Politique de confidentialité

26 Connect est l'appl jour : 25 avril 2026

Notre siège social est à Montréal, Québec, Canada. Nous nous conformons à la Loi 25 du Québec, à la LPRPDE fédérale, au RGPD lorsque l'utilisateur se trouve dans l'Union européenne ou au Royaume-Uni, et aux normes App Privacy (Apple) et Data Safety (Google Play).

1. Important : abonnements gérés hors application

26 Connect est l'interface d'utilisation. L'inscription, le choix de forfait, l'achat de numéros, l'activation des SMS, le paiement et la modification d'abonnement se font exclusivement sur 26telecom.com ou dans votre Espace client. L'application mobile ne présente aucun achat intégré, aucune grille de prix, aucun flux de mise à niveau. C'est intentionnel : la facturation reste sous votre contrôle dans un environnement web certifié.

2. Renseignements que nous recueillons

2.1 Identité du compte

Prénom, nom, courriel, mot de passe (haché avec bcrypt, jamais lisible par nous), nom d'entreprise (facultatif), numéro de téléphone de contact (facultatif), langue préférée.

2.2 Service téléphonique

Numéros de téléphone (DID) attribués à votre compte, identifiants d'extension SIP, profil de messagerie vocale (NIP, courriel de transfert), forfait souscrit, statut d'abonnement, date de prochaine facturation.

2.3 Contenu de communication

Métadonnées d'appel (numéro composé, numéro entrant, durée, horodatage, statut), contenu des SMS envoyés et reçus, enregistrements de messagerie vocale, transcriptions automatisées générées par notre instance locale de whisper.cpp, jamais envoyées à un service tiers.

2.4 Carnet de contacts (sur votre initiative)

Si vous choisissez d'importer des contacts depuis votre appareil, nous stockons les noms, numéros et courriels que vous nous soumettez. L'application demande la permission iOS / Android avant toute lecture du carnet.

2.5 Données techniques

Jetons de notification push (Apple APNs, Google FCM), identifiants d'extension SIP, adresses IP de connexion, type d'appareil, version OS, version de l'application, langue système.

2.6 Diagnostics

Journaux serveur (codes HTTP, erreurs API, latence), journaux d'erreurs côté application sans contenu personnel. Aucun outil d'analyse comportementale tiers (Google Analytics, Mixpanel, Amplitude, Firebase Analytics, Crashlytics) n'est intégré. Firebase est utilisé uniquement pour livrer les notifications push Android via FCM.

2.7 Données financières (limitées)

Lors d'un paiement, vous saisissez votre carte directement dans l'interface de notre processeur Moneris. Aucun numéro de carte, code CVV ou date d'expiration ne transite par nos serveurs. Nous conservons uniquement la référence de transaction Moneris, le montant, la devise, la date et le statut.

2.8 Données que nous NE collectons PAS

• Aucune donnée biométrique (empreinte, visage, voix).
• Aucun identifiant publicitaire (IDFA Apple, AAID Google).
• Aucune empreinte d'appareil (fingerprinting).
• Aucune donnée de localisation GPS, Wi-Fi ou Bluetooth.
• Aucun suivi cross-app, cross-site ou via courtier de données.
• Aucune publicité tierce dans l'application.
• Aucun cookie d'analyse comportementale sur notre site.

3. Comment nous utilisons vos renseignements

• Établir et router vos appels VoIP via FusionPBX et notre partenaire Telnyx.
• Livrer les SMS entrants et sortants via Telnyx (lorsque l'option SMS est activée).
• Vous notifier des appels entrants même lorsque l'application est fermée.
• Stocker et transcrire vos messages vocaux pour consultation.
• Traiter les paiements récurrents via Moneris.
• Diagnostiquer les défaillances et sécuriser votre compte.
• Répondre à vos demandes de soutien.
• Respecter nos obligations légales (taxes, registres, autorités).

Nous n'utilisons jamais vos renseignements pour de la publicité ciblée, la revente à des tiers, ou l'entraînement de modèles d'intelligence artificielle externes.

4. Partage avec des tiers

Nous ne vendons jamais vos renseignements personnels. Nous les partageons uniquement avec les sous-traitants nécessaires au fonctionnement du service.

Fournisseur	Pays	Données transmises	Raison
Telnyx	États-Unis	Numéros, SMS, audio en transit	Acheminement appels et SMS
Apple (APNs)	États-Unis	Jeton, métadonnées d'appel	Notifications push iOS et CallKit
Google (FCM)	États-Unis	Jeton, métadonnées d'appel	Notifications push Android
Moneris	Canada	Carte (saisie directe), montant, référence	Traitement des paiements
OVH Cloud	Canada (Beauharnois, Québec)	Ensemble des données	Hébergement infonuagique du backend, base de données et messagerie vocale
Hostinger	Lituanie / CDN global	Pages publiques de 26telecom.com uniquement	Hébergement statique du site marketing

Lors de la livraison d'un appel ou d'un SMS, certaines métadonnées sont transmises au transporteur du destinataire (Bell, Rogers, Telus, AT&T, Verizon, T-Mobile) selon les normes du réseau public. Nous ne contrôlons pas ces transporteurs aval.

5. Transferts hors Québec et hors Canada

Vos données sont stockées principalement au Canada (OVH Beauharnois, Québec). Telnyx et Apple traitent certaines données aux États-Unis. Conformément à la Loi 25 et au RGPD, nous avons évalué les protections offertes et imposé des garanties contractuelles à chaque sous-traitant.

6. Données financières et conformité PCI

Les numéros de carte ne transitent jamais par nos serveurs. Le formulaire de paiement est servi directement par Moneris, certifié PCI-DSS Niveau 1. Nous conservons uniquement la référence de transaction, le montant, la devise, la date, le statut, les quatre derniers chiffres de la carte et un jeton de paiement (data_key) qui permet de relancer un paiement récurrent sans réexposer la carte. Le jeton est révoqué dans les 30 jours suivant la fermeture du compte.

7. Conservation des données

Catégorie	Durée
Compte actif	Tant que le compte existe
Journaux d'appels et SMS	24 mois
Enregistrements de messagerie vocale	Jusqu'à suppression; supprimés 12 mois après fermeture
Transcriptions vocales	Même règle que les enregistrements
Contacts importés	Tant que le compte est actif
Factures et reçus	7 ans (obligation Revenu Québec / ARC)
Journaux serveur	90 jours
Jeton de paiement Moneris	Révoqué dans les 30 jours après fermeture

8. Vos droits

Conformément à la Loi 25, à la LPRPDE et au RGPD, vous pouvez :

• Accéder à vos renseignements et obtenir une copie structurée (JSON).
• Corriger un renseignement inexact ou incomplet.
• Supprimer votre compte et toutes les données associées (sauf factures conservées 7 ans).
• Retirer votre consentement à tout moment.
• Demander la portabilité de vos données vers un autre fournisseur.
• Vous opposer au traitement pour un motif légitime.
• Porter plainte auprès de la Commission d'accès à l'information du Québec, du Commissariat à la protection de la vie privée du Canada, ou de votre autorité européenne.

Pour exercer ces droits, écrivez à privacy@26telecom.com ou utilisez notre formulaire de contact. Nous répondons dans un délai maximal de 30 jours civils.

9. Sécurité

• En transit : TLS 1.3 sur toutes les communications.
• Au repos : chiffrement du disque serveur (LUKS / dm-crypt).
• Mots de passe : hachés avec bcrypt (coût 12), jamais lisibles en clair.
• Authentification à deux facteurs : disponible dans l'Espace client (TOTP RFC 6238 + 8 codes de récupération bcrypt).
• Clés de signature : APNs et FCM stockées avec accès filesystem restreint.
• Accès administrateur : limité aux employés autorisés, journalisé.

Si une violation de données survenait, nous vous notifierions dans les 72 heures, et nous notifierions également la Commission d'accès à l'information du Québec.

10. Notifications push et CallKit

Pour vous prévenir d'un appel entrant même quand l'application est fermée, nous envoyons une notification push à votre appareil via Apple APNs (iOS) ou Google FCM (Android). La notification contient le numéro appelant et un identifiant d'appel, le strict minimum nécessaire pour faire sonner votre téléphone via CallKit. Aucune donnée additionnelle n'y est jointe.

11. Permissions de l'application mobile

Permission	Pourquoi	Optionnelle
Microphone	Capter votre voix lors d'un appel VoIP	Non, requise pour appeler
Notifications	Vous prévenir d'un appel ou d'un SMS	Non, requise pour recevoir
Contacts	Lire le carnet d'adresses si vous l'importez	Oui, sur votre initiative
Caméra, géolocalisation, photos	Non utilisées	Sans objet

12. Enfants et adolescents

26 Connect est destiné aux professionnels et aux petites entreprises. Le service n'est pas destiné aux personnes de moins de 16 ans (Loi 25 / RGPD) ni de moins de 13 ans (COPPA américain, Apple App Store). Nous ne recueillons pas sciemment de renseignements d'enfants. Si vous croyez qu'un enfant nous en a fourni, écrivez-nous et nous supprimerons le compte.

13. Cookies et site web

• Cookie de session technique (vous garde connecté).
• reCAPTCHA v2 invisible sur le formulaire de contact uniquement, avec attribution texte sous le bouton.
• Aucun cookie publicitaire ou d'analyse. Pas de Google Analytics, pas de Meta Pixel, pas de TikTok Pixel.

14. Modifications à cette politique

Nous pouvons mettre à jour cette politique. La date de dernière mise à jour figure en haut. Les changements significatifs vous seront communiqués au moins 30 jours avant leur entrée en vigueur par courriel à votre adresse de compte et par avis dans l'Espace client.

15. Nous joindre

26 Branding Agency Inc. (faisant affaire sous 26 Télécom et 26 Connect)
Montréal, Québec, Canada

• Vie privée et droits Loi 25 / RGPD : privacy@26telecom.com
• Soutien général, facturation, fermeture de compte : formulaire de contact
• Signalement d'abus : formulaire de contact