Politique de confidentialité

La présente Politique de confidentialité explique comment le groupe de sociétés Humind Labs AI (collectivement, « Humind Labs AI », « nous » ou « notre ») recueille, utilise, communique et protège les renseignements personnels lorsque vous visitez humindlabsai.com (le « site Web ») ou que vous interagissez avec nous au moyen du formulaire de contact du site Web.

« Humind Labs AI » est une marque commerciale exploitée par quatre entités juridiques distinctes, chacune agissant à titre de responsable du traitement (entreprise) pour les utilisateurs situés sur son territoire :

• Octo Technologies (É.-U. — immatriculation en cours) — États-Unis — 117 NE 1st Avenue, 9th Floor, Miami, FL 33132
• Octo Technologies Inc. — Canada — 1030 W Georgia Street, Unit 1010, Vancouver, BC V6E 2Y3 — BC Incorporation #BC1264793; Federal Business #713145670BC0001; Vancouver Business Licence #26-120552
• Octo Technologies SpA — Chili — Badajoz 100, Of. 1014, Piso 10, Las Condes, Santiago 7560908 — RUT : 77.862.182-7
• Humanify AI Ltd. — Royaume-Uni — 71–75 Shelton Street, Covent Garden, London WC2H 9JQ — Companies House : 16264769; Inscription ICO : ZB977487

La présente Politique s'applique aux renseignements personnels que nous traitons dans le cadre du site Web et des demandes de consultation B2B qui y sont soumises. Elle ne vise pas les services que nous pourrions offrir en vertu d'une convention signée distincte (dont les modalités prévaudront), ni les sites Web de tiers auxquels le nôtre renvoie.

Le responsable du traitement qui vous est applicable est déterminé par votre pays de résidence. Si vous êtes situé dans un pays où nous n'avons pas d'entité dédiée, votre cocontractant est l'entité Humind Labs AI du pays que vous indiquez dans notre formulaire de contact ou, à défaut, Octo Technologies (É.-U. — immatriculation en cours) à titre de responsable par défaut. Les droits et recours propres à chaque pays sont décrits dans les Addenda par pays à la fin de la présente Politique.

Nous recueillons un ensemble limité de renseignements personnels, principalement par l'intermédiaire de notre formulaire de contact. Nous n'exploitons pas d'infolettre, nous n'utilisons pas d'analytique comportementale et nous n'installons pas de témoins publicitaires. Les catégories que nous traitons sont les suivantes :

• Soumissions du formulaire de contact : nom complet, adresse de courriel professionnelle, nom de l'entreprise, pays de résidence, service d'intérêt et le message que vous nous faites parvenir. Tous les champs à l'exception du nom de l'entreprise sont obligatoires.
• Données techniques générées automatiquement par votre navigateur lorsque vous accédez à nos serveurs : adresse IP, localisation géographique approximative déduite de l'IP, type d'appareil, système d'exploitation, type et version du navigateur, URL de provenance et horodatages. Ces données sont traitées par notre hébergeur (AWS) à des fins de sécurité et de journaux opérationnels.
• Préférences de témoins : un unique témoin de première partie nommé cookie_consent enregistre votre choix d'accepter ou de refuser les témoins. Aucun identifiant de suivi n'est défini ni partagé.
• Correspondance : si vous nous écrivez directement par courriel, nous traitons le contenu du message et tout renseignement que vous y incluez volontairement.

Nous utilisons vos renseignements personnels aux fins suivantes, et uniquement à ces fins :

• Pour répondre à votre demande, préparer une proposition et fournir les services de consultation que vous sollicitez.
• Pour vous envoyer un courriel de confirmation transactionnel accusant réception de votre soumission au formulaire de contact.
• Pour acheminer votre demande à l'équipe régionale appropriée (États-Unis, Canada, Chili ou Royaume-Uni) en fonction du pays que vous indiquez.
• Pour maintenir la sécurité, la disponibilité et l'intégrité du site Web, notamment pour prévenir les abus et enquêter sur les fraudes présumées.
• Pour respecter nos obligations légales, faire appliquer nos Conditions d'utilisation, défendre des réclamations juridiques et satisfaire aux exigences comptables et de conservation des registres.
• Pour agréger, anonymiser et dépersonnaliser les renseignements à des fins d'analyse interne. Les données agrégées ne constituent plus des renseignements personnels et ne sont pas visées par la présente Politique.

Lorsque le UK GDPR, le RGPD de l'UE (sous sa forme retenue) ou la Loi chilienne 21.719 s'applique, nous nous appuyons sur les fondements juridiques suivants en vertu de l'article 6 du règlement applicable :

• Exécution d'un contrat ou mesures précontractuelles prises à votre demande — lorsque vous soumettez un formulaire de contact pour vous renseigner sur nos services (art. 6(1)(b) UK/EU GDPR; art. 13(1)(b) Loi chilienne 21.719).
• Intérêts légitimes — pour sécuriser le site Web, prévenir la fraude et effectuer un marketing direct limité auprès de contacts d'affaires existants (art. 6(1)(f)). Vous avez le droit de vous opposer en tout temps à un traitement fondé sur des intérêts légitimes (voir section 10).
• Consentement — pour tout traitement facultatif pour lequel nous le demandons explicitement, comme les communications marketing futures. Le consentement peut être retiré en tout temps sans porter atteinte à la licéité du traitement antérieur (art. 6(1)(a); art. 7).
• Obligation légale — pour nous conformer aux exigences fiscales, comptables, de conservation de registres ou réglementaires applicables à chaque entité d'exploitation (art. 6(1)(c)).

Nous adoptons une approche minimaliste à l'égard des témoins. Le site Web utilise un seul témoin de première partie strictement nécessaire et n'utilise aucun témoin tiers de marketing, d'analytique ou de publicité.

• cookie_consent — première partie, conservation d'un an — enregistre votre choix d'accepter ou de refuser les témoins non essentiels. Stocké dans le stockage local de votre navigateur; aucun identifiant n'est transmis à des tiers. Strictement nécessaire au sens du UK GDPR / PECR règl. 6(4) et ne requiert pas de consentement préalable.
• Nous n'utilisons ni Google Analytics, ni Plausible, ni Mixpanel, ni Meta Pixel, ni LinkedIn Insight Tag, ni Hotjar, ni aucune autre technologie d'analytique ou de suivi comparable.
• Votre hébergeur (AWS CloudFront / Amplify) peut installer des témoins opérationnels de courte durée à des fins d'équilibrage de charge et de sécurité. Ceux-ci sont strictement nécessaires et ne vous identifient pas au-delà d'une session.

Nous ne vendons pas de renseignements personnels. Nous ne communiquons pas de renseignements personnels à des fins de publicité comportementale intercontextuelle ni à toute fin qualifiée de « vente » ou de « partage » au sens de la California Consumer Privacy Act (telle que modifiée par la CPRA).

Nous communiquons des renseignements personnels à un nombre restreint de sous-traitants qui fournissent des services strictement nécessaires à l'exploitation du site Web et à la réponse à vos demandes. Chaque sous-traitant est lié par un accord écrit de traitement des données exigeant des garanties équivalentes au GDPR / UK GDPR.

• Brevo (Sendinblue SA, France) — livraison de courriels et stockage CRM des soumissions du formulaire de contact, y compris les préférences de consentement et l'acheminement par pays. Les données sont hébergées dans l'Union européenne.
• Sanity Labs (Sanity.io AS, Norvège) — système de gestion de contenu sans tête utilisé exclusivement pour publier le blogue. Sanity ne traite pas les renseignements personnels recueillis par l'entremise du formulaire de contact.
• Amazon Web Services, Inc. (AWS Amplify + CloudFront) — hébergement du site Web et diffusion du contenu. Région d'hébergement : us-east-2 (Ohio, États-Unis). Les journaux serveur incluent les adresses IP et sont conservés pendant 90 jours.
• Google LLC (Google Workspace) — infrastructure de courriel pour les boîtes hello@humindlabsai.com et privacy@humindlabsai.com. Ne s'applique que lorsque vous correspondez avec nous par courriel.
• Conseillers professionnels — comptables, auditeurs et avocats — tenus au secret professionnel, mandatés seulement lorsque cela est nécessaire à l'exploitation de notre entreprise.
• Autorités publiques, tribunaux et forces de l'ordre — lorsque nous sommes légalement tenus de divulguer des renseignements en réponse à une demande juridique valide, ou lorsque la divulgation est nécessaire pour établir, exercer ou défendre des droits en justice.

Comme nous exerçons nos activités dans quatre pays, des renseignements personnels peuvent être transférés à l'étranger. Les flux particuliers dont vous devez être informé sont les suivants :

• Espace économique européen / Royaume-Uni / Suisse → États-Unis : lorsque les données de contact sont stockées chez Brevo (UE) et transmises à nos activités aux États-Unis, ou lorsque les journaux serveur AWS proviennent d'une IP UE/RU et sont stockés en us-east-2. Nous nous appuyons sur les Clauses contractuelles types (CCT) de la Commission européenne et sur le International Data Transfer Agreement (IDTA) ou l'Addendum britannique.
• Chili → Union européenne / États-Unis : données de contact transférées à Brevo (UE) et à AWS (É.-U.). La Loi chilienne 21.719 exige des garanties équivalentes au cadre chilien; nous recourons à des clauses contractuelles pour les assurer.
• Canada → États-Unis : les données transférées à l'hébergement AWS (É.-U.) sont couvertes par des ententes écrites exigeant une protection conforme à la LPRPDE (PIPEDA) et, le cas échéant, à la Loi 25 du Québec.
• Sur demande, nous fournirons une copie des garanties applicables à tout transfert transfrontalier précis de vos renseignements personnels.

Nous ne conservons les renseignements personnels que pendant la durée nécessaire aux fins décrites dans la présente Politique ou exigée par la loi applicable.

• Soumissions du formulaire de contact et dossiers CRM : jusqu'à 24 mois à compter de votre dernière interaction avec nous, après quoi les dossiers sont supprimés ou anonymisés, à moins qu'une période plus longue ne soit requise pour des motifs juridiques, fiscaux ou comptables.
• Journaux serveur (adresse IP, journaux d'accès) : 90 jours.
• Préférence de témoin (cookie_consent) : jusqu'à 1 an ou jusqu'à ce que vous effaciez le stockage de votre navigateur.
• Correspondance par courriel : jusqu'à 7 ans lorsque la conservation est exigée par la loi fiscale ou commerciale de la juridiction applicable; à défaut, 24 mois.
• Sauvegardes : les sauvegardes opérationnelles chiffrées sont permutées et entièrement écrasées dans un délai de 35 jours.

Sous réserve des lois de votre pays de résidence, vous disposez des droits suivants à l'égard de vos renseignements personnels. Nous répondrons aux demandes vérifiables dans le délai légal (généralement 30 jours; des prolongations peuvent s'appliquer lorsque la loi le permet).

• Droit d'accès — demander confirmation que nous traitons vos renseignements personnels et en recevoir une copie.
• Droit de rectification — demander la correction de renseignements inexacts ou incomplets.
• Droit à l'effacement (« droit à l'oubli ») — demander la suppression de vos renseignements lorsqu'un des motifs juridiques de suppression s'applique.
• Droit à la limitation du traitement — demander que nous limitions l'utilisation de vos renseignements dans certaines circonstances.
• Droit à la portabilité des données — recevoir vos renseignements dans un format structuré, couramment utilisé et lisible par machine, et demander leur transfert à un autre responsable lorsque cela est techniquement possible.
• Droit d'opposition — vous opposer en tout temps à un traitement fondé sur des intérêts légitimes, incluant le profilage, et au marketing direct.
• Droit de retirer votre consentement — lorsque le traitement est fondé sur le consentement, retirer celui-ci en tout temps sans incidence sur la licéité du traitement antérieur.
• Droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé — lorsque de telles décisions produisent des effets juridiques ou des effets importants similaires (nous ne pratiquons pas ce type de prise de décision; voir section 11).
• Droit de porter plainte auprès de votre autorité de contrôle — sans préjudice de tout autre recours administratif ou judiciaire (voir section 17 et les Addenda par pays).

Nous ne vous soumettons pas à des décisions fondées exclusivement sur un traitement automatisé — y compris le profilage — qui produisent des effets juridiques vous concernant ou vous affectent de manière significative similaire (au sens de l'article 22 UK/EU GDPR et des dispositions équivalentes de la Loi chilienne 21.719).

Bien que Humind Labs AI se spécialise en consultation en IA, le site Web lui-même n'utilise pas l'intelligence artificielle pour prendre ou influencer substantiellement des décisions à votre sujet. Toute décision importante concernant vos demandes est examinée par un membre humain de l'équipe avant l'émission de toute réponse commerciale.

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger les renseignements personnels contre l'accès non autorisé, l'altération, la divulgation ou la destruction. Ces mesures comprennent, sans s'y limiter :

• Chiffrement en transit (TLS 1.2 ou supérieur) pour toutes les communications avec le site Web et entre nos sous-traitants.
• Chiffrement au repos pour les données stockées par Brevo, AWS et Sanity.
• Contrôles d'accès selon le principe du moindre privilège; authentification multifacteur pour tout le personnel ayant accès aux renseignements personnels; révision trimestrielle des accès.
• Ententes écrites de traitement des données avec tous les sous-traitants exigeant des normes de sécurité équivalentes.
• Procédures de réponse aux incidents alignées sur les délais de notification aux régulateurs de 72 heures, le cas échéant.
• Formation à la sécurité pour tout le personnel manipulant des renseignements personnels.
• Remarque : aucune méthode de transmission ou de stockage n'est sécurisée à 100 %. Nous ne pouvons garantir une sécurité absolue, mais nous travaillons continuellement à protéger vos renseignements.

Le site Web s'adresse aux entreprises et aux professionnels d'affaires et ne s'adresse pas aux enfants. Nous ne recueillons pas sciemment de renseignements personnels auprès d'enfants en deçà de l'âge du consentement numérique dans la juridiction applicable : 13 ans (États-Unis / Royaume-Uni / Canada hors Québec), 14 ans (Chili en vertu de la Loi 21.719; Québec pour les services de type médias sociaux en vertu de la Loi 25), ou 16 ans lorsqu'un âge plus élevé s'applique en vertu du droit local. Si vous pensez que nous avons recueilli par inadvertance des renseignements personnels auprès d'un enfant, veuillez communiquer avec nous et nous les supprimerons rapidement.

Si nous prenons connaissance d'un incident de confidentialité susceptible d'entraîner un risque pour vos droits et libertés, nous aviserons l'autorité de contrôle compétente sans délai indu et, dans la mesure du possible, dans les 72 heures de la prise de connaissance, conformément à l'article 33 du UK GDPR, à la Loi 25 du Québec et aux obligations équivalentes dans nos autres juridictions. Lorsque l'incident est susceptible d'entraîner un risque élevé pour vous, nous vous aviserons également directement, sans délai indu, dans un langage clair et simple, en décrivant la nature de l'incident, les conséquences probables et les mesures prises ou proposées.

Nous pouvons mettre à jour la présente Politique de confidentialité de temps à autre pour refléter les changements dans nos activités, le droit applicable ou les pratiques du secteur. Lorsque nous apportons des modifications importantes, nous mettrons à jour la date de « Dernière mise à jour » en haut de la présente Politique et, lorsque la loi l'exige, nous afficherons un avis bien en vue sur le site Web ou communiquerons directement avec vous avant l'entrée en vigueur des modifications. Nous vous encourageons à revoir périodiquement la présente Politique.

Pour toute question relative à la présente Politique de confidentialité, pour exercer vos droits ou pour joindre notre responsable de la protection des renseignements personnels, vous pouvez nous joindre aux coordonnées suivantes :

• Courriel (principal) : privacy@humindlabsai.com — surveillé par Felipe Medel, notre responsable de la protection des renseignements personnels.
• Demandes générales : hello@humindlabsai.com
• Adresse postale : utilisez l'adresse de l'entité qui vous est applicable (voir section 1 et les Addenda par pays ci-dessous).
• Lorsque vous communiquez avec nous au sujet d'une demande d'exercice de droits, veuillez inclure suffisamment de renseignements pour nous permettre de vérifier votre identité et de repérer vos dossiers. Nous ne communiquerons pas de renseignements personnels à quiconque ne peut raisonnablement prouver qu'il est la personne concernée par ces renseignements.

Vous avez le droit de porter plainte auprès de l'autorité de contrôle de votre pays de résidence. Les cheminements de plainte propres à chaque pays sont décrits dans les Addenda par pays ci-dessous. Porter plainte auprès d'une autorité de contrôle est sans préjudice de tout autre recours administratif ou judiciaire qui vous est ouvert et ne vous oblige pas à communiquer d'abord avec nous — cela dit, nous accueillerions volontiers l'occasion de régler votre préoccupation directement.