERO mention. Now
    documented in confidentialite.md §12 + conditions.md §8.

D6. Wrong article number: landing.html cited "art. 60.1 LPRPSP" for biometric
    sanctions — that article does NOT exist. Replaced with canonical citation:
    "art. 44-45 LCCJTI + art. 12 LSP".

D7. Speakr fork attribution: CGU §13.1.1 explicitly requires the AGPL §13
    disclosure URL to be gitea.dictia.ca (not gitea.innova-ai.ca). Mentions.md
    + conformite.html + footer normalized.

D8. Conservation periods: aligned to canonical CGU §8.1.2 + PDC §7.2.
    Audio: 30 jours par défaut (extensible 12 mois opt-in) — was "indéfinie".
    Biométrie inter-sessions: max 12 mois — était absent.
    Facturation: 7 ans — était "6 ans".
    Sauvegardes: 30 jours OVH QC.

D9. RPRP contact: confirmed canonical rprp@dictia.ca (per PDC §1.2 + RPRP
    designation §1.3) — was already correct on site, kept as-is.

MEDIUM (M1-M3)

M1. Cookies categories: aligned to PDC §5.1 (5 categories: essentiels +
    Cloudflare + perf + fonctionnels + HubSpot). Removed "Plausible Analytics
    auto-hébergé" claim (not in any signed doc).

M2. DPA status: noted as "signed" for OVH + HubSpot (signed PDFs verified),
    "in vigueur" for Stripe.

M3. Footer mentions légales link: added (was missing).

MINOR (N1-N2)

N1. Stripe entity: "Stripe Inc., San Francisco CA" (canonical PDC §2.6),
    not "Stripe Payments Canada Ltd." (which doesn't appear in any signed doc).

N2. Engagement de non-entraînement IA: added to conditions.md §10 (canonical
    CGU §10).

NOT MODIFIED (per scope boundaries)

- src/api/auth.py, src/billing/*.py, src/models/*.py — code not touched.
- templates/marketing/{tarifs,fonctionnalites}.html — frontend A-2.x final.
- landing.html — only minimal art. 60.1 → art. 44-45 fix (factual law error).

PENDING ALLISON REVIEW

- landing.html line 167-174 marketing claim "Vos données ne sortent jamais
  de vos murs ou nos serveurs OVH Beauharnois" is technically inaccurate for
  DictIA Cloud users (audio briefly transits to GCP Toronto for GPU processing,
  RAM-only, 5min, zero persistence — encadré par EFVP signée). Decision
  required: rephrase OR add asterisk pointing to /conformite for Cloud
  architecture caveat.

- CAI form (CAI_FO_Declaration_Biometrie_DictIA_COMPLET_signé.pdf) declares
  90 jours retention for inter-sessions vectors, while PDC + CGU + EFVP
  all say 12 mois. Site uses 12 mois (latest, contractual). Allison should
  verify CAI form needs amendment before submission.

TESTS

9/9 test_legal_pages.py passing (added biometrics + decisions automatisees
to required_topics; corrected "transfert hors-québec" → "transferts hors
québec" to match canonical PDC §11 OQLF wording).

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
This commit is contained in:
Allison
2026-04-28 09:27:04 -04:00
parent e1e31b51fd
commit dc4ac9754b
10 changed files with 362 additions and 165 deletions
Download Patch File Download Diff File Expand all files Collapse all files

51
src/legal/content/cookies.md
View File

@@ -1,55 +1,52 @@
<div class="legal-draft-callout" role="note" aria-label="Document en cours de révision juridique">
<strong>BROUILLON v1.0</strong> &mdash; en attente de revue juridique par Allison Rioux. Ce document a valeur informative jusqu'à la revue finale par la responsable légale de DictIA Inc.
<strong>BROUILLON v1.0</strong> &mdash; en attente de revue juridique par Allison Rioux. Politique alignée sur la Politique de confidentialité signée <code>GOUV_PDC</code> (v1.0, 9 mars 2026).
</div>
## 1. Que sont les cookies
Un cookie est un petit fichier texte qu'un site web dépose sur votre navigateur lorsque vous le visitez. Les cookies permettent au site de mémoriser vos préférences, de maintenir votre session ouverte et — lorsqu'autorisés — de mesurer la fréquentation du site.
Un témoin de connexion (cookie) est un petit fichier texte qu'un site web dépose sur votre navigateur lorsque vous le visitez. Les cookies permettent au site de mémoriser vos préférences, de maintenir votre session ouverte et — lorsqu'autorisés — de mesurer la fréquentation du site.
DictIA Inc. (filiale d'InnovA AI S.E.N.C., 77 chemin de la Seigneurie, Inverness QC G0S 1K0) utilise un nombre minimal de cookies, dans le strict respect de la Loi 25 du Québec.
DictIA Inc. (NEQ 1181949562, 77 chemin de la Seigneurie, Inverness QC G0S 1K0) utilise un nombre limité de témoins, dans le strict respect de la *Loi 25* du Québec.
## 2. Cookies essentiels — sans consentement requis
## 2. Catégories de témoins utilisés sur dictia.ca
Ces cookies sont strictement nécessaires au fonctionnement du Service et ne requièrent pas de consentement préalable.
| Type de témoin | Finalité | Durée | Consentement |
| --- | --- | --- | --- |
| **Témoins essentiels** (`session`, `csrf_token`, `cookie_consent`) | Fonctionnement du site, gestion de session, sécurité, mémorisation des choix de consentement | Durée de la session ou 12 mois | Non requis (nécessaires au service) |
| **Témoins Cloudflare** | Protection CDN, filtrage du trafic, sécurité des requêtes HTTP | Durée de la session | Non requis (sécurité essentielle) |
| **Témoins de performance** | Analyse de la fréquentation et des tendances d'utilisation du site | Jusqu'à 13 mois | Consentement préalable (opt-in) |
| **Témoins fonctionnels** | Mémorisation des préférences de l'utilisateur (langue, paramètres d'affichage) | Jusqu'à 12 mois | Consentement préalable (opt-in) |
| **Témoins HubSpot** | CRM, suivi des interactions visiteurs, formulaires de contact, courriel marketing | Jusqu'à 13 mois | Consentement préalable (opt-in) |
| Nom du cookie | Finalité | Durée |
| --- | --- | --- |
| `session` | Session Flask authentifiée (maintien de la connexion) | 30 jours ou jusqu'à déconnexion |
| `csrf_token` | Protection contre les attaques *Cross-Site Request Forgery* | Durée de la session |
| `cookie_consent` | Mémorise vos choix de consentement | 12 mois |
Vous pouvez gérer vos préférences en matière de témoins à tout moment via le bandeau de consentement présenté lors de votre première visite ou dans les paramètres de votre navigateur. Le refus des témoins non essentiels n'affecte pas l'accès aux fonctionnalités de base du site.
Ces cookies sont déposés exclusivement par le domaine `dictia.ca` (cookies *first-party*) et ne sont jamais partagés avec des tiers.
## 3. Sous-traitants de cookies — transferts hors Québec
## 3. Cookies analytiques — consentement requis (opt-in)
Les témoins non essentiels impliquent des sous-traitants situés hors du Québec :
Si vous l'avez explicitement accepté lors de votre inscription ou via la bannière de consentement, DictIA dépose des cookies analytiques :
- **Cloudflare Inc.** (États-Unis) — réseau de distribution de contenu (CDN) et protection du trafic web. Données techniques en transit uniquement (adresses IP pseudonymisées, requêtes HTTP). Aucune donnée audio, transcription ni biométrique. Transfert encadré par l'EFVP signée *EFVP_Hubspot*.
- **HubSpot Inc.** (Cambridge, Massachusetts, États-Unis) — plateforme CRM et marketing. Collecte des données de navigation, d'interaction avec le site et de gestion des contacts. Transfert encadré par l'EFVP signée *EFVP_Hubspot* et le DPA HubSpot signé (Standard Contractual Clauses incluses).
- **Plausible Analytics auto-hébergé** sur l'infrastructure DictIA au Québec (OVH Beauharnois). Aucune donnée n'est transmise à un tiers.
- Identifiants de session anonymisés générés via le hachage de l'adresse IP (jamais stockée en clair).
- Aucun profil utilisateur n'est constitué et aucune donnée n'est revendue.
Ces transferts sont conformes à l'article 17 de la *Loi sur le secteur privé* (Loi 25). Voir la [Politique de confidentialité](/legal/confidentialite#section-7) pour les détails.
Vous pouvez retirer ce consentement à tout moment depuis votre console DictIA &rarr; Paramètres &rarr; Confidentialité, ou en écrivant à <rprp@dictia.ca>.
## 4. Aucun cookie publicitaire ni trackers tiers non documentés
## 4. Aucun cookie publicitaire ni de traçage tiers
DictIA s'engage à **ne jamais** utiliser :
DictIA s'engage à **ne jamais** déposer ou autoriser :
- Cookies publicitaires (Google Ads, Meta Pixel, TikTok Pixel, etc.) ;
- Cookies de réseaux sociaux (boutons de partage tiers, *like* tracking) ;
- Cookies de réseaux sociaux non-listés (boutons de partage tiers, tracking *like*) ;
- Trackers de profilage cross-site (Hotjar, FullStory, etc.) ;
- *Fingerprinting* du navigateur ou de l'appareil.
Cette politique reflète notre positionnement : **la confidentialité est un produit, pas un compromis.**
## 5. Comment gérer vos cookies
Vous pouvez à tout moment :
- **Modifier vos consentements** dans la console DictIA &rarr; Paramètres &rarr; Confidentialité ;
- **Bloquer les cookies** via les paramètres de votre navigateur (Chrome, Firefox, Safari, Edge — voir la documentation officielle de chaque navigateur) ;
- **Supprimer les cookies déjà déposés** via les outils de votre navigateur (sachant que cela peut entraîner une déconnexion automatique de votre session DictIA).
- **Modifier vos consentements** via le bandeau de consentement (revoir vos choix), ou dans la console DictIA &rarr; Paramètres &rarr; Confidentialité ;
- **Bloquer les cookies** via les paramètres de votre navigateur (Chrome, Firefox, Safari, Edge) ;
- **Supprimer les cookies déjà déposés** via les outils de votre navigateur (cela peut entraîner une déconnexion automatique de votre session DictIA).
Le blocage des cookies essentiels rendra le Service inutilisable (impossibilité de maintenir la session). Le blocage des cookies analytiques n'a aucun impact sur l'utilisation du Service.
Le blocage des témoins essentiels rendra le Service inutilisable. Le blocage des témoins non essentiels n'affecte pas l'utilisation du Service.
## 6. Pour aller plus loin