Politique de confidentialité
Version 2026-07 · Dernière mise à jour: 2 juillet 2026
La présente politique de confidentialité explique comment Revyn Media (« nous ») recueille, utilise et protège les renseignements personnels lorsque vous visitez revynengine.com, vous inscrivez à Revyn Engine ou utilisez la plateforme Revyn Engine. Notre siège social est situé en Alberta, au Canada (First Edmonton Place, 10665 Jasper Avenue, Edmonton, AB T5J 3S9, Canada) et nous desservons des établissements au Canada, aux États-Unis et, à mesure de notre expansion, dans l'Union européenne et au Royaume-Uni. La présente politique est rédigée conformément à la LPRPDE, à la loi albertaine sur la protection des renseignements personnels (PIPA), à la Loi 25 du Québec, aux lois américaines des États sur la vie privée (dont la CCPA/CPRA) et au RGPD de l'UE et du Royaume-Uni.
Qui est responsable de vos renseignements
Pour les renseignements que vous nous fournissez directement — un essai, une demande commerciale, votre compte d'exploitant — nous agissons à titre de responsable du traitement (l'organisation responsable au sens du droit canadien). Pour les données des invités que les établissements gèrent dans la plateforme (réservations, décharges, profils clients, conversations), l'établissement est le responsable et nous agissons comme sous-traitant selon ses instructions documentées, en vertu de l'addenda de traitement des données qui fait partie de nos conditions de service. Les invités qui souhaitent accéder aux données détenues par un établissement ou les supprimer doivent d'abord communiquer avec cet établissement; la plateforme lui fournit les outils nécessaires et nous l'assistons au besoin.
Notre responsable de la protection des renseignements personnels — la personne responsable au sens de la LPRPDE et de la PIPA, la personne responsable de la protection des renseignements personnels au sens de la Loi 25 du Québec, et notre point de contact en matière de vie privée aux fins du RGPD — peut être jointe à [email protected] ou par la poste à Revyn Media, First Edmonton Place, 10665 Jasper Avenue, Edmonton, AB T5J 3S9, Canada.
Renseignements que nous recueillons
- Coordonnées et données de compte — nom, courriel, nom d'entreprise et numéro de téléphone lorsque vous demandez un essai, un accès à la démonstration ou contactez notre équipe; identifiants de connexion, rôles et paramètres de sécurité (comme l'inscription à l'authentification multifacteur) lorsque vous utilisez la plateforme.
- Contenu de la plateforme — les données que les établissements y stockent : réservations, profils clients, décharges (y compris celles de mineurs, signées par un parent ou tuteur), messages et contenu de campagnes.
- Données de paiement — la facturation des abonnements et les paiements des invités sont traités par Stripe. Les numéros de carte ne transitent jamais par nos systèmes.
- Données d'utilisation et d'appareil — journaux de serveur et registres d'audit de sécurité (les adresses IP dans les journaux de sécurité sont stockées sous forme hachée lorsque possible), ainsi que des mesures d'analyse de première partie respectueuses de la vie privée, recueillies selon vos choix de consentement lorsque votre région l'exige.
Pourquoi nous traitons ces données et sur quelle base
Lorsque le RGPD s'applique, chaque finalité repose sur une base légale consignée :
- Contrat — fourniture de la plateforme et du site, exploitation des réservations, de l'enregistrement, des paiements et de la messagerie que vous ou votre établissement initiez.
- Consentement — témoins d'analyse et de marketing dans les régions à consentement préalable, et communications marketing, que vous pouvez retirer en tout temps aussi facilement que vous les avez accordés.
- Intérêts légitimes — sécurisation de la plateforme (prévention de la fraude et des abus, journalisation et alertes de sécurité), amélioration du service et réponse aux demandes commerciales.
- Obligation légale — conservation des dossiers financiers, des décharges signées et des registres de consentement et d'audit, et réponse aux demandes légales.
Nous ne vendons pas de renseignements personnels et nous ne les « partageons » pas à des fins de publicité comportementale intercontextuelle au sens de la CCPA/CPRA. Comme nous ne vendons ni ne partageons de renseignements, les signaux universels de retrait comme le Global Privacy Control ne changent pas notre traitement et nous les considérons comme conformes aux choix que nous appliquons déjà. Nous n'utilisons pas non plus de renseignements personnels pour des décisions automatisées produisant des effets juridiques ou significatifs. Conformément à la Loi 25, nous n'employons aucune technologie permettant de vous identifier, de vous localiser ou de vous profiler sans votre consentement.
Témoins et analyse
Notre bannière de consentement s'adapte à votre région : dans l'UE, au Royaume-Uni, au Québec et dans les autres territoires à consentement préalable, les technologies d'analyse et de marketing demeurent désactivées jusqu'à ce que vous les activiez; ailleurs en Amérique du Nord, la bannière agit comme un centre de préférences où vous pouvez désactiver des catégories en tout temps. Notre analyse Web est de première partie et sans témoins, et les événements d'analyse sont supprimés après 14 mois. Les registres de vos choix de consentement sont conservés 7 ans, car la loi exige que nous puissions en faire la preuve.
Avec qui nous partageons les données (sous-traitants)
Nous ne partageons de renseignements personnels qu'avec les fournisseurs nécessaires au fonctionnement de la plateforme, chacun lié par une entente de protection des données et détenant des certifications de sécurité indépendantes (SOC 2 / ISO 27001 / PCI-DSS selon le cas) :
- Cloudflare — hébergement, calcul, stockage, RDC et sécurité (réseau mondial; stockage principal en Amérique du Nord)
- Stripe — facturation des abonnements et paiements des invités
- Twilio — messagerie SMS et vocale
- Mailgun (Sinch) — courriels transactionnels
- HighLevel — intégration facultative de GRC/marketing, lorsqu'un établissement l'active
- Fournisseurs d'IA — lorsqu'un établissement active des fonctions d'agent IA, le contenu des conversations est traité par les fournisseurs d'IA qui lui sont divulgués à l'activation
Le registre à jour des sous-traitants est disponible sur demande à [email protected], et les établissements sont avisés avant l'ajout d'un nouveau sous-traitant. Nous pouvons aussi divulguer des renseignements lorsque la loi l'exige — et lorsque la loi le permet, nous avisons l'établissement concerné avant de répondre à une demande légale visant ses données.
Transferts internationaux
Notre plateforme fonctionne sur le réseau de Cloudflare, avec un stockage principal en Amérique du Nord. Le Canada bénéficie d'une décision d'adéquation de la Commission européenne pour les données protégées par la LPRPDE, et les transferts vers nos sous-traitants américains s'effectuent en vertu de leurs clauses contractuelles types de l'UE (et de l'addenda du Royaume-Uni ou de l'IDTA, selon le cas), conjointement avec leurs certifications de sécurité publiées. Pour les résidents du Québec, nous réalisons une évaluation des facteurs relatifs à la vie privée avant de communiquer des renseignements personnels à l'extérieur du Québec et nous nous appuyons sur ces mêmes garanties contractuelles et de sécurité, que nous avons jugées adéquates au sens de la Loi 25.
Conservation
Nous ne conservons les renseignements personnels que le temps nécessaire aux finalités ci-dessus, selon un calendrier de conservation documenté et appliqué automatiquement. Périodes représentatives : les corps de messages sont supprimés après 2 ans; les journaux d'appels après 1 an; l'historique des séances de jeu est anonymisé après 5 ans; les événements d'analyse sont supprimés après 14 mois; les registres de consentement et d'audit sont conservés 7 ans pour respecter nos obligations de responsabilité; les décharges signées et les dossiers de paiement sont conservés pour les périodes de prescription et fiscales exigées par la loi. Lorsqu'un établissement ferme son compte, ses données sont supprimées ou anonymisées après une période de transition, sauf si la loi exige une conservation plus longue.
Vos droits
Où que vous soyez, vous pouvez nous demander d'accéder à vos renseignements personnels, de les corriger, de les exporter ou de les supprimer en écrivant à [email protected]. Nous vérifions chaque demande, y répondons dans le délai prévu par votre loi (30 jours en vertu de la LPRPDE, de la Loi 25 et du RGPD; 45 jours en vertu de la CCPA/CPRA, prolongeable seulement si la loi le permet) et ne vous pénalisons jamais pour l'exercice de vos droits. Les droits particuliers à chaque région comprennent :
- Québec (Loi 25) — accès, rectification, retrait du consentement et droit à la portabilité de vos données; le droit d'être informé de toute utilisation de vos renseignements aux fins de profilage automatisé et d'en demander la cessation; et le droit de porter plainte auprès de la Commission d'accès à l'information (CAI). Nous n'utilisons aucune technologie qui vous identifie, vous localise ou vous profile sans votre consentement, et les technologies d'analyse et de marketing sont désactivées par défaut pour les visiteurs du Québec jusqu'à ce que vous les activiez.
- Canada (LPRPDE / PIPA de l'Alberta) — accès et rectification, retrait du consentement, et droit de porter plainte auprès de notre responsable, du Commissariat à la protection de la vie privée du Canada ou du Commissariat à l'information et à la protection de la vie privée de l'Alberta.
- UE / Royaume-Uni (RGPD) — accès, rectification, effacement, limitation, portabilité, opposition (y compris au marketing direct, que nous respectons toujours), retrait du consentement, et droit de porter plainte auprès de votre autorité de contrôle (au Royaume-Uni, l'ICO).
- États-Unis (CCPA/CPRA et autres lois d'États) — connaître, consulter, corriger, supprimer et transférer vos renseignements; comme nous ne les vendons ni ne les partageons, aucun retrait n'est requis. Si nous refusons une demande, vous pouvez faire appel en répondant à notre décision, et un réviseur différent y répondra dans le délai d'appel prévu par la loi.
Pour les données des invités détenues par un établissement, nous transmettons la demande à l'établissement (le responsable) et appuyons sa réponse avec les outils d'exportation, de correction et d'effacement intégrés à la plateforme.
Sécurité
Chaque compte est protégé par une authentification multifacteur à la connexion. Les données sont chiffrées en transit (TLS 1.2+) et au repos, avec une couche de chiffrement applicative supplémentaire pour les valeurs sensibles. L'accès est fondé sur les rôles, revérifié à chaque requête et consigné dans des journaux d'audit inviolables également diffusés vers un stockage indépendant. Nos contrôles sont alignés sur la matrice CSA Cloud Controls Matrix v4, nous procédons à une autoévaluation annuelle, et notre procédure de réponse aux incidents nous engage à aviser les établissements touchés sans délai indu — ainsi que les autorités et les personnes concernées dans les délais applicables, y compris la règle des 72 heures du RGPD et l'obligation d'aviser la CAI en cas d'incident de confidentialité présentant un risque de préjudice sérieux. Voir Sécurité et conformité pour plus de détails.
Enfants
Ce site et les comptes d'exploitant de la plateforme sont destinés aux adultes (18 ans et plus), et nous ne recueillons pas sciemment de renseignements personnels d'enfants par l'entremise de ce site. Les décharges de mineurs sont créées et consenties par un parent ou tuteur légal à la demande de l'établissement (pour un mineur de moins de 14 ans, le consentement est donné par le titulaire de l'autorité parentale), sont traitées comme des données sensibles et ne servent qu'à cette fin.
Modifications et contact
Nous pouvons mettre à jour la présente politique de temps à autre; les modifications importantes seront indiquées sur cette page avec une nouvelle date de « dernière mise à jour », et les établissements seront avisés des changements touchant le traitement des données de leurs invités. Des questions ou une plainte? Écrivez à [email protected] ou [email protected], ou écrivez à notre responsable de la protection des renseignements personnels à Revyn Media, First Edmonton Place, 10665 Jasper Avenue, Edmonton, AB T5J 3S9, Canada. Si nous ne pouvons résoudre votre préoccupation, vous pouvez communiquer avec l'autorité de protection de la vie privée de votre région, énumérée sous « Vos droits ».