fix(legal): conform site to signed master legal documents (PDC, CGU, EFVP, DPA)

Audit conducted 2026-04-27 against signed PDFs in DOCS_DictIA/. All 6 legal markdown files + 3 marketing templates aligned on the contractual ground truth (documents signed by Allison Rioux + Jean-David Lévesque-Rioux 9 mars 2026). CRITICAL DISCREPANCIES FIXED (D1-D9 — Loi 25 / contractual) D1. Entity identity: removed false "filiale d'InnovA AI S.E.N.C." claim. Canonical (PDC §1.1, CGU §1, RPRP doc): DictIA Inc. is a standalone SPA constituted 22 mars 2026 (LSAQ), 50/50 owned by Allison Rioux + Jean-David Lévesque-Rioux. NOT a subsidiary of InnovA AI. D2. NEQ: replaced placeholder with canonical NEQ 1181949562 (DictIA Inc.). D3. Sub-processors list: PDC §6.2 declares 5 sub-processors. Site listed only OVH, Stripe, Resend (the latter two not in canonical). Now aligned: OVH Beauharnois QC + GCP Toronto ON (RAM-only, 5min) + Cloudflare US (CDN) + HubSpot US (CRM) + Stripe US (paiements). Resend removed. D4. GCP Toronto disclosure: NEW. PDC §6.2, §11.2, EFVP_GCP all declare GPU processing on GCP Toronto Ontario as a transfer hors-Québec under art. 17 LSP. Site previously claimed "100 % au Québec" without GCP disclosure. Now declared in confidentialite.md §6, §7 + conditions.md §2.4, §9 + conformite.html pillar. D5. Biometrics: NEW dedicated section. PDC §12, CGU §6, EFVP_BIOVOCAL all require disclosure of voice biometrics (pyannote.audio embeddings) per LCCJTI art. 44-45 + CAI declaration K1. Site had ZERO mention. Now documented in confidentialite.md §12 + conditions.md §8. D6. Wrong article number: landing.html cited "art. 60.1 LPRPSP" for biometric sanctions — that article does NOT exist. Replaced with canonical citation: "art. 44-45 LCCJTI + art. 12 LSP". D7. Speakr fork attribution: CGU §13.1.1 explicitly requires the AGPL §13 disclosure URL to be gitea.dictia.ca (not gitea.innova-ai.ca). Mentions.md + conformite.html + footer normalized. D8. Conservation periods: aligned to canonical CGU §8.1.2 + PDC §7.2. Audio: 30 jours par défaut (extensible 12 mois opt-in) — was "indéfinie". Biométrie inter-sessions: max 12 mois — était absent. Facturation: 7 ans — était "6 ans". Sauvegardes: 30 jours OVH QC. D9. RPRP contact: confirmed canonical rprp@dictia.ca (per PDC §1.2 + RPRP designation §1.3) — was already correct on site, kept as-is. MEDIUM (M1-M3) M1. Cookies categories: aligned to PDC §5.1 (5 categories: essentiels + Cloudflare + perf + fonctionnels + HubSpot). Removed "Plausible Analytics auto-hébergé" claim (not in any signed doc). M2. DPA status: noted as "signed" for OVH + HubSpot (signed PDFs verified), "in vigueur" for Stripe. M3. Footer mentions légales link: added (was missing). MINOR (N1-N2) N1. Stripe entity: "Stripe Inc., San Francisco CA" (canonical PDC §2.6), not "Stripe Payments Canada Ltd." (which doesn't appear in any signed doc). N2. Engagement de non-entraînement IA: added to conditions.md §10 (canonical CGU §10). NOT MODIFIED (per scope boundaries) - src/api/auth.py, src/billing/*.py, src/models/*.py — code not touched. - templates/marketing/{tarifs,fonctionnalites}.html — frontend A-2.x final. - landing.html — only minimal art. 60.1 → art. 44-45 fix (factual law error). PENDING ALLISON REVIEW - landing.html line 167-174 marketing claim "Vos données ne sortent jamais de vos murs ou nos serveurs OVH Beauharnois" is technically inaccurate for DictIA Cloud users (audio briefly transits to GCP Toronto for GPU processing, RAM-only, 5min, zero persistence — encadré par EFVP signée). Decision required: rephrase OR add asterisk pointing to /conformite for Cloud architecture caveat. - CAI form (CAI_FO_Declaration_Biometrie_DictIA_COMPLET_signé.pdf) declares 90 jours retention for inter-sessions vectors, while PDC + CGU + EFVP all say 12 mois. Site uses 12 mois (latest, contractual). Allison should verify CAI form needs amendment before submission. TESTS 9/9 test_legal_pages.py passing (added biometrics + decisions automatisees to required_topics; corrected "transfert hors-québec" → "transferts hors québec" to match canonical PDC §11 OQLF wording). Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-04-28 09:27:04 -04:00
parent e1e31b51fd
commit dc4ac9754b
10 changed files with 362 additions and 165 deletions
--- a/src/legal/content/accessibilite.md
+++ b/src/legal/content/accessibilite.md
@@ -4,7 +4,7 @@

 ## 1. Engagement DictIA pour l'accessibilité numérique

-DictIA Inc. (filiale d'InnovA AI S.E.N.C., 77 chemin de la Seigneurie, Inverness QC G0S 1K0) considère que l'accessibilité numérique est un droit fondamental. Notre mission de transcription IA conforme à la Loi 25 s'adresse à des professionnels exigeants, dont certains vivent avec un handicap visuel, auditif, moteur ou cognitif. Nous nous engageons à rendre nos interfaces utilisables par toutes et tous.
+DictIA Inc. (NEQ 1181949562, 77 chemin de la Seigneurie, Inverness QC G0S 1K0) considère que l'accessibilité numérique est un droit fondamental. Notre mission de transcription IA conforme à la Loi 25 s'adresse à des professionnels exigeants, dont certains vivent avec un handicap visuel, auditif, moteur ou cognitif. Nous nous engageons à rendre nos interfaces utilisables par toutes et tous.

 ## 2. Niveau de conformité visé

--- a/src/legal/content/conditions.md
+++ b/src/legal/content/conditions.md
@@ -1,33 +1,64 @@
 <div class="legal-draft-callout" role="note" aria-label="Document en cours de révision juridique">
-<strong>BROUILLON v1.0</strong> &mdash; en attente de revue juridique par Allison Rioux. Ce document a valeur informative jusqu'à la revue finale par la responsable légale de DictIA Inc.
+<strong>BROUILLON v1.0</strong> &mdash; en attente de revue juridique par Allison Rioux. Ce document a valeur informative jusqu'à la revue finale par la responsable légale de DictIA Inc. La version contractuelle de référence est le document signé <code>CGU-CLIENT_DictIA</code> (v1.0, 9 mars 2026).
 </div>

-## 1. Objet et champ d'application
+## 1. Identification des parties

-Les présentes Conditions générales d'utilisation (ci-après les « **Conditions** » ou « **CGU** ») régissent l'accès et l'utilisation des services proposés par **DictIA Inc.**, filiale à 100 % de **InnovA AI S.E.N.C.** (société en nom collectif québécoise), dont le siège social est situé au 77 chemin de la Seigneurie, Inverness QC G0S 1K0, Canada.
+Les présentes Conditions générales d'utilisation (ci-après les « **Conditions** » ou « **CGU** ») régissent l'accès et l'utilisation des services offerts par :

-Les services de DictIA (ci-après le « **Service** ») comprennent une plateforme SaaS de transcription audio assistée par intelligence artificielle, conforme à la *Loi modernisant des dispositions législatives en matière de protection des renseignements personnels* (Loi 25 du Québec).
+- **Raison sociale** : DictIA Inc. — NEQ 1181949562
+- **Forme juridique** : société par actions constituée le 22 mars 2026 en vertu de la *Loi sur les sociétés par actions du Québec* (RLRQ, c. S-31.1)
+- **Siège social** : 77 chemin de la Seigneurie, Inverness QC G0S 1K0, Canada
+- **District judiciaire** : Québec
+- **Actionnaires** : Allison Rioux (50&nbsp;%) et Jean-David Lévesque-Rioux (50&nbsp;%)
+- **Téléphone** : 581 996-8471
+- **Courriel** : <info@dictia.ca>
+- **Site web** : <https://dictia.ca>

-L'utilisation du Service implique l'acceptation pleine et entière des présentes CGU. Si vous n'acceptez pas ces Conditions, n'utilisez pas le Service.
+(ci-après le « **Fournisseur** » ou « **DictIA Inc.** »)

-## 2. Définitions
+ET le **Client** ou l'**Utilisateur** ayant accepté les présentes CGU.

- **Service** : la plateforme DictIA, incluant DictIA Cloud (SaaS hébergé au Québec), DictIA 8 et DictIA 16 (déploiements local-only).
- **Utilisateur** : toute personne physique ou morale qui crée un compte et utilise le Service.
- **Compte** : espace personnel sécurisé créé par l'Utilisateur lors de l'inscription.
- **Contenu** : tout fichier audio téléversé, texte transcrit, métadonnée ou information transmise par l'Utilisateur via le Service.
- **DictIA Inc.** : éditeur du Service, filiale d'InnovA AI S.E.N.C.
+Les présentes CGU sont rédigées en langue française conformément à la *Charte de la langue française* (RLRQ, c. C-11.1) telle que modifiée par la Loi 96. **En cas de traduction, la version française prévaut en tout temps.**
+
+## 2. Description du service DictIA
+
+### 2.1 Nature du service
+DictIA est un logiciel de transcription audio automatisée par intelligence artificielle développé par DictIA Inc. Il permet de convertir des enregistrements audio en texte de manière automatisée, avec des fonctionnalités optionnelles de diarisation des locuteurs et de synthèse intelligente. **DictIA n'est pas un dispositif médical certifié** au sens de la *Loi sur les aliments et drogues* (L.R.C. 1985, c. F-27).
+
+### 2.2 Fonctionnalités principales
+- **Transcription automatisée** par WhisperX (BSD-2-Clause) ;
+- **Diarisation vocale Niveau 1 (intra-session)** — identification des locuteurs au sein d'un même enregistrement, traitement en RAM uniquement, aucun stockage persistant, consentement distinct requis ;
+- **Diarisation vocale Niveau 2 (inter-sessions)** — mémoire des locuteurs persistante, consentement distinct obligatoire ;
+- **Résumé et structuration** par modèle de langage local — aucune donnée envoyée à des services d'IA externes ;
+- **Gestion des transcriptions** : recherche, organisation, exportation et partage contrôlé.
+
+### 2.3 Modes de déploiement
+
+| Mode | Description | Infrastructure | Transfert hors Québec |
+| --- | --- | --- | --- |
+| DictIA 8 | Version locale — GPU 8&nbsp;Go | Poste de travail du Client | Aucun |
+| DictIA 16 | Version locale — GPU 16&nbsp;Go | Poste de travail du Client | Aucun |
+| DictIA Cloud | SaaS multi-tenant | OVH Beauharnois (Québec) + GCP Toronto (Ontario, RAM uniquement, ≤ 5 min) | Ontario (RAM, max. 5&nbsp;min) |
+
+### 2.4 Architecture technique DictIA Cloud
+- **Stockage persistant** : OVH Canada Inc., Beauharnois (Québec) — données chiffrées AES-256 au repos, juridiction québécoise ;
+- **Traitement GPU** : Google Cloud Platform, région *northamerica-northeast2-b* (Toronto, Ontario) — traitement exclusivement en mémoire vive (RAM), aucune écriture sur disque, arrêt automatique après 5 minutes maximum, transfert hors Québec encadré par EFVP signée *EFVP_GCP* ;
+- **Réseau sécurisé** : tunnel Tailscale VPN (WireGuard, ChaCha20-Poly1305) entre OVH Beauharnois QC et GCP Toronto ON ;
+- **Frontend web** : Cloudflare CDN (donnees de navigation uniquement — EFVP signée *EFVP_Hubspot*). La plateforme applicative DictIA est accessible exclusivement via le tunnel Tailscale VPN, sans exposition publique.
+
+**Engagement fondamental** : toutes les données personnelles persistantes des utilisateurs demeurent au Québec (OVH Beauharnois). Les données médicales et biométriques ne quittent jamais le Canada.

 ## 3. Inscription et compte utilisateur

-L'inscription au Service requiert un consentement granulaire conforme à l'article 14 de la Loi 25. Quatre consentements distincts sont collectés au moment de l'inscription :
+L'inscription au Service requiert un consentement granulaire conforme à l'article 14 de la Loi 25. Quatre consentements distincts sont collectés :

 1. Acceptation des présentes Conditions d'utilisation (obligatoire) ;
 2. Acceptation de la Politique de confidentialité (obligatoire) ;
 3. Consentement aux communications marketing (facultatif) ;
 4. Consentement aux mesures d'analyse d'audience anonymisées (facultatif).

-L'Utilisateur s'engage à fournir des informations exactes et à maintenir la confidentialité de ses identifiants. Toute activité menée depuis le Compte est réputée avoir été effectuée par l'Utilisateur.
+L'Utilisateur s'engage à fournir des informations exactes et à maintenir la confidentialité de ses identifiants. Les mots de passe sont stockés sous forme hachée (bcrypt). L'authentification multi-facteurs (MFA) est obligatoire pour tous les accès administrateurs.

 ## 4. Forfaits et prix

@@ -35,15 +66,15 @@ Trois formules sont proposées :

 - **DictIA 8** : déploiement local single-user (boîtier livré au cabinet) ;
 - **DictIA 16** : déploiement local multi-user (boîtier livré au cabinet) ;
- **DictIA Cloud** : SaaS hébergé chez OVH Beauharnois (Québec).
+- **DictIA Cloud** : SaaS hébergé chez OVH Beauharnois (Québec) avec traitement GPU temporaire RAM-only sur GCP Toronto (Ontario).

 Les prix en vigueur sont publiés sur la page <https://dictia.ca/tarifs>. Les prix sont libellés en dollars canadiens (CAD) et excluent les taxes applicables (TPS et TVQ).

 ## 5. Modalités de paiement

-Les paiements sont traités par **Stripe Payments Canada Ltd.**. Les modes de paiement acceptés incluent les cartes de crédit majeures, Apple Pay et Google Pay. Les abonnements peuvent être facturés mensuellement ou annuellement (avec une réduction de 15 % sur le tarif annuel).
+Les paiements sont traités par **Stripe Inc.** (San Francisco CA, certifié PCI-DSS). DictIA Inc. ne stocke pas les numéros de carte complets (tokenisation PCI-DSS gérée par Stripe). Les modes de paiement acceptés incluent les cartes de crédit majeures, Apple Pay et Google Pay. Les abonnements peuvent être facturés mensuellement ou annuellement (avec une réduction de 15&nbsp;% sur le tarif annuel).

-Les taxes applicables (TPS 5 % et TVQ 9,975 %) sont ajoutées au moment de la facturation conformément à la législation fiscale québécoise.
+Les taxes applicables (TPS 5&nbsp;% et TVQ 9,975&nbsp;%) sont ajoutées au moment de la facturation conformément à la législation fiscale québécoise.

 ## 6. Activation du service

@@ -51,57 +82,106 @@ L'accès au Service est activé après confirmation du paiement initial. Pour Di

 ## 7. Obligations de l'utilisateur

-L'Utilisateur s'engage à :
+L'Utilisateur s'engage à utiliser DictIA conformément aux présentes CGU, à la législation applicable et aux bonnes pratiques professionnelles. Sont notamment interdits :

- Utiliser le Service conformément à la législation québécoise et canadienne en vigueur ;
- Ne téléverser que des contenus dont il détient les droits ou pour lesquels il a obtenu les autorisations nécessaires ;
- Maintenir la sécurité de ses identifiants et activer l'authentification à deux facteurs (TOTP, WebAuthn ou clé de récupération) ;
- Ne pas tenter d'accéder à des comptes ou données autres que les siens ;
- Ne pas utiliser le Service à des fins illicites, frauduleuses ou portant atteinte aux droits de tiers.
+- Tout usage visant à traiter des enregistrements obtenus sans le consentement des personnes enregistrées ;
+- Tout traitement d'enregistrements contenant des renseignements personnels de tiers à des fins incompatibles ;
+- Toute tentative d'extraction, de rétro-ingénierie ou de contournement des modèles d'IA intégrés ;
+- Tout usage contraire au *Code criminel* (L.R.C. 1985, c. C-46), notamment l'interception illégale de communications privées (art. 184).

-## 8. Propriété intellectuelle
+**Responsabilité du Client — consentement des personnes enregistrées** : le Client, en qualité de responsable du traitement, déclare et garantit que pour chaque enregistrement soumis à DictIA, il a obtenu le consentement préalable de toutes les personnes dont la voix figure dans l'enregistrement, qu'il les a informées du traitement par IA, et — si la diarisation est activée — qu'il a obtenu leur consentement exprès et distinct au traitement biométrique conformément aux articles 44 et 45 de la LCCJTI. Le Client conserve les preuves de ces consentements pendant la durée du contrat et 3 ans après son expiration.

-Le code source de DictIA est publié sous la licence **GNU Affero General Public License v3.0 (AGPL-3.0)**. DictIA est un fork de Speakr ; l'attribution upstream est préservée dans le fichier `NOTICE` du dépôt.
+## 8. Données biométriques vocales (LCCJTI art. 44-45)

-Le contenu téléversé par l'Utilisateur (fichiers audio, transcriptions générées) demeure la propriété exclusive de l'Utilisateur. DictIA Inc. ne revendique aucun droit sur ce contenu et ne l'utilise pas à des fins d'entraînement de modèles d'intelligence artificielle.
+La fonctionnalité de **diarisation vocale** de DictIA implique l'extraction d'empreintes vocales (vecteurs biométriques) à partir des enregistrements audios. Ces empreintes constituent des **données biométriques au sens de l'article 44 de la LCCJTI** et des renseignements sensibles au sens de la Loi 25.

-## 9. Limitation de responsabilité
+Avant toute activation de la diarisation, l'Utilisateur doit donner son consentement via une case à cocher distincte, séparée et non pré-cochée :

-DictIA est un outil d'aide à la transcription. L'Utilisateur demeure entièrement responsable :
+- **Consentement biométrique — Niveau 1 (intra-session)** : empreintes calculées en mémoire vive et détruites immédiatement à la fin du traitement, jamais stockées de façon persistante ;
+- **Consentement biométrique — Niveau 2 (inter-sessions, mémoire des locuteurs)** : vecteurs persistants pseudonymisés stockés sur OVH Beauharnois (Québec), chiffrés AES-256, durée maximale de **12 mois** après la dernière utilisation. Banque biométrique déclarée à la CAI (formulaire K1 préparé, soumission préalable obligatoire).

- De la véracité, l'exactitude et la légalité du contenu transcrit ;
- De la révision humaine des transcriptions avant tout usage professionnel ou légal ;
- Du respect du secret professionnel applicable à sa profession (Barreau, CPA, ChAD, OACIQ, CMQ, OIIQ, OPPQ, OEQ, etc.).
+Les empreintes vocales sont utilisées **exclusivement** pour la distinction et l'attribution des locuteurs dans les transcriptions. Elles ne sont en aucun cas utilisées pour la vérification ou la confirmation d'identité civile, la surveillance, le profilage, le pistage, le contrôle d'accès, ni pour l'entraînement, l'affinage ou l'évaluation de modèles d'IA.

-DictIA Inc. ne peut être tenue responsable des dommages indirects, perte de données ou perte de revenus résultant d'une utilisation du Service au-delà des dispositions impératives de la loi applicable.
+## 9. Sous-traitants et transferts hors Québec

-## 10. Suspension et résiliation
+Conformément à l'article 17 de la *Loi sur le secteur privé*, DictIA Inc. a réalisé des EFVP documentées pour chaque transfert. Les sous-traitants autorisés sont :

-DictIA Inc. se réserve le droit de suspendre ou de résilier un Compte en cas de :
+| Sous-traitant | Service | Localisation | EFVP / DPA |
+| --- | --- | --- | --- |
+| OVH Canada Inc. | Stockage principal DictIA Cloud | Beauharnois (Québec) | DPA OVH (PIPA CA-1.0) signé |
+| Google Cloud Platform | Traitement GPU temporaire (transcription, diarisation, LLM) | Toronto (Ontario) — RAM-only ≤ 5 min | EFVP *EFVP_GCP* signée + Cloud DPA GCP |
+| Cloudflare Inc. | CDN web (dictia.ca) | États-Unis (réseau global) | EFVP *EFVP_Hubspot* signée |
+| HubSpot Inc. | CRM, formulaires, courriel marketing | Cambridge MA (États-Unis) | EFVP *EFVP_Hubspot* signée + DPA HubSpot signé (SCC) |
+| Stripe Inc. | Traitement des paiements (PCI-DSS) | États-Unis | DPA Stripe |

- Manquement aux présentes Conditions ;
- Non-paiement des sommes dues ;
- Utilisation frauduleuse ou illicite du Service ;
- Demande des autorités compétentes.
+Aucune donnée audio, transcription, vecteur biométrique ni renseignement personnel sur la santé n'est transmis à HubSpot, Cloudflare ni Stripe. Les utilisateurs sont informés du transfert vers GCP Toronto (Ontario) dans la présente section et dans la Politique de confidentialité.

-L'Utilisateur peut résilier son Compte à tout moment via la console DictIA. Les remboursements sont régis par la [Politique de remboursement](/legal/remboursement).
+## 10. Engagement de non-entraînement IA

-## 11. Modifications des conditions
+DictIA Inc. prend l'engagement ferme, public et documenté suivant :

-DictIA Inc. peut modifier les présentes Conditions à tout moment. Les Utilisateurs actifs sont notifiés par courriel au moins 30 jours avant l'entrée en vigueur des modifications substantielles. La poursuite de l'utilisation du Service après cette période vaut acceptation des nouvelles Conditions.
+> Les données audio, les transcriptions, les résumés et les vecteurs biométriques des utilisateurs et clients de DictIA ne sont **JAMAIS** utilisés pour entraîner, affiner (*fine-tuning*), évaluer ou améliorer les modèles d'intelligence artificielle exploités par DictIA Inc., ni pour développer de nouveaux modèles, ni pour être cédés à des tiers à ces fins.

-## 12. Loi applicable et juridiction
+Tous les modèles d'IA fonctionnent en mode **inférence uniquement** (inference-only). Aucun mécanisme d'apprentissage en ligne n'est actif.

-Les présentes Conditions sont régies par les lois en vigueur dans la province de Québec et les lois fédérales canadiennes applicables. Tout litige relatif à l'interprétation ou à l'exécution des Conditions sera soumis à la compétence exclusive des tribunaux du district judiciaire de Québec, Canada.
+## 11. Limitation de responsabilité et avis médical

-## 13. Contact
+DictIA est un outil d'**assistance à la transcription** et n'est pas un dispositif médical certifié. Les transcriptions générées peuvent contenir des erreurs ou des inexactitudes. Le professionnel de la santé est seul responsable de relire intégralement chaque transcription avant toute utilisation clinique, de la valider et de la corriger avant intégration dans un dossier médical, et d'exercer son jugement clinique de manière indépendante.

-Pour toute question relative aux présentes Conditions, écrivez à :
+DictIA Inc. n'est pas responsable du contenu des enregistrements audio soumis, de l'exactitude des transcriptions automatisées, du non-respect par le Client de ses obligations en matière de consentement ou de protection des renseignements personnels, ni des dommages indirects, accessoires, consécutifs ou punitifs.
+
+**Plafond de responsabilité** : la responsabilité totale de DictIA Inc. envers le Client ne pourra en aucun cas excéder le montant total des frais effectivement payés par le Client au cours des **douze (12) mois** précédant l'événement donnant lieu à la réclamation. Ce plafond ne s'applique pas en cas de faute lourde ou intentionnelle (art. 1474 C.c.Q.) ni aux réclamations fondées sur une violation des droits à la vie privée résultant d'un manquement grave aux obligations de sécurité ou de confidentialité.
+
+## 12. Suspension et résiliation
+
+Le Contrat est conclu pour la durée de l'abonnement choisi et renouvelé automatiquement sauf avis de résiliation. DictIA Inc. avise le Client par courriel **au moins 14 jours avant la date de renouvellement**.
+
+Le Client peut résilier à tout moment en transmettant un avis écrit à <facturation@dictia.ca>. Dans les **30 jours** suivant la résiliation effective, DictIA Inc. fournit au Client ses données dans un format exploitable (TXT, DOCX, JSON) et supprime toutes les copies sous son contrôle.
+
+DictIA Inc. peut résilier le Contrat&nbsp;: pour manquement grave après mise en demeure de 30 jours ; pour violation grave de la LSP ou de la LCCJTI (préavis de 10 jours) ; pour traitement manifestement illicite (effet immédiat) ; ou pour cessation d'activité (préavis de 60 jours).
+
+DictIA Inc. peut **suspendre** l'accès au service pour non-paiement au-delà de 15 jours, utilisation contraire aux CGU, risque de sécurité imminent ou ordonnance d'une autorité compétente.
+
+## 13. Propriété intellectuelle (AGPL-3.0 — open core)
+
+Le logiciel DictIA est basé sur le projet open source **Speakr**, distribué sous licence **GNU Affero General Public License v3.0 (AGPL-3.0)**. Conformément à l'article 13 de la licence AGPL-3.0 :
+
+- Le code source du logiciel DictIA est accessible aux utilisateurs du service à l'adresse <https://gitea.dictia.ca/Innova-AI/dictia-public>. DictIA Inc. s'engage à maintenir cette page opérationnelle en tout temps pendant la durée du service ;
+- Les modifications apportées par DictIA Inc. au code source sont documentées dans le fichier `CHANGES.md` du référentiel ;
+- L'attribution upstream à l'auteur originel du projet Speakr est préservée dans le fichier `NOTICE`.
+
+**Valeur ajoutée propriétaire** (non couverte par AGPL-3.0)&nbsp;: services d'installation, de configuration et de déploiement ; infrastructure d'hébergement et de traitement cloud ; services de support technique et de maintenance ; personnalisations clients ; interfaces API propriétaires.
+
+**Propriété des données du Client** : le Client est propriétaire de l'ensemble de ses données (enregistrements, transcriptions, résumés). DictIA Inc. n'acquiert aucun droit sur ces données.
+
+Les marques « **DictIA** » et « **DictIA Inc.** » sont la propriété exclusive de DictIA Inc.
+
+## 14. Modifications des conditions
+
+DictIA Inc. peut modifier les présentes CGU pour refléter des changements législatifs, réglementaires, technologiques ou opérationnels. Toute modification substantielle est notifiée au Client par courriel et par notification dans l'interface, **avec un préavis minimum de 30 jours** avant l'entrée en vigueur. Si le Client refuse les nouvelles CGU, il peut résilier sans pénalité avant la date d'entrée en vigueur.
+
+## 15. Droit applicable et juridiction
+
+Les présentes CGU sont régies par les lois du Québec et du Canada applicables, notamment&nbsp;: la *Loi sur la protection des renseignements personnels dans le secteur privé* (RLRQ, c. P-39.1, telle que modifiée par la Loi 25), le *Code civil du Québec* (RLRQ, c. CCQ-1991), la *Loi concernant le cadre juridique des technologies de l'information* (RLRQ, c. C-1.1), la *Charte de la langue française* (RLRQ, c. C-11.1, telle que modifiée par la Loi 96), la *Loi anti-pourriel canadienne* (LCAP) et la *Loi sur la protection des renseignements personnels et les documents électroniques* (LPRPDE).
+
+Tout litige est soumis à la compétence exclusive des tribunaux du **district judiciaire de Québec**, sous réserve des dispositions impératives d'ordre public.
+
+**Force majeure** : aucune partie n'est responsable du retard ou de l'inexécution résultant d'un cas de force majeure au sens de l'article 1470 C.c.Q.
+
+## 16. Langue
+
+Le présent Contrat est rédigé en langue française conformément à la *Charte de la langue française* telle que modifiée par la Loi 96. En cas de traduction, la version française prévaut en tout temps. Toutes les communications officielles entre DictIA Inc. et le Client (notifications d'incidents, réponses DSAR, avis de modification, support technique) sont effectuées en français.
+
+## 17. Contact
+
+Pour toute question relative aux présentes Conditions :

 - **Courriel général** : <info@dictia.ca>
+- **Facturation et résiliation** : <facturation@dictia.ca>
 - **Responsable de la protection des renseignements personnels (RPRP)** : <rprp@dictia.ca>
- **Adresse postale** : DictIA Inc., 77 chemin de la Seigneurie, Inverness QC G0S 1K0, Canada
+- **Téléphone** : 581 996-8471
+- **Adresse postale** : DictIA Inc., 77 chemin de la Seigneurie, Inverness QC G0S 1K0

-## 14. Date de mise à jour
+## 18. Date de mise à jour

-Version 2026-04-27 — Inverness, Québec.
+Version 2026-04-27 — Inverness, Québec. Présentes CGU alignées sur le document signé *CGU-CLIENT_DictIA* (v1.0, 9 mars 2026).
--- a/src/legal/content/confidentialite.md
+++ b/src/legal/content/confidentialite.md
@@ -1,120 +1,230 @@
 <div class="legal-draft-callout" role="note" aria-label="Document en cours de révision juridique">
-<strong>BROUILLON v1.0</strong> &mdash; en attente de revue juridique par Allison Rioux. Ce document a valeur informative jusqu'à la revue finale par la responsable légale de DictIA Inc.
+<strong>BROUILLON v1.0</strong> &mdash; en attente de revue juridique par Allison Rioux. Ce document a valeur informative jusqu'à la revue finale par la responsable légale de DictIA Inc. La version contractuelle de référence est le document signé <code>GOUV_PDC_Politique_confidentialite_DictIA</code> (v1.0, 9 mars 2026).
 </div>

-DictIA Inc. (filiale d'InnovA AI S.E.N.C.) attache la plus grande importance à la protection des renseignements personnels de ses utilisateurs. La présente Politique de confidentialité décrit, conformément à la *Loi modernisant des dispositions législatives en matière de protection des renseignements personnels* (Loi 25 du Québec), les pratiques de collecte, d'utilisation, de conservation et de communication des renseignements personnels.
+DictIA Inc. attache la plus grande importance à la protection des renseignements personnels de ses utilisateurs. La présente Politique de confidentialité décrit, conformément à la *Loi sur la protection des renseignements personnels dans le secteur privé* (RLRQ, c. P-39.1, telle que modifiée par la *Loi 25*, L.Q. 2021, c. 25), à la *Loi concernant le cadre juridique des technologies de l'information* (RLRQ, c. C-1.1, ci-après « LCCJTI ») et à la *Loi sur la protection des renseignements personnels et les documents électroniques* (L.C. 2000, c. 5), les pratiques de collecte, d'utilisation, de conservation et de communication des renseignements personnels.

 ## 1. Identité du responsable

 Le responsable du traitement des renseignements personnels est :

- **Raison sociale** : DictIA Inc. (filiale d'InnovA AI S.E.N.C.)
- **Adresse du siège social** : 77 chemin de la Seigneurie, Inverness QC G0S 1K0, Canada
+- **Raison sociale** : DictIA Inc.
+- **Forme juridique** : société par actions constituée le 22 mars 2026 en vertu de la *Loi sur les sociétés par actions du Québec* (RLRQ, c. S-31.1)
+- **NEQ** : 1181949562
+- **Siège social** : 77 chemin de la Seigneurie, Inverness QC G0S 1K0, Canada
+- **District judiciaire** : Québec
+- **Actionnaires** : Allison Rioux (50&nbsp;%) et Jean-David Lévesque-Rioux (50&nbsp;%)
+- **Téléphone** : 581 996-8471
 - **Courriel général** : <info@dictia.ca>
- **Activité** : service SaaS de transcription audio assistée par intelligence artificielle, conforme à la Loi 25 du Québec.
+- **Site web** : <https://dictia.ca>

 ## 2. Coordonnées du responsable de la protection des renseignements personnels (RPRP)

-Conformément à l'article 3.1 de la Loi 25, DictIA Inc. a désigné un responsable de la protection des renseignements personnels (RPRP) :
+Conformément à l'article 3.1 de la *Loi sur le secteur privé*, DictIA Inc. a désigné une responsable de la protection des renseignements personnels :

- **Nom** : Allison Rioux, présidente
+- **Responsable** : Allison Rioux
+- **Titre** : Chef de la direction (CEO) & Responsable de la protection des renseignements personnels (RPRP)
 - **Courriel dédié** : <rprp@dictia.ca> (alias surveillé exclusivement par la fonction RPRP)
- **Adresse postale** : RPRP — DictIA Inc., 77 chemin de la Seigneurie, Inverness QC G0S 1K0
+- **Téléphone** : 581 996-8471
+- **Adresse postale** : Allison Rioux, RPRP — DictIA Inc., 77 chemin de la Seigneurie, Inverness QC G0S 1K0
+- **Délai de réponse** : 30 jours suivant la réception de la demande (prorogeable de 10 jours avec avis écrit motivé)

 Toute demande relative à la présente Politique, à l'exercice des droits Loi 25 ou à un incident de confidentialité doit être adressée à <rprp@dictia.ca>.

 ## 3. Renseignements personnels collectés

-DictIA collecte les catégories de renseignements personnels suivantes :
+DictIA Inc. collecte et traite les catégories de renseignements personnels suivantes :

- **Identification** : adresse courriel, prénom, nom, mot de passe (haché en bcrypt — jamais stocké en clair) ;
- **Métadonnées professionnelles** (facultatives) : ordre professionnel d'appartenance et cabinet/organisation ;
- **Renseignements techniques** : adresse IP, en-tête User-Agent, identifiant de session ;
- **Contenu utilisateur** : fichiers audio téléversés et textes transcrits associés ;
- **Métadonnées de paiement** : adresse de facturation et identifiant client Stripe (les numéros de carte ne transitent jamais par les serveurs DictIA — ils sont collectés directement par Stripe) ;
- **Métadonnées d'authentification forte (WebAuthn)** : clé publique de la passkey, compteur de signatures, identifiant d'attestation.
+### 3.1 Données d'identification
+Nom, prénom, adresse courriel, numéro de téléphone, adresse postale, nom de l'organisation et titre professionnel (le cas échéant), identifiants de compte (nom d'utilisateur, mot de passe haché en bcrypt — jamais stocké en clair).

-## 4. Finalités
+### 3.2 Données audio
+Enregistrements audio soumis par les utilisateurs pour transcription via DictIA. Ces enregistrements peuvent contenir la voix de l'utilisateur et de tiers.

-Les renseignements personnels sont collectés et utilisés pour les finalités suivantes uniquement :
+### 3.3 Transcriptions
+Textes transcrits générés automatiquement à partir des enregistrements audio, versions corrigées ou annotées, résumés et post-traitements générés par le modèle de langage local.

- Fournir le Service de transcription audio ;
- Gérer les comptes utilisateurs et l'authentification (y compris l'authentification multifacteur) ;
- Émettre les factures et percevoir les paiements ;
- Assurer le support client ;
- Garantir la sécurité du Service (prévention de la fraude, journaux d'audit) ;
- Respecter les obligations légales et réglementaires applicables.
+### 3.4 Données biométriques vocales
+Vecteurs d'empreintes vocales (*voice embeddings*) extraits par le module de diarisation pyannote.audio. Ces empreintes constituent des **caractéristiques biométriques au sens des articles 44 et 45 de la LCCJTI** et des **renseignements sensibles au sens de la Loi 25** — soumises à des mesures de sécurité renforcées et à l'obligation de déclaration préalable à la Commission d'accès à l'information du Québec (CAI). La collecte et le traitement de ces données font l'objet d'un consentement distinct et explicite (voir sections 5 et 12).

-## 5. Base légale
+### 3.5 Données d'utilisation et données techniques
+Adresse IP, type de navigateur et système d'exploitation, pages consultées, date et heure de consultation, données de session, journaux d'utilisation de la plateforme (actions effectuées, paramètres de transcription, durée des sessions), données de performance et diagnostics techniques.

-La base légale du traitement est le **consentement explicite** de l'utilisateur, recueilli au moment de l'inscription conformément à l'article 14 de la Loi 25. Quatre consentements granulaires sont capturés et journalisés :
+### 3.6 Données de paiement
+Nom du titulaire du mode de paiement, informations de paiement tokenisées (les paiements sont traités par Stripe Inc., San Francisco CA, certifié PCI-DSS — DictIA Inc. ne stocke pas les numéros de cartes complets), adresse de facturation, historique des transactions.
+
+## 4. Finalités du traitement
+
+DictIA Inc. collecte et utilise les renseignements personnels uniquement aux fins suivantes :
+
+- **Fourniture et exécution du service** : création et gestion des comptes, transcription automatique, diarisation vocale, post-traitement linguistique, support technique, facturation et gestion des paiements ;
+- **Amélioration du service** : analyse des tendances d'utilisation, diagnostics techniques, développement de nouvelles fonctionnalités. **Important : DictIA Inc. n'utilise pas les enregistrements audio, les transcriptions ni les empreintes vocales des utilisateurs pour entraîner ses modèles d'intelligence artificielle, sauf consentement exprès et séparé** ;
+- **Obligations légales et réglementaires** : respect des obligations fiscales, comptables et réglementaires, réponse aux demandes des autorités compétentes, tenue du registre des incidents de confidentialité ;
+- **Sécurité** : prévention des accès non autorisés, détection et prévention des fraudes et incidents, journaux d'accès et de sécurité.
+
+## 5. Base légale et consentement
+
+Conformément aux articles 14 et suivants de la *Loi sur le secteur privé*, DictIA Inc. recueille un consentement **manifeste, libre, éclairé, spécifique et temporaire** avant toute collecte, utilisation ou communication de renseignements personnels.
+
+Quatre consentements granulaires sont capturés et journalisés au moment de l'inscription :

 1. Conditions d'utilisation (obligatoire pour la fourniture du Service) ;
 2. Politique de confidentialité (obligatoire pour la fourniture du Service) ;
 3. Communications marketing (facultatif, révocable à tout moment) ;
 4. Mesures d'analyse d'audience anonymisées (facultatif, révocable à tout moment).

-Le journal des consentements (`ConsentLog`) conserve la version exacte des documents acceptés, l'horodatage et l'adresse IP au moment du consentement.
+Un **consentement explicite, distinct et spécifique** (case à cocher non pré-cochée) est requis pour :

-## 6. Destinataires
+- Les **données biométriques vocales** (voir section 12) — art. 12 al. 3 *Loi sur le secteur privé* et art. 44 LCCJTI ;
+- L'utilisation des données à des fins d'amélioration des modèles d'IA ;
+- Toute communication de renseignements personnels à des tiers non nécessaire à l'exécution du service ;
+- Tout transfert de renseignements personnels hors du Québec (voir section 7).

-Aucun tiers ne reçoit le contenu transcrit (audio source ou texte) ni les fichiers téléversés. Les destinataires limités sont :
+Le journal des consentements (`ConsentLog`) conserve la version exacte des documents acceptés, l'horodatage et l'adresse IP au moment du consentement. Toute personne peut retirer son consentement à tout moment en écrivant à <rprp@dictia.ca>, sous réserve des obligations légales de DictIA Inc.

- **Stripe Payments Canada Ltd.** (siège : États-Unis) : reçoit le nom, le courriel et l'adresse de facturation aux fins exclusives du traitement du paiement ;
- **Resend Inc.** (États-Unis) : reçoit l'adresse courriel et le contenu des notifications transactionnelles (confirmation d'inscription, réinitialisation de mot de passe, factures) ;
- **OVH Hébergement Canada Inc.** (centre de données Beauharnois, Québec) : héberge les serveurs DictIA Cloud — l'opérateur n'a pas accès au contenu utilisateur (chiffrement au repos et en transit).
+**Responsabilité de l'utilisateur — consentement des tiers (art. 184.1 *Code criminel*)** : lorsque l'utilisateur soumet un enregistrement contenant la voix de tiers, il lui incombe d'obtenir leur consentement préalable au traitement de leurs données, incluant le traitement biométrique. DictIA Inc. met à disposition un formulaire de consentement biométrique (document I2).

-## 7. Transfert hors-Québec
+## 6. Destinataires et sous-traitants techniques

-Conformément à l'article 17 de la Loi 25, DictIA informe l'utilisateur que certains renseignements personnels limités sont transférés en dehors du Québec :
+DictIA Inc. **ne vend, ne loue et ne commercialise pas** les renseignements personnels de ses utilisateurs. DictIA Inc. fait appel aux sous-traitants techniques suivants :

- **Stripe (États-Unis)** : nom, courriel, adresse de facturation, métadonnées de transaction ;
- **Resend (États-Unis)** : adresse courriel, contenu des courriels transactionnels.
+| Sous-traitant | Service | Localisation des données | Encadrement |
+| --- | --- | --- | --- |
+| **OVH Hébergement Canada Inc.** | Stockage persistant principal de DictIA Cloud | Beauharnois (Québec, Canada) | DPA OVH (PIPA CA-1.0) signé + entente de sous-traitance art. 18.3 LSP |
+| **Google Cloud Platform Inc.** | Traitement GPU (transcription, diarisation, inférence LLM) | Toronto (Ontario, Canada) — région *northamerica-northeast2-b* | EFVP signée *EFVP_GCP* + Cloud Data Processing Addendum GCP. Architecture **RAM-only** : aucune écriture sur disque, durée maximale 5 minutes par session, arrêt automatique. Données techniques en transit chiffrées via tunnel Tailscale VPN (WireGuard) entre OVH QC et GCP ON |
+| **Cloudflare Inc.** | CDN du site institutionnel dictia.ca | États-Unis (réseau mondial) | EFVP signée *EFVP_Hubspot*. Données de navigation en transit uniquement (IP pseudonymisées, requêtes HTTP) — aucune donnée audio, transcription ni biométrique. La plateforme applicative DictIA n'est pas exposée via Cloudflare (accès restreint au tunnel Tailscale VPN) |
+| **HubSpot Inc.** | CRM, gestion des contacts, formulaires web, courriel marketing | Cambridge (Massachusetts, États-Unis) | EFVP signée *EFVP_Hubspot* + DPA HubSpot signé (Standard Contractual Clauses incluses). Aucune donnée audio, transcription ni biométrique transmise |
+| **Stripe Inc.** | Traitement des paiements en ligne | États-Unis (San Francisco CA) | DPA Stripe en vigueur. Certifié PCI-DSS. Données de paiement tokenisées — aucun numéro de carte complet stocké par DictIA Inc. |

-Une évaluation des facteurs relatifs à la vie privée (EFVP) a été réalisée pour ces transferts. Les ententes contractuelles avec Stripe et Resend prévoient un niveau de protection équivalent à celui exigé par la Loi 25. **Aucun contenu transcrit (audio source ou texte) n'est transféré hors-Québec.**
+Conformément à l'article 18.3 de la *Loi sur le secteur privé*, chaque entente de sous-traitance prévoit&nbsp;: les mesures de protection applicables, l'obligation d'utiliser les renseignements uniquement aux fins du mandat, l'obligation d'aviser DictIA Inc. de tout incident, et l'obligation de destruction ou restitution des renseignements à la fin du mandat.
+
+DictIA Inc. peut communiquer des renseignements personnels sans consentement lorsque la loi l'exige, notamment à la CAI dans le cadre d'une enquête, à un tribunal ou organisme d'enquête, ou en cas de menace à la vie, à la santé ou à la sécurité d'une personne.
+
+## 7. Transferts hors Québec
+
+Conformément à l'article 17 de la *Loi sur le secteur privé*, DictIA Inc. a réalisé une **Évaluation des facteurs relatifs à la vie privée (EFVP)** documentée pour chaque transfert hors Québec. Les transferts autorisés sont :
+
+| Destination | Sous-traitant | Nature des données | EFVP |
+| --- | --- | --- | --- |
+| Toronto, Ontario (Canada) | Google Cloud Platform | Audio et transcriptions traités en RAM uniquement (max. 5 min/session), aucune persistance sur disque | *EFVP_GCP* signée |
+| Cambridge, MA (États-Unis) | HubSpot Inc. | Données de navigation et d'interaction CRM (nom, courriel, comportement web) — aucune donnée audio, transcription ni biométrique | *EFVP_Hubspot* signée |
+| États-Unis (réseau global) | Cloudflare Inc. | Données techniques en transit (IP pseudonymisées, requêtes HTTP) — aucune donnée audio ni biométrique | *EFVP_Hubspot* signée |
+| États-Unis (San Francisco CA) | Stripe Inc. | Données de paiement tokenisées — aucun numéro de carte complet | EFVP en cours |
+
+**Engagement fondamental** : les données médicales et biométriques des utilisateurs de DictIA Cloud ne sont **jamais** transférées hors du Canada. Les données personnelles persistantes des utilisateurs résident sur OVH Beauharnois (Québec). Le traitement GPU temporaire en Ontario s'effectue exclusivement en mémoire vive, sans persistance.
+
+DictIA Inc. ne transfère pas de renseignements personnels vers un territoire dont le régime juridique n'offre pas une protection équivalente à celle prévue par la loi québécoise, sauf en cas de nécessité, avec consentement explicite préalable, EFVP, entente écrite avec le destinataire et information de la personne concernée du nom du territoire et de la finalité.

 ## 8. Durée de conservation

-Les renseignements sont conservés selon les durées suivantes :
+Conformément à l'article 12 de la *Loi sur le secteur privé*, DictIA Inc. ne conserve les renseignements personnels que pour la durée nécessaire à la réalisation des finalités. Une fois la finalité réalisée, les renseignements sont détruits ou anonymisés de manière irréversible.

 | Catégorie | Durée de conservation |
 | --- | --- |
-| Données de compte (courriel, nom, mot de passe haché) | Durée de l'abonnement + 24 mois après résiliation (obligation comptable québécoise) |
-| Audio source téléversé | Conservé jusqu'à suppression manuelle par l'utilisateur OU jusqu'à expiration de la politique de rétention configurée par votre administrateur (par défaut sur DictIA Cloud : conservation indéfinie ; les administrateurs peuvent activer une rétention automatique via les paramètres). |
-| Texte transcrit | Conservé jusqu'à suppression manuelle par l'utilisateur |
-| Journal des consentements (ConsentLog) | 36 mois après le dernier consentement (Loi 25 art. 3.5) |
-| Journaux d'audit de sécurité | 36 mois |
-| Métadonnées de facturation Stripe | 6 ans (obligation fiscale Revenu Québec) |
+| Données d'identification (compte) | Durée du contrat de service + 30 jours (suppression anticipée possible par l'utilisateur) |
+| Fichiers audio | 30 jours après traitement (par défaut) — extensible jusqu'à 12 mois sur choix explicite de l'utilisateur |
+| Transcriptions et résumés IA | Durée de la relation contractuelle (suppression à tout moment par l'utilisateur ou via DSAR) |
+| Empreintes vocales — diarisation **intra-session** | Destruction immédiate (purge RAM automatique à la fin du traitement, max. 5 min) — jamais stockées sur disque |
+| Empreintes vocales — diarisation **inter-sessions** (opt-in) | Maximum **12 mois** après la dernière utilisation (chiffrées AES-256, stockées sur OVH Beauharnois QC) |
+| Données de facturation (Stripe) | 7 ans après la dernière transaction (obligations fiscales LIR, LTVQ) |
+| Consentements et preuves de consentement (`ConsentLog`) | Durée du contrat + 3 ans (prescription civile art. 2925 C.c.Q.) |
+| Journaux d'accès (logs) | 12 mois |
+| Métadonnées d'utilisation | 12 mois |
+| Correspondance support client | Durée du contrat |
+| Sauvegardes chiffrées (OVH Beauharnois QC) | 30 jours après suppression des données sources |
+
+**Destruction sécurisée** : à l'expiration des durées, les données numériques sont détruites par effacement cryptographique conforme à la norme NIST SP 800-88 Rev. 1 ; les données biométriques font l'objet d'une destruction renforcée (effacement cryptographique avec écrasement supplémentaire et double vérification) ; les documents papier sont déchiquetés selon la norme DIN 66399 niveau P-4 minimum.
+
+L'utilisateur peut, à tout moment, supprimer ses enregistrements audio, transcriptions et empreintes vocales directement depuis l'interface de la plateforme.

 ## 9. Droits de l'utilisateur

-Conformément à la Loi 25, l'utilisateur dispose des droits suivants :
+Conformément à la *Loi sur le secteur privé*, vous disposez des droits suivants :

- **Droit d'accès** : obtenir copie des renseignements personnels détenus ;
- **Droit de rectification** : faire corriger des renseignements inexacts ou incomplets ;
- **Droit à l'effacement** (art. 28.1 — *right to erasure*) : faire supprimer les renseignements lorsque la finalité du traitement est atteinte ou que le consentement est retiré ;
- **Droit à la portabilité** : recevoir les renseignements dans un format technologique structuré et couramment utilisé ;
- **Droit d'opposition** : s'opposer au traitement à des fins de prospection commerciale.
+- **Droit d'accès** (art. 27) : connaître l'existence et la nature des renseignements vous concernant ;
+- **Droit de rectification** (art. 28) : faire corriger ou supprimer tout renseignement inexact, incomplet, équivoque ou non autorisé ;
+- **Droit à la désindexation** (art. 28.1) : exiger la cessation de diffusion ou la désindexation d'un renseignement ;
+- **Droit à la portabilité** (art. 27 al. 3) : recevoir les renseignements dans un format technologique structuré (CSV, JSON ou autre format standard) ou les faire transmettre à une autre entreprise ;
+- **Droit de retrait du consentement** : à tout moment, sous réserve des obligations légales (sans effet rétroactif) ;
+- **Droit d'être informé des décisions automatisées** (art. 12.1) : obtenir les renseignements utilisés, les facteurs et paramètres ayant mené à la décision, et faire réviser la décision par une personne physique compétente ;
+- **Droit d'être avisé en cas d'incident de confidentialité** présentant un risque de préjudice sérieux (art. 3.5).

-**Procédure** : adresser la demande à <rprp@dictia.ca> en joignant une preuve d'identité (copie de pièce d'identité avec photo). Délai de réponse maximal : 30 jours conformément à l'article 32 de la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP, RLRQ c. P-39.1, telle que modifiée par la Loi 25).
+**Procédure** : adresser la demande à <rprp@dictia.ca> ou par courrier postal à l'adresse indiquée à la section 2. DictIA Inc. accuse réception et répond dans les **30 jours** suivant la réception (art. 32 *Loi sur le secteur privé*), prorogeable de 10 jours dans les cas complexes avec avis écrit motivé.

-## 10. Procédure de plainte
+DictIA Inc. n'exige pas de frais pour répondre à une demande d'accès ou de rectification, sauf frais raisonnables annoncés à l'avance. Une vérification d'identité est effectuée avant tout traitement.

-Si l'utilisateur estime que DictIA Inc. ne respecte pas ses obligations en matière de protection des renseignements personnels, il peut déposer une plainte auprès de la **Commission d'accès à l'information du Québec (CAI)** :
+## 10. Décisions automatisées
+
+La plateforme DictIA utilise les traitements automatisés suivants, exécutés en mode inférence uniquement sur l'infrastructure de DictIA Inc. (aucune donnée envoyée à des services d'IA externes) :
+
+| Traitement | Technologie | Description |
+| --- | --- | --- |
+| Transcription automatique | WhisperX (BSD-2-Clause) | Conversion automatique de la parole en texte écrit |
+| Diarisation vocale | pyannote.audio | Identification et distinction automatique des locuteurs dans un enregistrement |
+| Post-traitement linguistique | Modèle de langage local (Mistral, Apache 2.0, ou autre modèle configurable) | Correction grammaticale, ponctuation, mise en forme et résumé optionnel |
+
+Les transcriptions et diarisations constituent des **outils d'aide** : elles ne produisent pas, à elles seules, de décisions juridiques ou administratives à l'égard des utilisateurs. Conformément à l'article 12.1 de la *Loi sur le secteur privé*, vous pouvez exercer vos droits relatifs aux décisions automatisées en communiquant avec le RPRP.
+
+## 11. Procédure de plainte
+
+Si vous estimez que DictIA Inc. ne respecte pas ses obligations en matière de protection des renseignements personnels, vous pouvez déposer une plainte auprès de la **Commission d'accès à l'information du Québec (CAI)** :

 - **Site web** : <https://www.cai.gouv.qc.ca>
 - **Courriel** : <cai.communications@cai.gouv.qc.ca>
 - **Téléphone (Québec)** : 418 528-7741
 - **Téléphone (Montréal)** : 514 873-4196
 - **Sans frais** : 1 888 528-7741
+- **Adresse** : 525 boulevard René-Lévesque Est, bureau 2.36, Québec (Québec) G1R 5S9

-## 11. Cookies et traceurs
+## 12. Données biométriques (LCCJTI art. 44-45)

-DictIA utilise un nombre minimal de cookies, décrits en détail dans la [Politique de cookies](/legal/cookies) :
+La fonctionnalité de **diarisation vocale** de DictIA repose sur l'extraction de vecteurs d'empreintes vocales (*voice embeddings*) par pyannote.audio. Ces vecteurs constituent des **caractéristiques biométriques** au sens des articles 44 et 45 de la LCCJTI et des **renseignements sensibles** au sens de la Loi 25 — à ce titre, ils bénéficient de mesures de protection renforcées.

- **Cookies essentiels** (sans consentement) : session Flask, jeton anti-CSRF ;
- **Cookies analytiques** (avec consentement opt-in) : Plausible Analytics auto-hébergé sur l'infrastructure DictIA au Québec, sans aucun cookie publicitaire ni traçage tiers.
+DictIA offre **deux niveaux** de traitement biométrique :

-## 12. Date de mise à jour
+| Niveau | Description | Stockage | Consentement requis |
+| --- | --- | --- | --- |
+| **Diarisation intra-session** | Identification des locuteurs pour la session en cours uniquement | Aucun — traitement en RAM, destruction immédiate à la fin de la session | Standard (consentement biométrique distinct, niveau 1) |
+| **Diarisation inter-sessions** (« mémoire des locuteurs ») | Reconnaissance vocale persistante entre plusieurs sessions | OVH Beauharnois QC — chiffré AES-256 — max. **12 mois** après dernière utilisation | Consentement exprès et distinct obligatoire (case à cocher non pré-cochée — formulaire I2) |

-Version 2026-04-27 — Inverness, Québec.
+Conformément à la LCCJTI :
+
+- **Consentement exprès préalable** (art. 44 LCCJTI) recueilli via case à cocher distincte non pré-cochée ;
+- **Déclaration à la CAI** (art. 44 LCCJTI) — DictIA Inc. a préparé et soumettra une déclaration de création d'une banque de caractéristiques biométriques (formulaire CAI K1) **au moins 60 jours avant l'activation** de la diarisation inter-sessions. Aucune collecte d'empreintes vocales persistantes n'aura lieu avant la réception de l'accusé de réception de la CAI ;
+- **Finalité limitée** — usage exclusif&nbsp;: distinction des locuteurs (diarisation). Aucune utilisation à des fins d'identification, d'authentification, de surveillance ou d'entraînement de modèles d'IA ;
+- **Conservation minimale** (art. 45 LCCJTI) — destruction irréversible après 12 mois maximum ; demande de destruction anticipée possible à tout moment ;
+- **Destruction renforcée** — effacement cryptographique avec écrasement supplémentaire et double vérification.
+
+**Droit de refus** : le refus de la diarisation inter-sessions n'empêche pas l'utilisation du service de transcription de base.
+
+## 13. Sécurité
+
+DictIA Inc. met en œuvre les mesures de sécurité suivantes :
+
+- **Chiffrement au repos** : AES-256 (toutes les données stockées sur OVH Beauharnois) ;
+- **Chiffrement en transit** : TLS 1.3 ou supérieur + tunnel Tailscale VPN (WireGuard, ChaCha20-Poly1305) entre OVH QC et GCP ON ;
+- **Réseau zéro-confiance** : aucun port exposé publiquement ;
+- **Authentification** : mots de passe hachés bcrypt + authentification multifacteur disponible (TOTP, WebAuthn / passkeys) — MFA obligatoire pour les administrateurs ;
+- **Contrôle d'accès** : RBAC selon le principe du moindre privilège ;
+- **Journalisation** : journaux d'accès immuables (append-only) ;
+- **Sauvegardes** : quotidiennes, chiffrées AES-256, rétention 30 jours, stockées au Québec ;
+- **Mesures organisationnelles** : politique interne de protection des renseignements personnels (GOUV_PPRP signée), ententes de confidentialité avec employés et sous-traitants, formation, audits périodiques, procédure structurée de gestion des incidents conforme au *Règlement sur les incidents de confidentialité*.
+
+En cas d'**incident de confidentialité** présentant un risque de préjudice sérieux, DictIA Inc. avise la CAI avec diligence (art. 3.5 LSP), avise les personnes concernées et tient un registre des incidents.
+
+## 14. Cookies et traceurs
+
+DictIA utilise un nombre limité de témoins de connexion, décrits en détail dans la [Politique de cookies](/legal/cookies). Catégories utilisées sur dictia.ca :
+
+- **Témoins essentiels** (sans consentement) : session, jeton anti-CSRF, mémorisation du choix de consentement ;
+- **Témoins Cloudflare** (sans consentement, sécurité essentielle) : protection CDN, filtrage du trafic, sécurité des requêtes HTTP ;
+- **Témoins de performance et fonctionnels** (consentement préalable) : analyse de la fréquentation, mémorisation des préférences ;
+- **Témoins HubSpot** (consentement préalable) : CRM, suivi des interactions visiteurs, formulaires de contact, courriel marketing.
+
+## 15. Modifications à la présente politique
+
+DictIA Inc. se réserve le droit de modifier la présente politique pour tenir compte des évolutions législatives, réglementaires ou technologiques. En cas de modification substantielle, DictIA Inc. publiera la version mise à jour avec la date de révision, informera les utilisateurs au moins **30 jours avant l'entrée en vigueur** des modifications, et recueillera un nouveau consentement lorsque requis (notamment pour les modifications portant sur les finalités du traitement biométrique).
+
+## 16. Date de mise à jour
+
+Version 2026-04-27 — Inverness, Québec. Politique alignée sur le document signé *GOUV_PDC_Politique_confidentialite_DictIA* (v1.0, 9 mars 2026, signé par Allison Rioux et Jean-David Lévesque-Rioux).
--- a/src/legal/content/cookies.md
+++ b/src/legal/content/cookies.md
@@ -1,55 +1,52 @@
 <div class="legal-draft-callout" role="note" aria-label="Document en cours de révision juridique">
-<strong>BROUILLON v1.0</strong> &mdash; en attente de revue juridique par Allison Rioux. Ce document a valeur informative jusqu'à la revue finale par la responsable légale de DictIA Inc.
+<strong>BROUILLON v1.0</strong> &mdash; en attente de revue juridique par Allison Rioux. Politique alignée sur la Politique de confidentialité signée <code>GOUV_PDC</code> (v1.0, 9 mars 2026).
 </div>

 ## 1. Que sont les cookies

-Un cookie est un petit fichier texte qu'un site web dépose sur votre navigateur lorsque vous le visitez. Les cookies permettent au site de mémoriser vos préférences, de maintenir votre session ouverte et — lorsqu'autorisés — de mesurer la fréquentation du site.
+Un témoin de connexion (cookie) est un petit fichier texte qu'un site web dépose sur votre navigateur lorsque vous le visitez. Les cookies permettent au site de mémoriser vos préférences, de maintenir votre session ouverte et — lorsqu'autorisés — de mesurer la fréquentation du site.

-DictIA Inc. (filiale d'InnovA AI S.E.N.C., 77 chemin de la Seigneurie, Inverness QC G0S 1K0) utilise un nombre minimal de cookies, dans le strict respect de la Loi 25 du Québec.
+DictIA Inc. (NEQ 1181949562, 77 chemin de la Seigneurie, Inverness QC G0S 1K0) utilise un nombre limité de témoins, dans le strict respect de la *Loi 25* du Québec.

-## 2. Cookies essentiels — sans consentement requis
+## 2. Catégories de témoins utilisés sur dictia.ca

-Ces cookies sont strictement nécessaires au fonctionnement du Service et ne requièrent pas de consentement préalable.
+| Type de témoin | Finalité | Durée | Consentement |
+| --- | --- | --- | --- |
+| **Témoins essentiels** (`session`, `csrf_token`, `cookie_consent`) | Fonctionnement du site, gestion de session, sécurité, mémorisation des choix de consentement | Durée de la session ou 12 mois | Non requis (nécessaires au service) |
+| **Témoins Cloudflare** | Protection CDN, filtrage du trafic, sécurité des requêtes HTTP | Durée de la session | Non requis (sécurité essentielle) |
+| **Témoins de performance** | Analyse de la fréquentation et des tendances d'utilisation du site | Jusqu'à 13 mois | Consentement préalable (opt-in) |
+| **Témoins fonctionnels** | Mémorisation des préférences de l'utilisateur (langue, paramètres d'affichage) | Jusqu'à 12 mois | Consentement préalable (opt-in) |
+| **Témoins HubSpot** | CRM, suivi des interactions visiteurs, formulaires de contact, courriel marketing | Jusqu'à 13 mois | Consentement préalable (opt-in) |

-| Nom du cookie | Finalité | Durée |
-| --- | --- | --- |
-| `session` | Session Flask authentifiée (maintien de la connexion) | 30 jours ou jusqu'à déconnexion |
-| `csrf_token` | Protection contre les attaques *Cross-Site Request Forgery* | Durée de la session |
-| `cookie_consent` | Mémorise vos choix de consentement | 12 mois |
+Vous pouvez gérer vos préférences en matière de témoins à tout moment via le bandeau de consentement présenté lors de votre première visite ou dans les paramètres de votre navigateur. Le refus des témoins non essentiels n'affecte pas l'accès aux fonctionnalités de base du site.

-Ces cookies sont déposés exclusivement par le domaine `dictia.ca` (cookies *first-party*) et ne sont jamais partagés avec des tiers.
+## 3. Sous-traitants de cookies — transferts hors Québec

-## 3. Cookies analytiques — consentement requis (opt-in)
+Les témoins non essentiels impliquent des sous-traitants situés hors du Québec :

-Si vous l'avez explicitement accepté lors de votre inscription ou via la bannière de consentement, DictIA dépose des cookies analytiques :
+- **Cloudflare Inc.** (États-Unis) — réseau de distribution de contenu (CDN) et protection du trafic web. Données techniques en transit uniquement (adresses IP pseudonymisées, requêtes HTTP). Aucune donnée audio, transcription ni biométrique. Transfert encadré par l'EFVP signée *EFVP_Hubspot*.
+- **HubSpot Inc.** (Cambridge, Massachusetts, États-Unis) — plateforme CRM et marketing. Collecte des données de navigation, d'interaction avec le site et de gestion des contacts. Transfert encadré par l'EFVP signée *EFVP_Hubspot* et le DPA HubSpot signé (Standard Contractual Clauses incluses).

- **Plausible Analytics auto-hébergé** sur l'infrastructure DictIA au Québec (OVH Beauharnois). Aucune donnée n'est transmise à un tiers.
- Identifiants de session anonymisés générés via le hachage de l'adresse IP (jamais stockée en clair).
- Aucun profil utilisateur n'est constitué et aucune donnée n'est revendue.
+Ces transferts sont conformes à l'article 17 de la *Loi sur le secteur privé* (Loi 25). Voir la [Politique de confidentialité](/legal/confidentialite#section-7) pour les détails.

-Vous pouvez retirer ce consentement à tout moment depuis votre console DictIA &rarr; Paramètres &rarr; Confidentialité, ou en écrivant à <rprp@dictia.ca>.
+## 4. Aucun cookie publicitaire ni trackers tiers non documentés

-## 4. Aucun cookie publicitaire ni de traçage tiers
-
-DictIA s'engage à **ne jamais** utiliser :
+DictIA s'engage à **ne jamais** déposer ou autoriser :

 - Cookies publicitaires (Google Ads, Meta Pixel, TikTok Pixel, etc.) ;
- Cookies de réseaux sociaux (boutons de partage tiers, *like* tracking) ;
+- Cookies de réseaux sociaux non-listés (boutons de partage tiers, tracking *like*) ;
 - Trackers de profilage cross-site (Hotjar, FullStory, etc.) ;
 - *Fingerprinting* du navigateur ou de l'appareil.

-Cette politique reflète notre positionnement : **la confidentialité est un produit, pas un compromis.**
-
 ## 5. Comment gérer vos cookies

 Vous pouvez à tout moment :

- **Modifier vos consentements** dans la console DictIA &rarr; Paramètres &rarr; Confidentialité ;
- **Bloquer les cookies** via les paramètres de votre navigateur (Chrome, Firefox, Safari, Edge — voir la documentation officielle de chaque navigateur) ;
- **Supprimer les cookies déjà déposés** via les outils de votre navigateur (sachant que cela peut entraîner une déconnexion automatique de votre session DictIA).
+- **Modifier vos consentements** via le bandeau de consentement (revoir vos choix), ou dans la console DictIA &rarr; Paramètres &rarr; Confidentialité ;
+- **Bloquer les cookies** via les paramètres de votre navigateur (Chrome, Firefox, Safari, Edge) ;
+- **Supprimer les cookies déjà déposés** via les outils de votre navigateur (cela peut entraîner une déconnexion automatique de votre session DictIA).

-Le blocage des cookies essentiels rendra le Service inutilisable (impossibilité de maintenir la session). Le blocage des cookies analytiques n'a aucun impact sur l'utilisation du Service.
+Le blocage des témoins essentiels rendra le Service inutilisable. Le blocage des témoins non essentiels n'affecte pas l'utilisation du Service.

 ## 6. Pour aller plus loin

--- a/src/legal/content/mentions.md
+++ b/src/legal/content/mentions.md
@@ -7,51 +7,57 @@
 Le présent site web et l'ensemble du Service DictIA sont édités par :

 - **Raison sociale** : DictIA Inc.
- **Forme juridique** : société par actions constituée en vertu de la *Loi sur les sociétés par actions du Québec* (LSAQ).
- **Société mère** : InnovA AI S.E.N.C. (société en nom collectif québécoise) — détentrice de 100 % des actions de DictIA Inc.
+- **Forme juridique** : société par actions constituée le 22 mars 2026 en vertu de la *Loi sur les sociétés par actions du Québec* (RLRQ, c. S-31.1).
+- **Actionnaires** : Allison Rioux (50&nbsp;%), Chef de la direction (CEO), et Jean-David Lévesque-Rioux (50&nbsp;%), Chef des technologies (CTO).

 ## 2. Adresse du siège social

 77 chemin de la Seigneurie  
 Inverness QC G0S 1K0  
 Canada  
+District judiciaire&nbsp;: Québec

 ## 3. Numéro d'entreprise du Québec (NEQ)

-Numéro d'entreprise du Québec (NEQ) : `{{NEQ_PLACEHOLDER}}` *(à compléter — l'inscription au Registraire des entreprises du Québec est en cours de finalisation)*.
+Numéro d'entreprise du Québec (NEQ) : **1181949562**

-## 4. Représentant légal
+## 4. Représentantes et représentants légaux

- **Présidente et représentante légale** : Allison Rioux
- **Courriel** : <info@dictia.ca>
+- **Présidente, Chef de la direction (CEO) et co-fondatrice** : Allison Rioux — courriel <info@dictia.ca>
+- **Chef des technologies (CTO) et co-fondateur** : Jean-David Lévesque-Rioux — courriel <jd@dictia.ca>

 ## 5. Responsable de la publication

 - **Responsable de la publication du site dictia.ca** : Allison Rioux, présidente
 - **Responsable de la protection des renseignements personnels (RPRP)** : Allison Rioux — courriel dédié <rprp@dictia.ca>
+- **Désignation officielle RPRP** : adoptée par les associés de DictIA Inc. le 9 mars 2026 conformément à l'article 3.1 de la *Loi sur la protection des renseignements personnels dans le secteur privé* (RLRQ, c. P-39.1).

-## 6. Hébergement
+## 6. Hébergement et infrastructure

-L'infrastructure DictIA Cloud est hébergée par :
+L'infrastructure DictIA Cloud combine deux fournisseurs :

- **OVH Hébergement Canada Inc.**
- 800 boulevard de Maisonneuve Est
- Montréal QC H2L 4M5
- Canada
+- **Stockage persistant** : OVH Hébergement Canada Inc. — centre de données de Beauharnois (Québec). Toutes les données utilisateur stockées de façon persistante résident en sol québécois. Ententes en vigueur&nbsp;: DPA OVH (PIPA CA-1.0) et entente de sous-traitance conforme à l'art. 18.3 LPRPSP.
+- **Traitement GPU temporaire** : Google Cloud Platform Inc., région *northamerica-northeast2-b* (Toronto, Ontario). Traitement exclusivement en mémoire vive (RAM), aucune écriture sur disque, durée maximale de 5 minutes par session, arrêt automatique après traitement. Ce transfert hors Québec est encadré par l'EFVP signée *EFVP_GCP_EFVP_Transfert_GCP_Toronto* (mars 2026) et le Cloud Data Processing Addendum de Google Cloud.
+- **Réseau zéro-confiance** : tunnel Tailscale VPN (WireGuard, ChaCha20-Poly1305) entre OVH Beauharnois et GCP Toronto — la plateforme applicative n'est pas exposée sur l'Internet public.
+
+Coordonnées OVH Hébergement Canada Inc. :
+
+- 800 boulevard de Maisonneuve Est, Montréal QC H2L 4M5, Canada
 - Site web : <https://www.ovhcloud.com/fr-ca>

-Les serveurs physiques sont situés au centre de données OVH de Beauharnois, Québec — toutes les données utilisateur du Service Cloud résident en sol québécois.
-
 ## 7. Crédits et propriété intellectuelle

 Le code source de DictIA est publié sous la licence **GNU Affero General Public License v3.0 (AGPL-3.0)**.

-DictIA est un *fork* du projet Speakr — l'attribution upstream à l'auteur originel du projet Speakr est intégralement préservée dans le fichier `NOTICE` du dépôt public.
+DictIA est un *fork* du projet open source **Speakr** distribué sous AGPL-3.0. Conformément à l'article 13 de la licence AGPL-3.0, le code source complet de DictIA, incluant les modifications apportées par DictIA Inc. et documentées dans le fichier `CHANGES.md`, est accessible aux utilisateurs du Service. L'attribution upstream à l'auteur originel du projet Speakr est intégralement préservée dans le fichier `NOTICE` du dépôt public.

- **Dépôt public DictIA (Gitea InnovA AI)** : <https://gitea.innova-ai.ca/Innova-AI/dictia-public>
- **Notice d'attribution upstream** : voir le fichier `/NOTICE` à la racine du dépôt.
+- **Dépôt public DictIA (Gitea)** : <https://gitea.dictia.ca/Innova-AI/dictia-public>
+- **Notice d'attribution upstream** : voir le fichier `/NOTICE` à la racine du dépôt
+- **Modifications versionnées** : voir le fichier `/CHANGES.md`

-Les marques « **DictIA** » et « **InnovA AI** », ainsi que leurs logos respectifs, sont la propriété exclusive d'InnovA AI S.E.N.C.
+Modèles d'intelligence artificielle exploités en mode inférence uniquement&nbsp;: WhisperX (BSD-2-Clause), pyannote.audio (licence Enterprise pour usage SaaS commercial) et un modèle de langage local (Mistral, Apache 2.0, ou autre modèle configurable). Aucun de ces modèles n'est entraîné, affiné ou évalué sur les données des utilisateurs.
+
+Les marques « **DictIA** » et « **DictIA Inc.** » et leurs logos sont la propriété exclusive de DictIA Inc.

 ## 8. Contact

@@ -59,6 +65,7 @@ Pour toute question relative aux présentes Mentions légales :

 - **Courriel général** : <info@dictia.ca>
 - **Courriel RPRP (Loi 25)** : <rprp@dictia.ca>
+- **Téléphone** : 581 996-8471
 - **Adresse postale** : DictIA Inc., 77 chemin de la Seigneurie, Inverness QC G0S 1K0

 ## 9. Date de mise à jour
--- a/src/legal/content/remboursement.md
+++ b/src/legal/content/remboursement.md
@@ -2,7 +2,7 @@
 <strong>BROUILLON v1.0</strong> &mdash; en attente de revue juridique par Allison Rioux. Ce document a valeur informative jusqu'à la revue finale par la responsable légale de DictIA Inc.
 </div>

-DictIA Inc. (filiale d'InnovA AI S.E.N.C.) souhaite que chaque utilisateur trouve réellement de la valeur dans le Service. La présente Politique de remboursement précise les modalités de retour, de résiliation et de remboursement applicables aux abonnements et au matériel DictIA.
+DictIA Inc. (NEQ 1181949562) souhaite que chaque utilisateur trouve réellement de la valeur dans le Service. La présente Politique de remboursement précise les modalités de retour, de résiliation et de remboursement applicables aux abonnements et au matériel DictIA.

 ## 1. Délai de rétractation — 14 jours

@@ -36,7 +36,7 @@ Pour demander un remboursement, écrivez à <info@dictia.ca> en précisant :

 ## 5. Délai de traitement

-Les demandes de remboursement sont traitées dans un **délai de 14 jours ouvrables** à compter de leur réception complète. Le remboursement est effectué via le mode de paiement initial (carte de crédit, Apple Pay, Google Pay) par l'intermédiaire de Stripe Payments Canada Ltd.
+Les demandes de remboursement sont traitées dans un **délai de 14 jours ouvrables** à compter de leur réception complète. Le remboursement est effectué via le mode de paiement initial (carte de crédit, Apple Pay, Google Pay) par l'intermédiaire de Stripe Inc. (San Francisco CA, certifié PCI-DSS).

 Les délais de visibilité sur le relevé bancaire dépendent de votre établissement (généralement 5 à 10 jours ouvrables supplémentaires).

--- a/templates/marketing/_footer.html
+++ b/templates/marketing/_footer.html
@@ -35,6 +35,7 @@
          <li><a href="/legal/cookies" class="hover:text-white">Cookies</a></li>
          <li><a href="/legal/remboursement" class="hover:text-white">Remboursement</a></li>
          <li><a href="/legal/accessibilite" class="hover:text-white">Accessibilité</a></li>
+          <li><a href="/legal/mentions" class="hover:text-white">Mentions légales</a></li>
        </ul>
      </nav>

@@ -45,7 +46,7 @@
          <li><a href="/login" class="hover:text-white">Connexion</a></li>
          <li><a href="/signup" class="hover:text-white">Créer un compte</a></li>
          <li><a href="/contact" class="hover:text-white">Contact</a></li>
-          <li><a href="https://gitea.innova-ai.ca/Innova-AI/dictia-public" target="_blank" rel="noopener" class="hover:text-white">Code source AGPL&nbsp;<span aria-hidden="true">↗</span><span class="sr-only">(s'ouvre dans un nouvel onglet)</span></a></li>
+          <li><a href="https://gitea.dictia.ca/Innova-AI/dictia-public" target="_blank" rel="noopener" class="hover:text-white">Code source AGPL&nbsp;<span aria-hidden="true">↗</span><span class="sr-only">(s'ouvre dans un nouvel onglet)</span></a></li>
        </ul>
      </nav>
    </div>
--- a/templates/marketing/conformite.html
+++ b/templates/marketing/conformite.html
@@ -33,13 +33,13 @@
      {% for card in [
        {
          'icon': '🍁',
-          'title': 'Hébergement OVH Beauharnois',
-          'desc': 'Centre de données opéré par OVHcloud Canada en territoire québécois. Conformité documentée selon les services (ISO&nbsp;27001, SOC&nbsp;2 selon le périmètre). Détails sur demande.'
+          'title': 'Stockage OVH Beauharnois&nbsp;(QC)',
+          'desc': 'Stockage persistant chez OVHcloud Canada à Beauharnois, Québec. Traitement GPU temporaire sur GCP Toronto (Ontario)&nbsp;: RAM uniquement, durée maximale 5&nbsp;minutes par session, zéro persistance — encadré par EFVP signée. Données médicales et biométriques jamais hors du Canada.'
        },
        {
          'icon': '⚖️',
          'title': 'Mappé Loi&nbsp;25 (LPRPSP)',
-          'desc': 'Audit trail art.&nbsp;3.5, EFVP préparée art.&nbsp;3.3, registre des consentements art.&nbsp;14. Modèles de déclaration CAI fournis.'
+          'desc': 'Audit trail art.&nbsp;3.5, EFVP signées art.&nbsp;3.3 et 17 (GCP, HubSpot), registre des consentements art.&nbsp;14, déclaration CAI biométrie (formulaire K1) préparée. Modèles disponibles sur demande.'
        },
        {
          'icon': '🏛️',
@@ -49,7 +49,7 @@
        {
          'icon': '🔓',
          'title': 'Code source AGPL&nbsp;v3 vérifiable',
-          'desc': 'Architecture entièrement auditable sur <a href="https://gitea.innova-ai.ca/Innova-AI/dictia-public" target="_blank" rel="noopener" class="underline hover:text-brand-navy">Gitea public</a>. Aucune boîte noire. Vos auditeurs peuvent examiner chaque ligne.'
+          'desc': 'Fork du projet open source Speakr — architecture entièrement auditable sur <a href="https://gitea.dictia.ca/Innova-AI/dictia-public" target="_blank" rel="noopener" class="underline hover:text-brand-navy">Gitea public</a>. Aucune boîte noire. Vos auditeurs peuvent examiner chaque ligne.'
        }
      ] %}
      <article class="bg-brand-bg p-6 rounded-[14px] border border-brand-border">
@@ -121,7 +121,7 @@
    </p>
    <div class="flex flex-col sm:flex-row gap-4 justify-center">
      {% from 'macros/button.html' import button %}
-      {{ button('Code source sur Gitea', href='https://gitea.innova-ai.ca/Innova-AI/dictia-public', variant='primary', size='lg', icon='↗', target='_blank', rel='noopener') }}
+      {{ button('Code source sur Gitea', href='https://gitea.dictia.ca/Innova-AI/dictia-public', variant='primary', size='lg', icon='↗', target='_blank', rel='noopener') }}
      {{ button('Comprendre AGPL v3', href='https://www.gnu.org/licenses/agpl-3.0.fr.html', variant='ghost', size='lg', target='_blank', rel='noopener') }}
    </div>
  </div>
--- a/templates/marketing/landing.html
+++ b/templates/marketing/landing.html
@@ -137,7 +137,7 @@
    <div class="grid md:grid-cols-3 gap-6 mt-12">
      {% for card in [
        ('Cloud Act', 'Loi américaine 2018', 'Microsoft, Google et OpenAI sont soumis au Cloud Act. Vos données peuvent être saisies par les autorités américaines sans votre consentement ni notification — y compris les enregistrements de vos réunions client.', '⚖️'),
-        ('Loi 25 — biométrie', 'Sanction CAI jusqu\'à 25&nbsp;M$', 'La voix est une donnée biométrique au sens de l\'article 60.1 LPRPSP. Tout traitement nécessite un consentement explicite, une déclaration CAI et un transfert vers un territoire offrant une protection équivalente — ce que les États-Unis n\'offrent pas.', '🛡️'),
+        ('Loi 25 — biométrie', 'Sanctions CAI jusqu\'à 25&nbsp;M$', 'La voix est une donnée biométrique au sens des articles 44-45 de la LCCJTI et un renseignement sensible au sens de la Loi 25 (art.&nbsp;12 LSP). Tout traitement nécessite un consentement explicite, une déclaration préalable à la CAI et un transfert vers un territoire offrant une protection équivalente — ce que les États-Unis n\'offrent pas.', '🛡️'),
        ('Sanctions disciplinaires', '~250&nbsp;000 pros réglementés QC (CIQ)', 'Les ordres professionnels québécois — au premier rang desquels le Barreau, la Chambre des notaires et CPA Québec — exigent une obligation stricte de confidentialité. Le transfert de données client hors-juridiction sans consentement explicite peut être qualifié de manquement, jusqu\'à la radiation pour les fautes graves.', '⚠️')
      ] %}
      <article class="bg-white p-6 rounded-[0.75rem] border border-brand-border">
--- a/tests/test_legal_pages.py
+++ b/tests/test_legal_pages.py
@@ -76,13 +76,15 @@ def test_confidentialite_has_all_12_loi25_sections():
                'rprp',  # responsable de la protection
                'renseignements personnels collectés',
                'finalités',
-                'base légale',
-                'destinataires',
-                'transfert hors-québec',
+                'base légale',  # base légale et consentement
+                'destinataires',  # destinataires et sous-traitants
+                'transferts hors québec',  # canonical PDC §11 wording (no hyphen, plural)
                'durée de conservation',
                'droits',  # droits de l'utilisateur
                'plainte',  # procédure de plainte CAI
-                'cookies',  # ou cookies et traceurs
+                'cookies',  # cookies et traceurs
+                'biométriques',  # données biométriques (LCCJTI 44-45) — ajout 2026-04-27
+                'décisions automatisées',  # ajout 2026-04-27 (PDC §10)
                'date de mise à jour',
            ]
            for topic in required_topics: