Privacy Policy
Last updated: April 10, 2026
1. Introduction
This Privacy Policy describes how PLCFLOW Technologies Inc. ("PLCflow", "we", "us", "our"), a corporation registered in Ontario, Canada, collects, uses, discloses, and protects your personal information when you use our web-based PLC code generation and analysis platform ("the Service").
This Policy applies to users in Canada and the United States. It is intended to meet the requirements of Canada's Personal Information Protection and Electronic Documents Act (PIPEDA), Quebec's Act respecting the protection of personal information in the private sector (Law 25), and the California Consumer Privacy Act / California Privacy Rights Act (CCPA/CPRA).
By creating an account or using the Service, you acknowledge that you have read and understood this Privacy Policy.
2. Privacy Officer
PLCflow has designated a Privacy Officer who is responsible for our compliance with applicable privacy laws and for handling privacy-related inquiries and complaints.
Privacy Officer: Georges Gregoire
Email: [email protected]
Mail: PLCFLOW Technologies Inc., 358 Concord Ave, Toronto, ON, M6H 2P8, Canada
You may contact our Privacy Officer at any time to: access, correct, or request deletion of your personal information; ask questions about this Policy; withdraw consent where applicable; or submit a privacy complaint.
3. Information We Collect
We collect only the information necessary to provide and improve the Service.
Account information: When you sign up via Auth0, we receive your name, email address, and profile picture from your identity provider. If you sign in with Google, GitHub, or Microsoft, we receive the profile information you authorize through that provider.
Usage and quota data: We record the number of code generations, AI Command messages, file uploads, and other feature interactions to enforce your subscription quotas, display usage statistics in your dashboard, and improve the Service.
Generated content and projects: Code, configurations, and files you create, upload, or generate through the Service are stored in your account and associated with your projects. AI Command conversations are stored temporarily (see Section 6).
Payment information: Billing is handled entirely by Stripe. We do not store your credit card number or bank account details. We receive and store your Stripe customer ID and subscription status only.
Technical and diagnostic data: We collect error reports and performance data through Sentry to diagnose and fix issues. This may include your IP address, user ID, email address, browser type, operating system, and a record of actions taken before an error (breadcrumbs). Sentry collects this data with personally identifiable information enabled (sendDefaultPii: true) to help us link errors to affected accounts. See Section 5 for full subprocessor details.
Job and audit history: We store metadata about feature runs (e.g., routine name, operation type, token usage counts) in our database for your usage history. This metadata does not include your prompt text or model output text.
4. How We Use Your Information
We use your personal information only for the following purposes:
- Providing the Service: Operating your account, storing your projects, processing code generation and analysis requests.
- Subscription management: Enforcing plan limits, billing recurring subscriptions through Stripe, and communicating billing events.
- Transactional communications: Sending account welcome messages, billing receipts, usage alerts, and security notifications via Resend. These messages are service-related and cannot be opted out of while you have an active account.
- Diagnostics and improvement: Using error and performance data from Sentry to identify bugs and improve reliability.
- Security and fraud prevention: Detecting and responding to abuse, unauthorized access, and violations of our Terms of Service.
- Legal compliance: Meeting our obligations under applicable law, responding to lawful requests, and enforcing our agreements.
We do not sell your personal information. We do not use your data for advertising or marketing profiling. We do not share your data with third parties except as described in this Policy.
5. Third-Party Service Providers
We use the following service providers that process personal data on our behalf. Each is bound by contractual data protection obligations and has its own privacy policy.
| Provider | Purpose | Data Location |
|---|---|---|
| Auth0 (Okta) | Authentication and identity management | United States |
| Stripe | Payment processing and subscription management | United States |
| Anthropic | AI-powered code generation and analysis (Claude API) | United States |
| Sentry | Error tracking and performance monitoring (including user ID, email, and IP in error reports) | United States |
| Resend | Transactional email delivery | United States |
| Render | Application and database hosting (backend infrastructure) | Canada (Toronto) & United States (Virginia) |
| Vercel | Frontend hosting and content delivery | Canada (Montréal) |
We will notify you of material changes to this list at least 30 days before a new subprocessor begins processing your data. An up-to-date list is always available at this page. Enterprise customers may request our Data Processing Addendum at [email protected] or at plcflow.io/dpa.
6. AI Data Handling
PLCflow uses Anthropic's Claude API to power several features. Here is exactly what is and is not stored for each:
AI Command Center: Your full conversation history — including every user message, assistant reply, tool calls, and tool results — is stored server-side in Redis under your account. Conversations are automatically deleted after 7 days of inactivity (the TTL refreshes on each interaction). You can view your conversation history and delete individual conversations at any time from within the AI Command interface. PLCflow staff with Redis access can technically read stored conversations; access is role-restricted and logged.
Code Analyzer, Comment Helper, and Deep Analysis: Prompts and model outputs for these features are not stored server-side. They are processed synchronously and discarded after the response is returned to your browser.
Job history and audit logs: For all AI features, we store metadata only — such as routine name, operation type, and token usage counts. No prompt text or model output text is written to the permanent database.
Application logs: Our application may log the first 50 characters of a system prompt and token counts for debugging purposes. Full prompts and outputs are not written to application logs. Log retention depends on our hosting provider's (Render) retention settings.
Anthropic (Claude API): Anthropic does not use API inputs or outputs to train their models. Your code and data are not retained by Anthropic beyond the duration of each API request.
Important: Do not submit passwords, API keys, personal identification numbers, or sensitive personal information in AI prompts. The AI Command conversation history is stored and accessible to you and to PLCflow staff as described above.
7. Cookies & Local Storage
We use a small number of cookies and browser storage items, all of which are necessary to operate the Service. We do not use advertising cookies, tracking pixels, or third-party analytics cookies.
First-party cookies on plcflow.io
| Cookie | Purpose | Duration |
|---|---|---|
| plcflow_signed_in | Indicates an active session across subdomains (e.g., switches the marketing site header from "Sign in" to "Dashboard"). Set by PLCflow. Value: 1. Domain: .plcflow.io. | 30 days |
| auth0.*.is.authenticated | Auth0 SPA SDK indicator that a valid Auth0 session exists, used for silent token refresh on page reload. Set by Auth0 on the app domain. | Session / Auth0-controlled |
Third-party cookies set during login and checkout
| Provider | When set |
|---|---|
| Auth0 (auth0.com tenant domain) | During the login/logout redirect flow; set on Auth0's own domain, not on plcflow.io |
| Stripe (stripe.com, checkout.stripe.com) | When you visit Stripe Hosted Checkout or the Stripe Customer Portal; set on Stripe's own domain, not on plcflow.io |
Browser local storage on app.plcflow.io
| Key | Purpose |
|---|---|
| theme / density | Remembers your UI appearance preferences (dark/light mode, display density) |
| trialExpiredDismissed | Remembers that you have dismissed the trial-expiry notification banner |
All cookies above are strictly necessary or functional. Auth tokens are stored in memory (not local storage or cookies) by the Auth0 SDK.
8. Data Storage, Residency & Security
Your data is stored across the following infrastructure:
| System | Contents | Region |
|---|---|---|
| PostgreSQL (Render) | Account data, projects, generated code, job history, audit logs, billing metadata | Canada — Toronto (CA) |
| Redis (Render) | AI Command conversation history (7-day TTL), session cache | United States — N. Virginia (us-east-1) |
| Application backend (Render) | API server; processes all requests | United States — Virginia (us-east-1) |
| Frontend (Vercel) | Static assets and server-side rendering | Canada — Montréal (ca-central-1) |
All data is encrypted in transit using TLS 1.2 or higher. We implement security measures including JWT-based authentication, rate limiting, input validation, and audit logging to protect your data. Access to production systems is restricted to authorized personnel and is logged.
9. Cross-Border Data Transfers
Some of your personal information is transferred to and processed in the United States, including via our Redis cache (Virginia), backend application server (Virginia), and subprocessors Auth0, Anthropic, Stripe, Sentry, and Resend, which are all US-based.
As required by PIPEDA and Quebec's Law 25, we want you to understand that personal information transferred outside Canada may be accessible to foreign governments, courts, law enforcement, and regulatory agencies under the laws of that country, including the United States' CLOUD Act and related legislation. We take contractual and technical steps to protect your data when it is transferred internationally.
If you have questions about our international transfer practices, contact our Privacy Officer at [email protected].
10. Data Retention
We retain your personal information only as long as necessary for the purposes described in this Policy, or as required by law.
| Data Category | Retention Period |
|---|---|
| Account data, projects, generated code | Until account deletion, then purged within 30 days |
| AI Command conversation history (Redis) | 7 days from last interaction (automatic expiry) |
| Usage and quota logs | 13 months |
| Job history and audit logs | Until account deletion, then purged within 30 days |
| Error reports (Sentry) | 30 days |
| Billing records and transaction history | 7 years (required by Canadian tax law / CRA) |
| Database backups | 35 days rolling |
Account deletion: When you delete your account (Settings > Account), the following occurs:
- All projects, generated outputs, uploaded files, and job history are queued for permanent deletion
- Your Stripe subscription is cancelled and your Stripe customer record is deleted
- Your Auth0 identity record is deleted
- AI Command conversation history in Redis is cleared immediately
- Remaining personal data is purged from our database within 30 days
- Billing records are retained for 7 years as required by law
Account deletion is permanent and cannot be undone.
11. Your Rights
Depending on where you reside, you have the following rights regarding your personal information. We will respond to verified requests within 30 days (or as required by applicable law).
Access: Request a copy of the personal information we hold about you. You can view most of your data directly through the Service dashboard and Settings.
Correction: Update inaccurate or incomplete personal information through Settings > Profile, or by contacting us.
Deletion: Request deletion of your personal information. You can delete your full account from Settings > Account, or contact us to request deletion of specific data.
Export / Portability: Download all your account data as a ZIP file from Settings > Data & Export.
Withdraw Consent: Where we process your data based on consent, you may withdraw that consent at any time by contacting our Privacy Officer. Withdrawal does not affect the lawfulness of processing before the withdrawal.
Complaint: You have the right to submit a privacy complaint to our Privacy Officer. If you are not satisfied with our response, you may escalate to the applicable regulatory authority (see Section 14).
To exercise any of these rights, contact our Privacy Officer at [email protected] or at the mailing address in Section 2. We may ask you to verify your identity before processing a request.
12. Additional Rights for Quebec Residents
If you are a resident of Quebec, you have the following additional rights under Quebec's Act respecting the protection of personal information in the private sector (Law 25):
Portability (structured format): You may request that your personal information be communicated to you in a structured, commonly used technological format, or be transferred directly to another organization where technically feasible. This is available via the data export function in Settings > Data & Export, or by contacting us.
De-indexing and cessation of dissemination: If personal information about you has been disseminated online, you may request that we cease disseminating it or de-index it, where doing so would prevent serious injury to you and the information is no longer necessary for the purpose for which it was collected.
Automated decision-making: We use AI features (powered by Anthropic's Claude) to generate code and analysis based on your inputs. These features do not make autonomous decisions about your account or subscription — a human (you) initiates and validates all outputs. If we implement automated decision-making that produces legal or similarly significant effects, we will update this Policy and notify you.
Complaint to the CAI: If you believe we have not complied with Quebec's privacy law, you may file a complaint with the Commission d'accès à l'information (CAI).
Privacy Impact Assessments: PLCflow conducts Privacy Impact Assessments before launching new features that involve personal information or before transferring personal information outside Quebec, in accordance with Law 25.
13. Additional Rights for California Residents (CCPA/CPRA)
If you are a California resident, the California Consumer Privacy Act and California Privacy Rights Act provide you with additional rights. PLCflow does not sell or share your personal information for cross-context behavioural advertising.
Categories of personal information collected in the past 12 months
| Category | Examples | Purpose |
|---|---|---|
| Identifiers | Name, email address, IP address, Auth0 user ID | Account operation, security, diagnostics |
| Commercial information | Subscription tier, billing status, Stripe customer ID | Billing and subscription management |
| Internet or electronic network activity | Feature usage counts, error reports, browser/OS type, breadcrumb events | Quota enforcement, diagnostics, Service improvement |
| Professional or employment-related information | PLC code, configurations, project names uploaded by you | Providing the Service |
| Inferences | Usage patterns derived from feature interaction data | Quota enforcement, Service improvement |
Sources: directly from you; automatically via the Service; Auth0 (identity provider); Sentry (error telemetry). We do not collect sensitive personal information as defined under CPRA beyond what is listed above.
Your CCPA/CPRA rights
- Right to Know: Request disclosure of the categories and specific pieces of personal information we have collected about you.
- Right to Delete: Request deletion of personal information we have collected, subject to legal retention obligations.
- Right to Correct: Request correction of inaccurate personal information.
- Right to Portability: Request a copy of your data in a portable format.
- Right to Opt-Out of Sale or Sharing: We do not sell or share your personal information. No opt-out mechanism is required, but you may confirm this with us at any time.
- Right to Limit Use of Sensitive Personal Information: We do not use sensitive personal information beyond the purposes permitted under CPRA.
- Non-Discrimination: We will not discriminate against you for exercising any of your CCPA/CPRA rights.
To submit a CCPA/CPRA request, contact us at [email protected] or write to us at the address in Section 2. You may also submit a request through an authorized agent with written proof of authorization. We will respond within 45 days; we may extend this by an additional 45 days when reasonably necessary with notice.
14. Regulatory Complaints
If you are not satisfied with our response to a privacy complaint, you may escalate to the applicable privacy authority:
- Canada (federal): Office of the Privacy Commissioner of Canada (OPC)
- Quebec: Commission d'accès à l'information (CAI)
- Alberta: Office of the Information and Privacy Commissioner of Alberta
- British Columbia: Office of the Information and Privacy Commissioner for BC
- California: California Privacy Protection Agency (CPPA)
15. Minors
The Service is intended for users who are at least 18 years of age (or the age of majority in their jurisdiction). We do not knowingly collect personal information from anyone under 18. If we become aware that a user is under 18, we will promptly delete their account and all associated data. If you believe a minor has created an account, please contact us at [email protected].
16. Law Enforcement & Government Requests
We will only disclose personal information to law enforcement, government bodies, or regulatory agencies where we are required to do so by valid legal process (such as a court order, subpoena, or lawful demand under Canadian or foreign law). Where legally permitted, we will notify you of such a request before complying. We do not voluntarily provide personal information to any government authority without valid legal process.
17. Data Breach Notification
In the event of a data breach that poses a real risk of significant harm to affected individuals, we will:
- Notify the Office of the Privacy Commissioner of Canada (OPC) as soon as feasible after determining a breach has occurred
- Notify the Commission d'accès à l'information (CAI) for breaches affecting Quebec residents
- Notify affected individuals directly, as required by law and as soon as reasonably practicable
- Maintain an internal breach record as required under PIPEDA
18. Changes to This Policy
We may update this Privacy Policy from time to time. For material changes — such as changes to the types of data we collect, how we use it, or who we share it with — we will notify you by email and through a prominent notice in the Service at least 30 days before the changes take effect. For paid accounts, material changes will require your affirmative acknowledgement before taking effect.
Continued use of the Service after a change takes effect constitutes acceptance of the updated Policy for non-material changes.
19. Contact
For all privacy-related questions, requests to exercise your rights, or complaints, please contact our Privacy Officer:
Georges Gregoire — Privacy Officer, PLCFLOW Technologies Inc.
Email: [email protected]
Mail: 358 Concord Ave, Toronto, ON, M6H 2P8, Canada
We will acknowledge receipt of your request within 5 business days and respond fully within 30 days (or within 45 days for CCPA requests, extendable by an additional 45 days with notice).
Politique de confidentialité
Dernière mise à jour : 10 avril 2026
1. Introduction
La présente Politique de confidentialité décrit la façon dont PLCFLOW Technologies Inc. (« PLCflow », « nous », « notre »), une société constituée en Ontario, Canada, recueille, utilise, divulgue et protège vos renseignements personnels lorsque vous utilisez notre plateforme en ligne de génération et d'analyse de code pour automates programmables (« le Service »).
La présente Politique s'applique aux utilisateurs situés au Canada et aux États-Unis. Elle vise à satisfaire aux exigences de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (Loi 25) ainsi que du California Consumer Privacy Act / California Privacy Rights Act (CCPA/CPRA).
En créant un compte ou en utilisant le Service, vous reconnaissez avoir lu et compris la présente Politique de confidentialité.
2. Responsable de la protection des renseignements personnels
PLCflow a désigné un responsable de la protection des renseignements personnels chargé d'assurer notre conformité aux lois applicables en matière de protection de la vie privée et de traiter les demandes et plaintes connexes.
Responsable de la protection : Georges Gregoire
Courriel : [email protected]
Adresse postale : PLCFLOW Technologies Inc., 358 Concord Ave, Toronto, ON, M6H 2P8, Canada
Vous pouvez communiquer avec notre responsable de la protection en tout temps pour : accéder à vos renseignements personnels, les corriger ou en demander la suppression; poser des questions sur la présente Politique; retirer votre consentement, le cas échéant; ou déposer une plainte.
3. Renseignements que nous recueillons
Nous ne recueillons que les renseignements nécessaires pour fournir et améliorer le Service.
Renseignements de compte : Lors de votre inscription via Auth0, nous recevons votre nom, votre adresse courriel et votre photo de profil de votre fournisseur d'identité. Si vous vous connectez avec Google, GitHub ou Microsoft, nous recevons les informations de profil que vous autorisez via ce fournisseur.
Données d'utilisation et de quotas : Nous enregistrons le nombre de générations de code, de messages dans le Centre de commandes IA, de téléversements de fichiers et d'autres interactions afin d'appliquer vos quotas d'abonnement, d'afficher les statistiques d'utilisation dans votre tableau de bord et d'améliorer le Service.
Contenu généré et projets : Le code, les configurations et les fichiers que vous créez, téléversez ou générez via le Service sont stockés dans votre compte et associés à vos projets. Les conversations du Centre de commandes IA sont stockées temporairement (voir l'article 6).
Informations de paiement : La facturation est entièrement gérée par Stripe. Nous ne conservons pas votre numéro de carte de crédit ni vos coordonnées bancaires. Nous recevons et stockons uniquement votre identifiant client Stripe et votre statut d'abonnement.
Données techniques et de diagnostic : Nous collectons des rapports d'erreurs et des données de performance via Sentry pour diagnostiquer et corriger les problèmes. Ces données peuvent inclure votre adresse IP, votre identifiant d'utilisateur, votre adresse courriel, le type de navigateur, le système d'exploitation et un enregistrement des actions effectuées avant une erreur (fil d'Ariane). Sentry collecte ces données avec les informations d'identification personnelle activées (sendDefaultPii: true). Voir l'article 5 pour les détails complets.
Historique des tâches et journaux d'audit : Nous stockons des métadonnées sur les exécutions de fonctionnalités (p. ex., nom de la routine, type d'opération, décomptes de jetons) dans notre base de données. Ces métadonnées n'incluent pas le texte de vos invites ni les résultats du modèle.
4. Utilisation de vos renseignements
Nous utilisons vos renseignements personnels uniquement aux fins suivantes :
- Fourniture du Service : Exploitation de votre compte, stockage de vos projets, traitement des demandes de génération et d'analyse de code.
- Gestion des abonnements : Application des limites des plans, facturation via Stripe et communication des événements de facturation.
- Communications transactionnelles : Envoi de messages de bienvenue, de reçus de facturation, d'alertes d'utilisation et de notifications de sécurité via Resend. Ces messages sont liés au Service et vous ne pouvez pas vous y désabonner tant que vous avez un compte actif.
- Diagnostic et amélioration : Utilisation des données d'erreur et de performance de Sentry pour identifier les bogues et améliorer la fiabilité.
- Sécurité et prévention des fraudes : Détection et réponse aux abus, accès non autorisés et violations de nos Conditions d'utilisation.
- Conformité juridique : Respect de nos obligations légales, réponse aux demandes légales et application de nos accords.
Nous ne vendons pas vos renseignements personnels. Nous n'utilisons pas vos données à des fins de profilage publicitaire ou marketing. Nous ne partageons pas vos données avec des tiers, sauf dans les cas décrits dans la présente Politique.
5. Fournisseurs de services tiers
Nous faisons appel aux fournisseurs de services suivants qui traitent des données personnelles en notre nom. Chacun est lié par des obligations contractuelles de protection des données et dispose de sa propre politique de confidentialité.
| Fournisseur | Objet | Emplacement des données |
|---|---|---|
| Auth0 (Okta) | Authentification et gestion des identités | États-Unis |
| Stripe | Traitement des paiements et gestion des abonnements | États-Unis |
| Anthropic | Génération et analyse de code par IA (API Claude) | États-Unis |
| Sentry | Suivi des erreurs et surveillance des performances (incluant l'ID utilisateur, le courriel et l'IP dans les rapports d'erreurs) | États-Unis |
| Resend | Acheminement des courriels transactionnels | États-Unis |
| Render | Hébergement d'applications et de bases de données (infrastructure backend) | Canada (Toronto) & États-Unis (Virginie) |
| Vercel | Hébergement frontal et livraison de contenu | Canada (Montréal) |
Nous vous informerons de tout changement important à cette liste au moins 30 jours avant qu'un nouveau sous-traitant commence à traiter vos données. Une liste à jour est toujours disponible sur cette page. Les clients Enterprise peuvent demander notre Addenda sur le traitement des données à [email protected].
6. Traitement des données par l'IA
PLCflow utilise l'API Claude d'Anthropic pour alimenter plusieurs fonctionnalités. Voici exactement ce qui est et n'est pas stocké pour chacune :
Centre de commandes IA : L'intégralité de l'historique de votre conversation — y compris chaque message d'utilisateur, chaque réponse de l'assistant, les appels d'outils et les résultats des outils — est stockée côté serveur dans Redis sous votre compte. Les conversations sont automatiquement supprimées après 7 jours d'inactivité (le TTL se réinitialise à chaque interaction). Vous pouvez consulter l'historique de vos conversations et supprimer des conversations individuelles à tout moment depuis l'interface du Centre de commandes IA. Le personnel de PLCflow ayant accès à Redis peut techniquement lire les conversations stockées; l'accès est limité selon les rôles et consigné.
Analyseur de code, Aide aux commentaires et Analyse approfondie : Les invites et les résultats du modèle pour ces fonctionnalités ne sont pas stockés côté serveur. Ils sont traités de manière synchrone et supprimés après que la réponse est renvoyée à votre navigateur.
Historique des tâches et journaux d'audit : Pour toutes les fonctionnalités IA, nous ne stockons que des métadonnées — comme le nom de la routine, le type d'opération et les décomptes de jetons. Aucun texte d'invite ni texte de résultat du modèle n'est écrit dans la base de données permanente.
Journaux d'application : Notre application peut consigner les 50 premiers caractères d'une invite système et les décomptes de jetons à des fins de débogage. Les invites et résultats complets ne sont pas écrits dans les journaux d'application.
Anthropic (API Claude) : Anthropic n'utilise pas les entrées ou les sorties de l'API pour entraîner ses modèles. Votre code et vos données ne sont pas conservés par Anthropic au-delà de la durée de chaque requête API.
Important : Ne soumettez pas de mots de passe, de clés API, de numéros d'identification personnels ni de renseignements personnels sensibles dans les invites IA. L'historique des conversations du Centre de commandes IA est stocké et accessible par vous et par le personnel de PLCflow tel que décrit ci-dessus.
7. Témoins (cookies) et stockage local
Nous utilisons un nombre limité de témoins et d'éléments de stockage du navigateur, tous nécessaires au fonctionnement du Service. Nous n'utilisons pas de témoins publicitaires, de pixels de suivi ni de témoins d'analyse tiers.
Témoins internes sur plcflow.io
| Témoin | Objet | Durée |
|---|---|---|
| plcflow_signed_in | Indique une session active entre les sous-domaines (p. ex., bascule l'en-tête du site marketing de « Se connecter » à « Tableau de bord »). Valeur : 1. Domaine : .plcflow.io. | 30 jours |
| auth0.*.is.authenticated | Indicateur du SDK SPA Auth0 qu'une session Auth0 valide existe, utilisé pour le renouvellement silencieux des jetons lors du rechargement de la page. | Session / contrôlé par Auth0 |
Témoins tiers définis lors de la connexion et du paiement
| Fournisseur | Moment de la création |
|---|---|
| Auth0 (domaine locataire auth0.com) | Lors du flux de redirection connexion/déconnexion; défini sur le domaine propre d'Auth0, non sur plcflow.io |
| Stripe (stripe.com, checkout.stripe.com) | Lorsque vous visitez la caisse hébergée de Stripe ou le portail client Stripe; défini sur le domaine propre de Stripe, non sur plcflow.io |
Stockage local du navigateur sur app.plcflow.io
| Clé | Objet |
|---|---|
| theme / density | Mémorise vos préférences d'apparence de l'interface (mode sombre/clair, densité d'affichage) |
| trialExpiredDismissed | Mémorise que vous avez rejeté la bannière de notification d'expiration de l'essai gratuit |
Tous les témoins ci-dessus sont strictement nécessaires ou fonctionnels. Les jetons d'authentification sont stockés en mémoire (non dans le stockage local ni dans les témoins) par le SDK Auth0.
8. Stockage, résidence et sécurité des données
Vos données sont stockées dans l'infrastructure suivante :
| Système | Contenu | Région |
|---|---|---|
| PostgreSQL (Render) | Données de compte, projets, code généré, historique des tâches, journaux d'audit, métadonnées de facturation | Canada — Toronto (CA) |
| Redis (Render) | Historique des conversations du Centre de commandes IA (TTL de 7 jours), cache de session | États-Unis — Virginie du Nord (us-east-1) |
| Backend d'application (Render) | Serveur API; traite toutes les requêtes | États-Unis — Virginie (us-east-1) |
| Frontal (Vercel) | Ressources statiques et rendu côté serveur | Canada — Montréal (ca-central-1) |
Toutes les données sont chiffrées en transit à l'aide de TLS 1.2 ou supérieur. Nous mettons en œuvre des mesures de sécurité comprenant l'authentification par JWT, la limitation du débit, la validation des entrées et la journalisation des audits. L'accès aux systèmes de production est réservé au personnel autorisé et est consigné.
9. Transferts de données transfrontaliers
Une partie de vos renseignements personnels est transférée et traitée aux États-Unis, notamment via notre cache Redis (Virginie), notre serveur d'application backend (Virginie) et nos sous-traitants Auth0, Anthropic, Stripe, Sentry et Resend, tous basés aux États-Unis.
Conformément aux exigences de la LPRPDE et de la Loi 25 du Québec, nous souhaitons vous informer que les renseignements personnels transférés en dehors du Canada peuvent être accessibles à des gouvernements étrangers, des tribunaux, des forces de l'ordre et des organismes de réglementation en vertu des lois de ce pays, y compris le CLOUD Act des États-Unis. Nous prenons des mesures contractuelles et techniques pour protéger vos données lors de leur transfert international.
Pour toute question sur nos pratiques de transfert international, communiquez avec notre responsable de la protection à [email protected].
10. Conservation des données
Nous conservons vos renseignements personnels uniquement aussi longtemps que nécessaire aux fins décrites dans la présente Politique, ou tel que requis par la loi.
| Catégorie de données | Durée de conservation |
|---|---|
| Données de compte, projets, code généré | Jusqu'à la suppression du compte, puis purgées dans les 30 jours |
| Historique des conversations du Centre de commandes IA (Redis) | 7 jours à partir de la dernière interaction (expiration automatique) |
| Journaux d'utilisation et de quotas | 13 mois |
| Historique des tâches et journaux d'audit | Jusqu'à la suppression du compte, puis purgés dans les 30 jours |
| Rapports d'erreurs (Sentry) | 30 jours |
| Dossiers de facturation et historique des transactions | 7 ans (exigés par la loi fiscale canadienne / ARC) |
| Sauvegardes de bases de données | 35 jours en continu |
Suppression du compte : Lorsque vous supprimez votre compte (Paramètres > Compte), les opérations suivantes sont effectuées :
- Tous les projets, résultats générés, fichiers téléversés et historique des tâches sont mis en file d'attente pour suppression permanente
- Votre abonnement Stripe est annulé et votre dossier client Stripe est supprimé
- Votre dossier d'identité Auth0 est supprimé
- L'historique des conversations du Centre de commandes IA dans Redis est effacé immédiatement
- Les données personnelles restantes sont purgées de notre base de données dans les 30 jours
- Les dossiers de facturation sont conservés 7 ans comme l'exige la loi
La suppression du compte est permanente et irréversible.
11. Vos droits
Selon votre lieu de résidence, vous disposez des droits suivants concernant vos renseignements personnels. Nous répondrons aux demandes vérifiées dans les 30 jours (ou dans le délai prévu par la loi applicable).
Accès : Demander une copie des renseignements personnels que nous détenons à votre sujet. Vous pouvez consulter la plupart de vos données directement via le tableau de bord du Service et les Paramètres.
Rectification : Mettre à jour les renseignements personnels inexacts ou incomplets via Paramètres > Profil, ou en nous contactant.
Suppression : Demander la suppression de vos renseignements personnels. Vous pouvez supprimer l'intégralité de votre compte depuis Paramètres > Compte, ou nous contacter pour demander la suppression de données spécifiques.
Exportation / Portabilité : Télécharger toutes les données de votre compte sous forme de fichier ZIP depuis Paramètres > Données et exportation.
Retrait du consentement : Lorsque nous traitons vos données sur la base de votre consentement, vous pouvez retirer ce consentement à tout moment en communiquant avec notre responsable de la protection. Le retrait ne compromet pas la licéité du traitement effectué avant le retrait.
Plainte : Vous avez le droit de déposer une plainte auprès de notre responsable de la protection. Si vous n'êtes pas satisfait de notre réponse, vous pouvez vous adresser à l'autorité réglementaire compétente (voir l'article 14).
Pour exercer l'un de ces droits, communiquez avec notre responsable de la protection à [email protected] ou à l'adresse postale indiquée à l'article 2. Nous pourrions vous demander de vérifier votre identité avant de traiter votre demande.
12. Droits supplémentaires pour les résidents du Québec
Si vous êtes résident du Québec, vous disposez des droits supplémentaires suivants en vertu de la Loi sur la protection des renseignements personnels dans le secteur privé (Loi 25) :
Portabilité (format structuré) : Vous pouvez demander que vos renseignements personnels vous soient communiqués dans un format technologique structuré et couramment utilisé, ou qu'ils soient transférés directement à une autre organisation lorsque cela est techniquement possible. Cette fonctionnalité est disponible via la fonction d'exportation de données dans Paramètres > Données et exportation, ou en nous contactant.
Désindexation et cessation de diffusion : Si des renseignements personnels vous concernant ont été diffusés en ligne, vous pouvez demander que nous cessions de les diffuser ou que nous les désindexions, lorsque cela empêcherait de vous causer un préjudice grave et que les informations ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées.
Prise de décision automatisée : Nous utilisons des fonctionnalités IA (alimentées par Claude d'Anthropic) pour générer du code et des analyses à partir de vos entrées. Ces fonctionnalités ne prennent pas de décisions autonomes concernant votre compte ou votre abonnement — c'est vous (un être humain) qui initiez et validez tous les résultats. Si nous mettons en œuvre une prise de décision automatisée produisant des effets juridiques ou d'une importance similaire, nous mettrons à jour la présente Politique et vous en informerons.
Plainte auprès de la CAI : Si vous estimez que nous n'avons pas respecté la loi québécoise sur la vie privée, vous pouvez déposer une plainte auprès de la Commission d'accès à l'information (CAI).
Évaluations des facteurs relatifs à la vie privée : PLCflow effectue des évaluations des facteurs relatifs à la vie privée avant de lancer de nouvelles fonctionnalités impliquant des renseignements personnels ou avant de transférer des renseignements personnels en dehors du Québec, conformément à la Loi 25.
13. Droits supplémentaires pour les résidents de la Californie (CCPA/CPRA)
Si vous êtes résident de la Californie, le California Consumer Privacy Act et le California Privacy Rights Act vous accordent des droits supplémentaires. PLCflow ne vend ni ne partage vos renseignements personnels à des fins de publicité comportementale croisée.
Catégories de renseignements personnels collectés au cours des 12 derniers mois
| Catégorie | Exemples | Objet |
|---|---|---|
| Identifiants | Nom, adresse courriel, adresse IP, identifiant utilisateur Auth0 | Exploitation du compte, sécurité, diagnostic |
| Informations commerciales | Niveau d'abonnement, statut de facturation, identifiant client Stripe | Gestion de la facturation et des abonnements |
| Activité sur Internet ou réseau électronique | Décomptes d'utilisation des fonctionnalités, rapports d'erreurs, type de navigateur/OS, événements fil d'Ariane | Application des quotas, diagnostic, amélioration du Service |
| Informations professionnelles ou liées à l'emploi | Code automate, configurations, noms de projets téléversés par vous | Fourniture du Service |
| Inférences | Modèles d'utilisation dérivés des données d'interaction avec les fonctionnalités | Application des quotas, amélioration du Service |
Vos droits CCPA/CPRA
- Droit de savoir : Demander la divulgation des catégories et des éléments spécifiques de renseignements personnels que nous avons collectés à votre sujet.
- Droit à la suppression : Demander la suppression des renseignements personnels que nous avons collectés, sous réserve des obligations légales de conservation.
- Droit à la rectification : Demander la correction des renseignements personnels inexacts.
- Droit à la portabilité : Demander une copie de vos données dans un format portable.
- Droit d'opposition à la vente ou au partage : Nous ne vendons ni ne partageons vos renseignements personnels. Aucun mécanisme de retrait n'est requis, mais vous pouvez nous le confirmer à tout moment.
- Droit de limiter l'utilisation des renseignements personnels sensibles : Nous n'utilisons pas les renseignements personnels sensibles à des fins autres que celles autorisées par le CPRA.
- Non-discrimination : Nous ne vous discriminerons pas pour l'exercice de l'un de vos droits CCPA/CPRA.
Pour soumettre une demande CCPA/CPRA, communiquez avec nous à [email protected] ou écrivez-nous à l'adresse indiquée à l'article 2. Nous répondrons dans les 45 jours; nous pouvons prolonger ce délai de 45 jours supplémentaires lorsque nécessaire, avec préavis.
14. Plaintes réglementaires
Si vous n'êtes pas satisfait de notre réponse à une plainte relative à la protection de la vie privée, vous pouvez vous adresser à l'autorité compétente :
- Canada (fédéral) : Commissariat à la protection de la vie privée du Canada (CPVP)
- Québec : Commission d'accès à l'information (CAI)
- Alberta : Office of the Information and Privacy Commissioner of Alberta
- Colombie-Britannique : Office of the Information and Privacy Commissioner for BC
- Californie : California Privacy Protection Agency (CPPA)
15. Mineurs
Le Service est destiné aux utilisateurs âgés d'au moins 18 ans (ou de l'âge de la majorité dans leur juridiction). Nous ne collectons pas sciemment de renseignements personnels auprès de personnes de moins de 18 ans. Si nous apprenons qu'un utilisateur a moins de 18 ans, nous supprimerons rapidement son compte et toutes les données associées. Si vous croyez qu'un mineur a créé un compte, veuillez nous contacter à [email protected].
16. Demandes des autorités et des gouvernements
Nous ne divulguerons des renseignements personnels aux forces de l'ordre, aux organismes gouvernementaux ou aux agences de réglementation que si nous y sommes obligés par une procédure judiciaire valide (comme une ordonnance du tribunal, une citation à comparaître ou une demande légale en vertu du droit canadien ou étranger). Dans la mesure permise par la loi, nous vous informerons de toute telle demande avant d'y donner suite. Nous ne fournissons pas volontairement de renseignements personnels à une autorité gouvernementale sans procédure judiciaire valide.
17. Avis de violation de données
En cas de violation de données présentant un risque réel de préjudice grave pour les personnes concernées, nous :
- Aviserons le Commissariat à la protection de la vie privée du Canada (CPVP) dans les meilleurs délais après avoir déterminé qu'une violation a eu lieu
- Aviserons la Commission d'accès à l'information (CAI) pour les violations touchant les résidents du Québec
- Aviserons directement les personnes concernées, comme l'exige la loi et dans les meilleurs délais raisonnables
- Tiendrons un registre interne des violations comme l'exige la LPRPDE
18. Modifications de la présente Politique
Nous pouvons mettre à jour la présente Politique de confidentialité de temps à autre. Pour les modifications importantes — telles que des changements dans les types de données que nous collectons, la façon dont nous les utilisons ou avec qui nous les partageons — nous vous informerons par courriel et par un avis bien visible dans le Service au moins 30 jours avant l'entrée en vigueur des modifications. Pour les comptes payants, les modifications importantes nécessiteront votre acceptation explicite avant de prendre effet.
L'utilisation continue du Service après l'entrée en vigueur d'une modification vaut acceptation de la Politique mise à jour pour les modifications non importantes.
19. Nous joindre
Pour toutes questions relatives à la protection de la vie privée, demandes d'exercice de vos droits ou plaintes, veuillez communiquer avec notre responsable de la protection des renseignements personnels :
Georges Gregoire — Responsable de la protection des renseignements personnels, PLCFLOW Technologies Inc.
Courriel : [email protected]
Adresse postale : 358 Concord Ave, Toronto, ON, M6H 2P8, Canada
Nous accuserons réception de votre demande dans les 5 jours ouvrables et y répondrons complètement dans les 30 jours (ou dans les 45 jours pour les demandes CCPA, prolongeables de 45 jours supplémentaires avec préavis).