Politique de confidentialité
VivaRitual s'engage à protéger vos renseignements personnels conformément à la Loi sur la protection des renseignements personnels dans le secteur privé (Loi 25, Québec), à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE, fédéral), ainsi qu'au California Consumer Privacy Act (CCPA) modifié par le CPRA. Ce document explique ce que nous collectons, pourquoi, combien de temps nous le conservons et comment exercer vos droits.
1. Responsable du traitement
L'entité juridique exploitant cette boutique est VivaRitual Inc., dont le siège social est situé au 500 Place d'Armes, Montreal, QC H2Y 2W2, Canada. Nous sommes l'unique responsable des renseignements personnels collectés via vivaritual.com.
Responsable de la protection des renseignements personnels (exigence Loi 25, art. 3.1) : Privacy Office - VivaRitual. Courriel : privacy@vivaritual.com. Téléphone : +1 (438) 800-2026.
2. Renseignements collectés et finalités
Nous ne collectons que ce qui est nécessaire aux finalités décrites. Nous ne vendons jamais vos données. Nous ne prenons aucune décision entièrement automatisée produisant des effets juridiques.
- Exécution de la commande : nom, adresse de livraison, courriel, téléphone, informations de facturation. Finalité : expédier le produit, envoyer les courriels transactionnels. Fondement : exécution du contrat.
- Compte (optionnel) : courriel, empreinte du mot de passe. Finalité : accéder à l'historique des commandes. Fondement : consentement exprès.
- Communications marketing : courriel, horodatage du consentement. Finalité : envois non transactionnels. Fondement : consentement exprès d'adhésion (Loi 25 art. 8.1). Retrait possible à tout moment via le lien de désabonnement ou en écrivant au Responsable.
- Mesure d'audience : données d'usage pseudonymisées. Finalité : performance du site. Fondement : consentement explicite via la bannière de témoins. Jamais collectées sans votre clic sur Accepter.
- Publicité (pixel Meta + Conversions API) : courriel haché, IP, agent-utilisateur, données d'événement. Finalité : mesure d'efficacité publicitaire. Fondement : consentement exprès. Entièrement bloquée si le signal Sec-GPC: 1 est détecté ou si vous utilisez le bouton Ne pas vendre.
3. Durées de conservation
Dossiers de commandes : 7 ans après la date de transaction, pour respecter les exigences de l'Agence du revenu du Canada (ARC).
Registres de consentement marketing : 24 mois après votre dernière interaction ou jusqu'au retrait de consentement, selon la première éventualité.
Mesure d'audience : 14 mois maximum, pseudonymisés après 30 jours.
Télémétrie d'erreurs Sentry : 90 jours, renseignements personnels masqués avant ingestion.
4. Sous-traitants (destinataires)
Nous communiquons des données aux sous-traitants suivants, tous situés aux États-Unis. Les transferts sont effectués conformément au Principe 1 de la LPRPDE (Responsabilité) avec des garanties contractuelles. Si vous résidez au Québec, conformément à la Loi 25 art. 17, nous vous informons qu'il s'agit de communications hors Québec ayant fait l'objet d'une évaluation des facteurs relatifs à la vie privée.
- Shopify (Canada + États-Unis) : plateforme de commerce et traitement des commandes.
- Vercel (États-Unis) : hébergement du site et diffusion edge.
- Resend (États-Unis) : acheminement des courriels transactionnels.
- Meta Platforms (États-Unis) : mesure publicitaire Pixel et CAPI (uniquement si vous y consentez).
- Google LLC (États-Unis) : analytique et assistance IA courriel (uniquement si vous y consentez).
- Upstash (États-Unis) : infrastructure de limitation de débit, de file d'attente et de cache.
5. Vos droits (Loi 25, LPRPDE, CCPA, VCDPA, CPA)
Vous pouvez à tout moment, gratuitement, demander :
- L'accès aux renseignements personnels vous concernant (Loi 25 art. 27; LPRPDE Principe 9; CCPA right-to-know).
- La rectification de données inexactes (Loi 25 art. 28; CCPA right-to-correct).
- La suppression (Loi 25 droit à la désindexation; CCPA right-to-delete).
- La portabilité dans un format structuré, couramment utilisé et lisible par machine (Loi 25 art. 27 ajouté par le PL-64).
- Le retrait de votre consentement à tout moment, sans justification.
- L'opposition à toute vente ou partage de renseignements personnels (CCPA § 1798.120 / § 1798.135) via le bouton Ne pas vendre dans notre bannière de témoins.
- L'opposition à la publicité ciblée (VCDPA / CPA) via le même mécanisme ; nous respectons aussi automatiquement le signal Sec-GPC: 1.
- Le dépôt d'une plainte auprès de la Commission d'accès à l'information du Québec (CAI), du Commissariat à la protection de la vie privée du Canada (CPVP) ou du California Attorney General.
6. Délais de réponse
En vertu de la Loi 25, nous répondons aux demandes d'accès et de rectification dans un délai de 30 jours. En vertu de la LPRPDE, le délai légal par défaut est de 30 jours, pouvant être prolongé à 60 jours avec avis. En vertu de la CCPA, nous répondons dans un délai de 45 jours, prolongeable une fois de 45 jours avec avis.
Une vérification d'identité est requise avant toute divulgation. Nous demandons uniquement les renseignements strictement nécessaires pour confirmer qu'il s'agit bien de vous.
7. Personnes mineures
Les produits VivaRitual sont des suppléments alimentaires vendus exclusivement à des personnes âgées de 18 ans et plus. Nous ne collectons pas sciemment de renseignements personnels auprès de personnes de moins de 18 ans. Si vous pensez qu'un mineur nous a transmis des données, contactez le Responsable de la protection des renseignements personnels ; la suppression sera effectuée dans un délai de 30 jours.
8. Sécurité
Nous appliquons des mesures conformes aux standards de l'industrie : TLS 1.3 en transit, chiffrement au repos par Shopify et Vercel, hachage SHA-256 avant transmission aux partenaires publicitaires, vérification HMAC sur chaque webhook, Content-Security-Policy stricte et HSTS sur toutes les pages, détection d'incidents via Sentry avec masquage des renseignements personnels.
En cas d'incident de confidentialité, nous avisons la CAI et les personnes concernées sans délai déraisonnable, conformément à la Loi 25 art. 3.5 et au règlement LPRPDE sur les atteintes.
9. Modifications de la présente politique
La présente politique a été mise à jour le 2026-04-22. Les changements substantiels seront annoncés par courriel aux abonnés consentants au moins 30 jours avant leur entrée en vigueur.