Politique de confidentialité

Conformément à la Loi 25 du Québec (art. 8), Polaris a désigné un responsable de la protection des renseignements personnels. Vous pouvez le joindre à :

Responsable de la protection des renseignements personnels
Courriel : privacy@polarisapp.ca
Pour toute demande relative à vos données, droits d'accès, rectification ou suppression.

Polaris est destiné aux personnes de 18 ans ou plus. Nous ne collectons sciemment aucune donnée concernant des mineurs. Si nous apprenons qu'un mineur a créé un compte, ses données sont immédiatement supprimées.

Lors de votre utilisation du Service, nous collectons :

• Données de compte : adresse courriel, mot de passe haché (jamais stocké en clair), date d'inscription, langue préférée.
• Données d'usage : titres ajoutés à vos watchlists, notes d'investissement, niveaux de conviction, alertes configurées, historique des analyses générées.
• Données techniques : empreinte d'adresse IP (hachée SHA-256, jamais conservée en clair) servant à limiter les abus, type de navigateur, préférence de thème, identifiant de session. La limitation de débit elle-même fonctionne en mémoire, sans conserver votre adresse IP.
• Données de facturation (pour abonnés Pro/Élite) : gérées par Stripe selon leur propre politique. Nous ne stockons aucun numéro de carte, uniquement un identifiant client Stripe.
• Données d'erreur (Sentry) : en cas de bug, nous capturons le message d'erreur, la pile d'appel et l'URL concernée. Aucune donnée personnelle n'est volontairement transmise.

• Authentifier votre compte et personnaliser votre expérience.
• Générer les analyses personnalisées (régime macro appliqué à votre watchlist, réveil de thèses, alertes).
• Calculer votre quota d'utilisation (forfait gratuit) sans révéler les détails à d'autres utilisateurs.
• Améliorer le Service (statistiques d'usage agrégées et anonymisées).
• Vous notifier d'alertes ou de changements substantiels (par courriel si configuré).

Nous n'envoyons pas vos notes ni vos thèses à des tiers. Les requêtes vers le modèle Claude (Anthropic) contiennent les données nécessaires à l'analyse du titre, sans inclure vos identifiants personnels.

Conformément à la Loi 25 (art. 12.1), nous vous informons que Polaris utilise des algorithmes pour générer :

• Un score d'opportunité (0-100) basé sur des indicateurs publics (P/E, ROE, RSI, etc.) ;
• Un verdict synthétique (Achat / Vente / Neutre) calculé à partir du score ;
• Des alertes automatiques (réveil de thèse) basées sur les seuils que vous avez configurés.

Ces décisions ne produisent aucun effet juridique pour vous et ne sont pas utilisées pour évaluer des aspects personnels (crédit, emploi, etc.). Vous pouvez toujours :

• Connaître les facteurs qui influencent un score (cliquer sur chaque indicateur affiche son détail) ;
• Désactiver toute alerte automatique à tout moment ;
• Obtenir une explication détaillée en écrivant à privacy@polarisapp.ca.

Vos données sont traitées par les sous-traitants suivants :

• Supabase — base de données PostgreSQL, authentification, stockage des watchlists, alertes, notes de position, tokens broker chiffrés AES-256-GCM et toute donnée user. Région d'hébergement : Central Canada (ca-central-1, Montréal) — toutes vos données client sont stockées au Canada, conformément à la Loi 25.
• Questrade (Canada) — si vous connectez votre compte Questrade pour importer votre portefeuille. Accès en lecture seule : Polaris peut lire vos positions et soldes, jamais placer d'ordre ni transférer d'argent. Tokens OAuth chiffrés AES-256-GCM, révocables à tout moment depuis /portefeuille ou directement dans Questrade.
• SnapTrade (le cas échéant) — service d'agrégation multi-courtiers (p. ex. Wealthsimple, Interactive Brokers, Questrade), utilisé uniquement si vous connectez un compte de courtage pris en charge. Accès en lecture seule (positions et soldes, jamais d'ordre ni de transfert), jetons chiffrés AES-256-GCM, révocables à tout moment depuis /portefeuille.
• Vercel (États-Unis, région US-East) — hébergement de l'application web et exécution des fonctions serveur. Données client uniquement en transit (TLS 1.3), aucun stockage persistant.
• Stripe (États-Unis, Irlande) — traitement des paiements et facturation.
• Anthropic (États-Unis) — modèles d'IA Claude pour la génération d'analyses.
• Sentry (États-Unis) — surveillance des erreurs applicatives.
• Resend (États-Unis) — envoi de courriels transactionnels (alertes, confirmations).
• Twelve Data, Polygon.io, Finnhub, FMP (Financial Modeling Prep), CoinGecko, FRED, Banque du Canada, multpl.com — sources de données financières et de marché (uniquement des requêtes anonymes — cours, indices, taux, etc. ; aucune donnée personnelle vous concernant n'est transmise).

Plusieurs de nos sous-traitants qui traitent des renseignements vous concernant (Anthropic, Vercel, Sentry, Stripe) sont situés aux États-Unis. Nos fournisseurs de données financières (Twelve Data, Polygon.io, Finnhub, FMP, CoinGecko, FRED) y sont également situés, mais ne reçoivent que des requêtes anonymes (aucune donnée personnelle). Conformément à la Loi 25 (art. 17), nous vous informons que vos données peuvent être traitées en dehors du Québec. Nous avons évalué que :

• Ces sous-traitants offrent une protection adéquate des renseignements personnels, alignée avec les standards québécois et canadiens (LPRPDE) ;
• Des accords de traitement (DPA) sont en place avec chaque sous-traitant limitant l'usage de vos données aux seules fins du Service ;
• Vous pouvez vous opposer à ces transferts en supprimant votre compte (les fonctionnalités IA, en particulier, ne sont pas disponibles sans transfert vers Anthropic).

Conformément à la Loi 25 du Québec et au RGPD, vous avez le droit :

• d'accéder à vos données ;
• de les corriger ou les compléter ;
• de demander leur suppression (« droit à l'oubli ») ;
• de demander leur portabilité dans un format lisible ;
• de vous opposer au traitement ou de retirer votre consentement ;
• de déposer une plainte auprès de la Commission d'accès à l'information du Québec (CAI).

Pour exercer ces droits, écrivez-nous à privacy@polarisapp.ca. Nous répondons sous 30 jours. La suppression de votre compte entraîne la suppression immédiate et irréversible de toutes vos notes, alertes, watchlists et historique.

Conformément à la Loi 25 (art. 3.5), en cas d'incident de confidentialité présentant un risque sérieux de préjudice, nous nous engageons à :

• Notifier la Commission d'accès à l'information du Québec dans les 72 heures ;
• Vous notifier directement par courriel dans les plus brefs délais, avec description de l'incident, des données touchées et des mesures prises ;
• Tenir un registre interne des incidents (art. 3.8 Loi 25).

Vos données de compte sont conservées tant que votre compte est actif. Vous pouvez supprimer votre compte à tout moment depuis vos paramètres de compte.

La suppression de votre compte efface immédiatement vos données personnelles (notes, alertes, watchlists, portefeuille), sauf les renseignements soumis à une obligation légale de conservation (ex. : données de facturation conservées 7 ans par notre processeur de paiement, selon les obligations comptables et légales applicables).

Nous utilisons des cookies strictement nécessaires :

• Cookie de session Supabase pour vous garder connecté·e.
• Cookie de préférence de thème (light / dark / auto) — stocké dans localStorage, jamais transmis au serveur.
• Préférence de langue (FR / EN) — déterminée par le chemin d'URL (/fr, /en) via next-intl.
• Aucun cookie publicitaire, aucun tracking externe (pas de Google Analytics, Facebook Pixel, etc.).

Cette politique peut évoluer. Les changements substantiels vous seront notifiés par courriel ou via l'application au moins 30 jours avant leur entrée en vigueur. Votre utilisation continue du Service après notification vaut acceptation des changements.