Updated / Mis à jour : February 14, 2026
This Privacy Policy explains how Tresseo (“Company”, “we”, “us”), a Canadian company located at 2701 Riverside Dr, Ottawa, ON K1A 0B1, collects, uses, discloses, stores, and protects personal information in connection with our website at https://www.tresseo.com and the services we provide, including web hosting, Nextcloud (file sync, sharing, and storage), email hosting, web development, web design, website maintenance, website auditing, marketing, and related online services (collectively, the “Services”).
This Policy applies to:
We are committed to protecting your privacy and handling your personal information in accordance with applicable law, including:
This Privacy Policy should be read together with our Terms and Conditions and our Cookie Policy, which are incorporated by reference where relevant.
In accordance with Quebec Law 25, Tresseo has designated the following individual as the person responsible for the protection of personal information:
Alexander Trecartin
Email: support@tresseo.com
Telephone: (343) 999-6156
This individual is responsible for ensuring compliance with applicable privacy legislation, responding to privacy-related inquiries and complaints, and overseeing Tresseo’s privacy practices.
Tresseo acts in two distinct capacities depending on the type of personal information involved:
3.1 Tresseo as Data Controller
Tresseo is the data controller (or, under Quebec law, the person who “holds” personal information) for personal information that we collect directly in connection with our own business operations. This includes:
For this data, Tresseo determines the purposes and means of processing and is directly responsible for complying with all applicable privacy obligations described in this Policy.
3.2 Tresseo as Data Processor
When providing hosting Services (including Nextcloud, email, and web hosting), Tresseo acts as a data processor (under the GDPR) or mandatary (under Quebec Law 25). In this capacity:
Clients are responsible for their own compliance with applicable privacy laws with respect to the personal information they collect and process through the Services, including obtaining any required consents from their end-users and providing their own privacy notices.
Clients subject to the GDPR, Quebec Law 25, or other applicable data protection legislation may request a Data Processing Agreement (DPA) by contacting support@tresseo.com.
The following table describes the categories of personal information we collect as a data controller, the sources of that information, and the purposes for which it is collected.
4.1 Client Account and Service Data
| Category | Examples | Source | Purpose |
|---|---|---|---|
| Identity information | Full name, business name, username | Provided by Client at registration | Account creation, identity verification, service delivery |
| Contact information | Email address, telephone number, mailing address | Provided by Client at registration and during support | Account management, service communications, support, billing |
| Authentication data | Hashed passwords, two-factor authentication tokens | Provided by Client; generated by system | Account security, access control |
| Billing and payment information | Payment method (PayPal email, Interac details), transaction records, invoices | Provided by Client; generated by PayPal / financial institution | Payment processing, billing, accounting, tax compliance |
| Service configuration data | Hosting plan selection, domain names, server configuration preferences, support tickets | Provided by Client; generated through service use | Service delivery, technical support, account management |
| Communication records | Emails, support tickets, live chat transcripts, telephone call records (if any) | Generated through Client interaction | Support delivery, quality assurance, dispute resolution, legal compliance |
4.2 Website Visitor Data
| Category | Examples | Source | Purpose |
|---|---|---|---|
| Technical data | IP address, browser type and version, operating system, device type, screen resolution | Collected automatically through website access | Website functionality, security, performance optimization |
| Contact form submissions | Name, email address, message content | Provided voluntarily by the visitor | Responding to inquiries |
| Cookie data | Strictly necessary cookie identifiers only | Set automatically for site functionality | As described in our Cookie Policy |
4.3 Marketing and Newsletter Data
| Category | Examples | Source | Purpose |
|---|---|---|---|
| Subscription data | Email address, name, subscription preferences | Provided voluntarily by the individual | Sending newsletters, product updates, and promotional communications with consent, in compliance with CASL |
4.4 Affiliate Programme Data
| Category | Examples | Source | Purpose |
|---|---|---|---|
| Affiliate identity and contact | Name, email, website URL, payment details | Provided by the affiliate at registration | Programme administration, commission tracking, payment |
We process personal information only for the purposes identified below and on the corresponding legal bases.
| Purpose | PIPEDA Basis | Quebec Law 25 Basis | GDPR Basis (where applicable) |
|---|---|---|---|
| Providing and managing Services — account creation, hosting, technical support, server administration | Necessary for the service relationship (Principle 4.3) | Necessary for the performance of a contract for the supply of goods or services (s. 8.3) | Performance of a contract (Art. 6(1)(b)) |
| Billing and payment processing — invoicing, payment collection, tax compliance | Necessary for the service relationship | Necessary for contractual performance | Performance of a contract (Art. 6(1)(b)); legal obligation (Art. 6(1)(c)) |
| Communication — responding to inquiries, support, account notifications, service updates | Necessary for the service relationship | Necessary for contractual performance | Performance of a contract (Art. 6(1)(b)); legitimate interests (Art. 6(1)(f)) |
| Security and fraud prevention — monitoring for unauthorized access, spam filtering, threat detection | Legitimate business interest; legal obligation | Serious and legitimate reason (s. 9.1); legal obligation | Legitimate interests (Art. 6(1)(f)); legal obligation (Art. 6(1)(c)) |
| Legal compliance — responding to lawful government requests, tax record retention, breach reporting | Legal obligation | Legal obligation | Legal obligation (Art. 6(1)(c)) |
| Marketing and newsletters — sending promotional communications | Express consent (CASL) | Express consent | Consent (Art. 6(1)(a)) |
| Affiliate programme administration — tracking referrals, calculating commissions, payments | Necessary for the programme relationship | Necessary for contractual performance | Performance of a contract (Art. 6(1)(b)) |
We do not process personal information for purposes incompatible with those listed above. If a new purpose arises, we will notify you and obtain consent where required before processing your information for that purpose.
6.1 When Consent Is Required
We obtain your consent before collecting, using, or disclosing your personal information, except where permitted or required by law without consent (for example, where processing is necessary to perform a contract or to comply with a legal obligation).
6.2 Forms of Consent
Depending on the sensitivity of the information and the reasonable expectations of the individual, consent may be:
6.3 Withdrawing Consent
You may withdraw your consent at any time by contacting us at support@tresseo.com or by using the unsubscribe mechanism in marketing communications. Withdrawal of consent is prospective only and does not affect the lawfulness of processing that occurred before withdrawal.
Please note that withdrawing consent to the processing of certain information may affect our ability to provide Services to you. We will inform you of any such consequences at the time of your request.
6.4 Consent and Minors
Under Quebec Law 25, the consent of a minor under 14 years of age must be given by the person having parental authority or the tutor. For minors aged 14 and over, the minor may consent personally. Our Services are not directed at children under the age of 18, as described in Section 17.
7.1 Where Your Data Is Stored
All personal information processed by Tresseo — whether in our capacity as data controller or data processor — is stored on servers located in Canada, specifically at an OVHcloud data centre in Quebec.
Backup data is stored on servers located in Canada.
7.2 No United States Storage or Processing
Tresseo does not store, transfer, or process personal information in the United States or any jurisdiction outside Canada under standard operations. Our upstream infrastructure provider, OVHcloud, is a French-headquartered company with no United States presence, subsidiaries, or operational nexus.
7.3 Cross-Border Transfers
Under standard operations, no cross-border transfers of personal information occur. All data remains in Canada.
In the event that a cross-border transfer becomes necessary (for example, due to infrastructure changes or at a Client’s specific request), Tresseo will:
7.4 Government Access to Data
As a Canadian company with infrastructure in Canada (operated by a French-owned provider), Tresseo is subject to Canadian law regarding government access to data. Tresseo will comply with lawful Canadian court orders and legal process.
Tresseo is not subject to the United States CLOUD Act, FISA Section 702, or other US surveillance legislation. The only mechanism by which a foreign government could seek access to data stored on our infrastructure is through a Mutual Legal Assistance Treaty (MLAT) with Canada, which requires judicial cooperation and Canadian court authorization.
Tresseo will notify affected Clients of government access requests where legally permitted to do so.
Tresseo uses a limited number of third-party service providers (“subprocessors”) in the delivery of its Services. Under PIPEDA Principle 4.1.3 and Quebec Law 25, we remain accountable for personal information in the custody of our subprocessors.
8.1 Current Subprocessors
| Subprocessor | Headquarters | Role | Data Location | Data Accessed |
|---|---|---|---|---|
| OVHcloud | France | Infrastructure hosting (servers and data centre) | Quebec, Canada | Physical infrastructure hosting all client and business data. OVHcloud does not routinely access personal information content. No US presence or nexus. |
| JetBackup | — | Backup management software | Operates locally on Tresseo servers in Canada | Processes hosted data locally for backup purposes. No external data transmission. |
| UptimeRobot | — | Uptime monitoring service | External | Monitors server availability only (sends requests and checks for responses). Does not access, store, or process personal information or Client data content. |
| PayPal | United States | Payment processing | PayPal’s infrastructure | Processes payment transaction data (name, email, payment details) for Clients who select PayPal as their payment method. Subject to PayPal’s own privacy policy. PayPal processes payment transactions on its own infrastructure; Tresseo does not transmit Client-hosted personal information to PayPal. |
Important note regarding PayPal: PayPal is a US-headquartered company. When Clients choose to pay via PayPal, billing and payment information (not Client-hosted content) is processed by PayPal on PayPal’s own infrastructure, which may include US-based servers. This is limited to payment transaction data and does not involve any Client-hosted website, email, Nextcloud, or application data. Clients who wish to avoid any US-based processing may use Interac e-Transfer (available to Canadian Clients) as an alternative payment method.
8.2 Contractual Safeguards
All subprocessors are subject to contractual obligations requiring them to:
8.3 Changes to Subprocessors
A current and complete list of subprocessors is available upon request. Tresseo will provide reasonable advance notice to Clients of any material changes to its subprocessor arrangements.
We retain personal information only for as long as necessary to fulfil the purposes for which it was collected, or as required by law. The following table sets out our standard retention periods:
| Category of Information | Retention Period | Basis |
|---|---|---|
| Client account data | Duration of the service relationship, plus 3 years after account termination or non-renewal | Contractual record-keeping; limitation period for civil claims under Ontario and Quebec law |
| Billing and payment records | 7 years from the date of the transaction | Tax and accounting obligations under the Income Tax Act (Canada) and Quebec fiscal legislation |
| Support and communication records | Duration of the service relationship, plus 2 years after account termination | Dispute resolution; quality assurance |
| Client-hosted data (websites, email, Nextcloud, databases) | Duration of the service relationship, plus 14 calendar days post-termination grace period (as described in the Terms and Conditions, Section 14.3) | Service delivery; data retrieval grace period |
| Backup copies of Client-hosted data | Up to 31 rolling days on active accounts; deleted following Client data deletion after the post-termination grace period | Disaster recovery; service continuity |
| Marketing and newsletter data | Until consent is withdrawn or subscription is cancelled | CASL consent requirements |
| Confidentiality incident register records | Minimum 5 years from the date of the incident | Quebec Law 25 (s. 3.6) |
When personal information is no longer required, it is securely deleted or anonymized in accordance with Section 10.3 of this Policy.
10.1 Technical Safeguards
Tresseo implements appropriate technical measures to protect personal information against unauthorized access, disclosure, alteration, loss, or destruction, including:
10.2 Organizational Safeguards
10.3 Data Destruction
When personal information is no longer required for any purpose identified in this Policy or required by law, it is:
11.1 Prohibition on AI Training
Tresseo does not use Client data or personal information to train artificial intelligence systems, including large language models (LLMs), generative AI systems, or similar technologies. This prohibition applies to Tresseo, its personnel, and all subprocessors.
This restriction does not apply to traditional, operational machine learning applications used in the ordinary course of service delivery, including:
11.2 Automated Decision-Making
Tresseo does not use automated decision-making processes that produce legal effects or similarly significant effects on individuals, as described in Quebec Law 25 (s. 12.1) and GDPR Article 22. Operational automation (such as automated spam filtering or security threat blocking) does not constitute automated decision-making in this context, as these do not produce legal effects concerning individuals.
If Tresseo ever introduces automated decision-making that could significantly affect individuals, we will:
12.1 Confidentiality Incident Register
In accordance with Quebec Law 25, Tresseo maintains a confidentiality incident register documenting all incidents involving unauthorized access to, use or disclosure of, or loss of personal information.
12.2 Notification Obligations
(a) Tresseo as Data Controller
If Tresseo becomes aware of a breach of security safeguards involving personal information for which Tresseo is the controller (e.g., Client account information, billing data), and the breach creates a real risk of significant harm to affected individuals, Tresseo will:
(b) Tresseo as Data Processor
If Tresseo becomes aware of a breach of security safeguards involving personal information for which a Client is the controller (i.e., data hosted through the Services), Tresseo will:
You have the following rights with respect to your personal information, subject to applicable law and any legal, contractual, or technical constraints:
| Right | Description | PIPEDA | Law 25 | GDPR |
|---|---|---|---|---|
| Access | You may request access to the personal information we hold about you and receive a copy in a comprehensible format. | Yes (Principle 4.9) | Yes (s. 27) | Yes (Art. 15) |
| Correction | You may request correction of inaccurate or incomplete personal information. | Yes (Principle 4.9.5) | Yes (s. 28) | Yes (Art. 16) |
| Deletion | You may request deletion of your personal information where it is no longer necessary for the purposes for which it was collected, subject to legal retention obligations. | Yes (implied by Principle 4.5) | Yes (s. 28.1) | Yes (Art. 17) |
| Data portability | You may request that your personal information be communicated to you or transferred to another organization in a commonly used, machine-readable technological format. | No | Yes (s. 27) | Yes (Art. 20) |
| De-indexation | You may request that personal information linked to your name be de-indexed from any dissemination technology, including search engines, where the dissemination contravenes the law or a court order. | No | Yes (s. 28.1) | No (similar right under Art. 17) |
| Withdrawal of consent | You may withdraw your consent to the processing of your personal information at any time, subject to legal or contractual restrictions and reasonable notice. Withdrawal is prospective only. | Yes (Principle 4.3.8) | Yes (s. 8.3) | Yes (Art. 7(3)) |
| Objection / Restriction | You may object to or request restriction of processing of your personal information in certain circumstances. | Yes (through withdrawal of consent) | Yes (through withdrawal of consent / cessation of dissemination) | Yes (Art. 18, 21) |
| Information about automated decisions | You have the right to be informed of the use of automated decision-making technologies and to submit observations. | No | Yes (s. 12.1) | Yes (Art. 22) |
| Complaint | You have the right to file a complaint with the applicable privacy authority. | Yes (OPC) | Yes (CAI) | Yes (Supervisory authority) |
13.1 How to Exercise Your Rights
To exercise any of the above rights, please contact us at:
Email: support@tresseo.com
Mail: Tresseo, 2701 Riverside Dr, Ottawa, ON K1A 0B1
Please clearly identify yourself in your request so that we can verify your identity and locate the relevant records. We will respond to your request within 30 calendar days, as required by PIPEDA and Quebec Law 25. If we require additional time (for example, due to the complexity of the request), we will notify you within the initial 30-day period and explain the reason for the extension.
There is no fee for exercising your privacy rights, except in cases of manifestly unfounded or excessive requests, in which case we may charge a reasonable fee or decline the request, with written explanation.
13.2 Accessible Formats
In accordance with PIPEDA, we will provide access to personal information in an alternative format to an individual with a sensory disability who requests it, where a version of the information already exists in that format or conversion is reasonable and necessary to enable the individual to exercise their rights.
13.3 Right to Appeal and Complaint
If you are not satisfied with our response to your privacy request or complaint, you may contact:
Under Quebec Law 25, affected individuals also have a private right of action and may bring a claim before the courts for damages resulting from an infringement of their privacy rights.
Our website uses only strictly necessary cookies required for site functionality, security, and server performance. We do not use marketing cookies, advertising cookies, analytics cookies, or third-party tracking cookies. For detailed information about the specific cookies used, please refer to our Cookie Policy.
Our website respects the Do Not Track (DNT) browser header and the Global Privacy Control (GPC) signal. Because we do not set non-essential cookies, no cookie consent banner is required.
Our website and Services may contain links to third-party websites or integrate with third-party services. This Privacy Policy does not apply to those third parties. We are not responsible for the privacy practices of third-party websites or services. We recommend you review the privacy policies of any third-party website or service before providing personal information.
When Clients install third-party plugins, themes, or applications on their hosted services, those third-party components may collect and process personal information independently. Clients are responsible for evaluating and disclosing such third-party processing in their own privacy notices.
16.1 When We May Disclose Personal Information
Tresseo may disclose personal information in the following circumstances:
16.2 When We Will Not Disclose Personal Information
Our website and Services are not directed at children under the age of 18. We do not knowingly collect personal information from children under 18. If we become aware that we have inadvertently collected personal information from a child under 18, we will take steps to delete that information promptly.
Under Quebec Law 25, the consent of a minor under 14 years of age must be given by the person having parental authority or the tutor. For individuals aged 14 to 17, the individual may consent personally, but we do not market to or intentionally collect data from minors of any age.
We reserve the right to update this Privacy Policy at any time. We will notify you of material changes by email (where we have your email address) or by a prominent notice on our website. The updated Policy will be posted with a revised “Last Updated” date.
We encourage you to review this Policy periodically. Previous versions are available upon request.
For privacy-related inquiries, requests, or complaints:
Tresseo
2701 Riverside Dr.
Ottawa, ON K1A 0B1
Email: support@tresseo.com
Telephone: (343) 999-6156
Person responsible for the protection of personal information: Alexander Trecartin
If you are not satisfied with our response, you may contact:
TRESSEO — POLITIQUE DE CONFIDENTIALITE
La presente Politique de confidentialite explique comment Tresseo (la « Societe », « nous », « notre »), une entreprise canadienne situee au 2701, promenade Riverside, Ottawa (Ontario) K1A 0B1, recueille, utilise, communique, conserve et protege les renseignements personnels dans le cadre de son site Web a l’adresse https://www.tresseo.com et des services qu’elle fournit, notamment l’hebergement Web, Nextcloud (synchronisation, partage et stockage de fichiers), l’hebergement de courriels, le developpement Web, la conception Web, la maintenance de sites Web, l’audit de sites Web, le marketing et les services en ligne connexes (collectivement, les « Services »).
La presente Politique s’applique :
Nous nous engageons a proteger votre vie privee et a traiter vos renseignements personnels conformement aux lois applicables, notamment :
La presente Politique de confidentialite doit etre lue conjointement avec nos Conditions generales d’utilisation et notre Politique relative aux temoins de connexion (cookies), lesquelles y sont incorporees par renvoi, le cas echeant.
Conformement a la Loi 25, Tresseo a designe la personne suivante comme responsable de la protection des renseignements personnels :
Alexander Trecartin
Courriel : support@tresseo.com
Telephone : (343) 999-6156
Cette personne est responsable d’assurer la conformite aux lois applicables en matiere de protection de la vie privee, de repondre aux demandes et aux plaintes liees a la vie privee et de superviser les pratiques de Tresseo en matiere de protection de la vie privee.
Tresseo agit en deux capacites distinctes selon le type de renseignements personnels en cause :
3.1 Tresseo en tant que responsable du traitement
Tresseo est le responsable du traitement (ou, en droit quebecois, la personne qui « detient » des renseignements personnels) pour les renseignements personnels qu’elle recueille directement dans le cadre de ses propres activites commerciales. Cela comprend :
Pour ces donnees, Tresseo determine les finalites et les moyens du traitement et est directement responsable du respect de toutes les obligations applicables decrites dans la presente Politique.
3.2 Tresseo en tant que sous-traitant de donnees
Lors de la prestation de services d’hebergement (y compris Nextcloud, le courriel et l’hebergement Web), Tresseo agit en tant que sous-traitant de donnees (au sens du RGPD) ou mandataire (au sens de la Loi 25). A ce titre :
Les Clients sont responsables de leur propre conformite aux lois applicables en matiere de protection de la vie privee a l’egard des renseignements personnels qu’ils recueillent et traitent par l’intermediaire des Services, y compris l’obtention de tout consentement requis de leurs utilisateurs finaux et la fourniture de leurs propres avis de confidentialite.
Les Clients assujettis au RGPD, a la Loi 25 ou a toute autre legislation applicable en matiere de protection des donnees peuvent demander une Entente de traitement des donnees (ETD) en communiquant avec support@tresseo.com.
Le tableau suivant decrit les categories de renseignements personnels que nous recueillons en tant que responsable du traitement, les sources de ces renseignements et les fins auxquelles ils sont recueillis.
4.1 Donnees de compte et de service du Client
| Categorie | Exemples | Source | Finalite |
|---|---|---|---|
| Renseignements d’identite | Nom complet, nom d’entreprise, nom d’utilisateur | Fournis par le Client lors de l’inscription | Creation de compte, verification d’identite, prestation des Services |
| Coordonnees | Adresse courriel, numero de telephone, adresse postale | Fournis par le Client lors de l’inscription et du soutien | Gestion de compte, communications de service, soutien, facturation |
| Donnees d’authentification | Mots de passe haches, jetons d’authentification a deux facteurs | Fournis par le Client; generes par le systeme | Securite du compte, controle d’acces |
| Renseignements de facturation et de paiement | Mode de paiement (courriel PayPal, details Interac), registres de transactions, factures | Fournis par le Client; generes par PayPal / l’institution financiere | Traitement des paiements, facturation, comptabilite, conformite fiscale |
| Donnees de configuration des services | Forfait d’hebergement, noms de domaine, preferences de configuration serveur, billets de soutien | Fournis par le Client; generes par l’utilisation du service | Prestation des Services, soutien technique, gestion de compte |
| Dossiers de communication | Courriels, billets de soutien, transcriptions de clavardage, dossiers d’appels telephoniques (le cas echeant) | Generes par l’interaction avec le Client | Prestation du soutien, assurance qualite, resolution de litiges, conformite juridique |
4.2 Donnees des visiteurs du site Web
| Categorie | Exemples | Source | Finalite |
|---|---|---|---|
| Donnees techniques | Adresse IP, type et version du navigateur, systeme d’exploitation, type d’appareil, resolution d’ecran | Recueillies automatiquement lors de l’acces au site Web | Fonctionnalite du site Web, securite, optimisation des performances |
| Soumissions de formulaires de contact | Nom, adresse courriel, contenu du message | Fournies volontairement par le visiteur | Reponse aux demandes de renseignements |
| Donnees relatives aux temoins | Identifiants de temoins strictement necessaires uniquement | Deposes automatiquement pour le fonctionnement du site | Tel que decrit dans notre Politique relative aux temoins |
4.3 Donnees de marketing et d’infolettre
| Categorie | Exemples | Source | Finalite |
|---|---|---|---|
| Donnees d’abonnement | Adresse courriel, nom, preferences d’abonnement | Fournies volontairement par la personne | Envoi d’infolettres, de mises a jour sur les produits et de communications promotionnelles avec consentement, conformement a la LCAP |
4.4 Donnees du programme d’affiliation
| Categorie | Exemples | Source | Finalite |
|---|---|---|---|
| Identite et coordonnees de l’affilie | Nom, courriel, URL du site Web, details de paiement | Fournis par l’affilie lors de l’inscription | Administration du programme, suivi des commissions, paiement |
Nous traitons les renseignements personnels uniquement aux fins identifiees ci-dessous et selon les fondements juridiques correspondants.
| Finalite | Fondement LPRPDE | Fondement Loi 25 | Fondement RGPD (le cas echeant) |
|---|---|---|---|
| Prestation et gestion des Services — creation de compte, hebergement, soutien technique, administration des serveurs | Necessaire a la relation de service (Principe 4.3) | Necessaire a l’execution d’un contrat de fourniture de biens ou de services (art. 8.3) | Execution d’un contrat (art. 6(1)(b)) |
| Facturation et traitement des paiements — facturation, perception des paiements, conformite fiscale | Necessaire a la relation de service | Necessaire a l’execution du contrat | Execution d’un contrat (art. 6(1)(b)); obligation legale (art. 6(1)(c)) |
| Communication — reponse aux demandes, soutien, notifications de compte, mises a jour de service | Necessaire a la relation de service | Necessaire a l’execution du contrat | Execution d’un contrat (art. 6(1)(b)); interets legitimes (art. 6(1)(f)) |
| Securite et prevention de la fraude — surveillance des acces non autorises, filtrage des pourriels, detection des menaces | Interet commercial legitime; obligation legale | Motif serieux et legitime (art. 9.1); obligation legale | Interets legitimes (art. 6(1)(f)); obligation legale (art. 6(1)(c)) |
| Conformite juridique — reponse aux demandes gouvernementales legitimes, conservation des dossiers fiscaux, declaration des atteintes | Obligation legale | Obligation legale | Obligation legale (art. 6(1)(c)) |
| Marketing et infolettres — envoi de communications promotionnelles | Consentement expres (LCAP) | Consentement expres | Consentement (art. 6(1)(a)) |
| Administration du programme d’affiliation — suivi des references, calcul des commissions, paiements | Necessaire a la relation du programme | Necessaire a l’execution du contrat | Execution d’un contrat (art. 6(1)(b)) |
Nous ne traitons pas les renseignements personnels a des fins incompatibles avec celles enumerees ci-dessus. Si une nouvelle finalite survient, nous vous en informerons et obtiendrons votre consentement lorsque requis avant de traiter vos renseignements a cette fin.
6.1 Quand le consentement est requis
Nous obtenons votre consentement avant de recueillir, d’utiliser ou de communiquer vos renseignements personnels, sauf lorsque la loi permet ou exige le traitement sans consentement (par exemple, lorsque le traitement est necessaire a l’execution d’un contrat ou au respect d’une obligation legale).
6.2 Formes de consentement
Selon la sensibilite des renseignements et les attentes raisonnables de la personne, le consentement peut etre :
6.3 Retrait du consentement
Vous pouvez retirer votre consentement a tout moment en communiquant avec nous a support@tresseo.com ou en utilisant le mecanisme de desabonnement dans les communications de marketing. Le retrait du consentement n’a qu’un effet prospectif et ne porte pas atteinte a la liceite du traitement effectue avant le retrait.
Veuillez noter que le retrait de votre consentement au traitement de certains renseignements peut affecter notre capacite a vous fournir des Services. Nous vous informerons de ces consequences au moment de votre demande.
6.4 Consentement et mineurs
En vertu de la Loi 25, le consentement d’un mineur de moins de 14 ans doit etre donne par le titulaire de l’autorite parentale ou le tuteur. Pour les mineurs de 14 ans et plus, le mineur peut consentir personnellement. Nos Services ne s’adressent pas aux enfants de moins de 18 ans, tel que decrit a l’article 17.
7.1 Ou vos donnees sont stockees
Tous les renseignements personnels traites par Tresseo — que ce soit en notre qualite de responsable du traitement ou de sous-traitant — sont stockes sur des serveurs situes au Canada, plus precisement dans un centre de donnees OVHcloud au Quebec.
Les donnees de sauvegarde sont stockees sur des serveurs situes au Canada.
7.2 Aucun stockage ni traitement aux Etats-Unis
Tresseo ne stocke, ne transfere ni ne traite de renseignements personnels aux Etats-Unis ou dans un quelconque territoire hors du Canada dans le cadre de ses operations normales. Notre fournisseur d’infrastructure en amont, OVHcloud, est une societe dont le siege social est en France et qui n’a aucune presence, filiale ou lien operationnel aux Etats-Unis.
7.3 Transferts transfrontaliers
Dans le cadre des operations normales, aucun transfert transfrontalier de renseignements personnels n’a lieu. Toutes les donnees demeurent au Canada.
Dans l’eventualite ou un transfert transfrontalier deviendrait necessaire (par exemple, en raison de changements d’infrastructure ou a la demande specifique d’un Client), Tresseo :
7.4 Acces gouvernemental aux donnees
En tant qu’entreprise canadienne dont l’infrastructure est au Canada (exploitee par un fournisseur francais), Tresseo est soumise au droit canadien en ce qui concerne l’acces gouvernemental aux donnees. Tresseo se conformera aux ordonnances judiciaires canadiennes et aux processus juridiques legitimes.
Tresseo n’est pas assujettie au CLOUD Act, au FISA Section 702 ou a toute autre legislation de surveillance americaine. Le seul mecanisme par lequel un gouvernement etranger pourrait demander l’acces aux donnees stockees sur notre infrastructure est par l’intermediaire d’un Traite d’entraide juridique (TEJ) avec le Canada, qui necessite une cooperation judiciaire et l’autorisation d’un tribunal canadien.
Tresseo avisera les Clients concernes des demandes d’acces gouvernementales lorsque la loi le permet.
Tresseo fait appel a un nombre limite de fournisseurs de services tiers (« sous-traitants ») dans le cadre de la prestation de ses Services. En vertu du Principe 4.1.3 de la LPRPDE et de la Loi 25, nous demeurons responsables des renseignements personnels confies a nos sous-traitants.
8.1 Sous-traitants actuels
| Sous-traitant | Siege social | Role | Lieu des donnees | Donnees consultees |
|---|---|---|---|---|
| OVHcloud | France | Hebergement d’infrastructure (serveurs et centre de donnees) | Quebec, Canada | Heberge physiquement toutes les donnees des clients et de l’entreprise. OVHcloud n’accede pas au contenu des renseignements personnels de maniere routiniere. Aucune presence ni lien aux Etats-Unis. |
| JetBackup | — | Logiciel de gestion des sauvegardes | Fonctionne localement sur les serveurs de Tresseo au Canada | Traite les donnees hebergees localement aux fins de sauvegarde. Aucune transmission externe de donnees. |
| UptimeRobot | — | Service de surveillance de la disponibilite | Externe | Surveille uniquement la disponibilite du service (envoie des requetes et verifie les reponses). N’accede pas aux renseignements personnels ou aux donnees du Client, ne les stocke pas et ne les traite pas. |
| PayPal | Etats-Unis | Traitement des paiements | Infrastructure de PayPal | Traite les donnees de transaction de paiement (nom, courriel, details de paiement) pour les Clients qui choisissent PayPal comme mode de paiement. Assujetti a la propre politique de confidentialite de PayPal. PayPal traite les transactions de paiement sur sa propre infrastructure; Tresseo ne transmet pas les renseignements personnels heberges des Clients a PayPal. |
Note importante concernant PayPal : PayPal est une entreprise dont le siege social est aux Etats-Unis. Lorsque les Clients choisissent de payer par PayPal, les renseignements de facturation et de paiement (et non le contenu heberge du Client) sont traites par PayPal sur sa propre infrastructure, qui peut inclure des serveurs aux Etats-Unis. Cela se limite aux donnees de transaction de paiement et n’implique aucune donnee hebergee de site Web, de courriel, de Nextcloud ou d’application du Client. Les Clients qui souhaitent eviter tout traitement aux Etats-Unis peuvent utiliser le virement Interac (disponible pour les Clients canadiens) comme mode de paiement alternatif.
8.2 Mesures de protection contractuelles
Tous les sous-traitants sont soumis a des obligations contractuelles leur exigeant de :
8.3 Changements aux sous-traitants
Une liste complete et a jour des sous-traitants est disponible sur demande. Tresseo fournira un preavis raisonnable aux Clients en cas de modifications importantes a ses arrangements avec ses sous-traitants.
Nous conservons les renseignements personnels uniquement aussi longtemps que necessaire pour remplir les fins pour lesquelles ils ont ete recueillis, ou tel que requis par la loi. Le tableau suivant presente nos periodes de conservation standard :
| Categorie de renseignements | Periode de conservation | Fondement |
|---|---|---|
| Donnees de compte du Client | Duree de la relation de service, plus 3 ans apres la resiliation ou le non-renouvellement du compte | Tenue de dossiers contractuels; delai de prescription pour les reclamations civiles en vertu du droit ontarien et quebecois |
| Dossiers de facturation et de paiement | 7 ans a compter de la date de la transaction | Obligations fiscales et comptables en vertu de la Loi de l’impot sur le revenu (Canada) et de la legislation fiscale quebecoise |
| Dossiers de soutien et de communication | Duree de la relation de service, plus 2 ans apres la resiliation du compte | Resolution de litiges; assurance qualite |
| Donnees hebergees du Client (sites Web, courriels, Nextcloud, bases de donnees) | Duree de la relation de service, plus un delai de grace de 14 jours civils apres la resiliation (tel que decrit dans les Conditions generales, article 14.3) | Prestation des Services; delai de recuperation des donnees |
| Copies de sauvegarde des donnees hebergees du Client | Jusqu’a 31 jours rotatifs pour les comptes actifs; supprimees apres la suppression des donnees du Client a l’expiration du delai de grace post-resiliation | Reprise apres sinistre; continuite du service |
| Donnees de marketing et d’infolettre | Jusqu’au retrait du consentement ou a l’annulation de l’abonnement | Exigences de consentement de la LCAP |
| Registre des incidents de confidentialite | Minimum 5 ans a compter de la date de l’incident | Loi 25 (art. 3.6) |
Lorsque les renseignements personnels ne sont plus necessaires, ils sont supprimes de maniere securisee ou anonymises conformement a l’article 10.3 de la presente Politique.
10.1 Mesures techniques
Tresseo met en oeuvre des mesures techniques appropriees pour proteger les renseignements personnels contre l’acces, la communication, la modification, la perte ou la destruction non autorises, notamment :
10.2 Mesures organisationnelles
10.3 Destruction des donnees
Lorsque les renseignements personnels ne sont plus necessaires a l’une des fins identifiees dans la presente Politique ou exigees par la loi, ils sont :
11.1 Interdiction de l’entrainement de l’IA
Tresseo n’utilise pas les donnees du Client ou les renseignements personnels pour entrainer des systemes d’intelligence artificielle, y compris les grands modeles de langage (LLM), les systemes d’intelligence artificielle generative ou les technologies similaires. Cette interdiction s’applique a Tresseo, a son personnel et a tous ses sous-traitants.
Cette restriction ne s’applique pas aux applications traditionnelles d’apprentissage automatique operationnel utilisees dans le cours normal de la prestation de services, notamment :
11.2 Prise de decision automatisee
Tresseo n’utilise pas de processus de prise de decision automatisee produisant des effets juridiques ou des effets similaires significatifs sur les personnes, au sens de la Loi 25 (art. 12.1) et de l’article 22 du RGPD. L’automatisation operationnelle (comme le filtrage automatique des pourriels ou le blocage automatique des menaces de securite) ne constitue pas une prise de decision automatisee dans ce contexte, car elle ne produit pas d’effets juridiques concernant les personnes.
Si Tresseo introduit un jour un processus de prise de decision automatisee susceptible d’affecter significativement les personnes, nous :
12.1 Registre des incidents de confidentialite
Conformement a la Loi 25, Tresseo tient un registre des incidents de confidentialite documentant tous les incidents impliquant un acces non autorise a des renseignements personnels, leur utilisation ou communication non autorisee, ou leur perte.
12.2 Obligations de notification
(a) Tresseo en tant que responsable du traitement
Si Tresseo prend connaissance d’une atteinte aux mesures de securite concernant des renseignements personnels dont Tresseo est le responsable du traitement (p. ex., renseignements de compte du Client, donnees de facturation) et que l’atteinte cree un risque reel de prejudice grave pour les personnes concernees, Tresseo :
(b) Tresseo en tant que sous-traitant
Si Tresseo prend connaissance d’une atteinte aux mesures de securite concernant des renseignements personnels dont un Client est le responsable du traitement (c.-a-d., des donnees hebergees par l’intermediaire des Services), Tresseo :
Vous disposez des droits suivants a l’egard de vos renseignements personnels, sous reserve de la loi applicable et de toute contrainte juridique, contractuelle ou technique :
| Droit | Description | LPRPDE | Loi 25 | RGPD |
|---|---|---|---|---|
| Acces | Vous pouvez demander l’acces aux renseignements personnels que nous detenons a votre sujet et en recevoir une copie dans un format comprehensible. | Oui (Principe 4.9) | Oui (art. 27) | Oui (art. 15) |
| Rectification | Vous pouvez demander la rectification de renseignements personnels inexacts ou incomplets. | Oui (Principe 4.9.5) | Oui (art. 28) | Oui (art. 16) |
| Suppression | Vous pouvez demander la suppression de vos renseignements personnels lorsqu’ils ne sont plus necessaires aux fins pour lesquelles ils ont ete recueillis, sous reserve des obligations legales de conservation. | Oui (implicite du Principe 4.5) | Oui (art. 28.1) | Oui (art. 17) |
| Portabilite des donnees | Vous pouvez demander que vos renseignements personnels vous soient communiques ou transferes a un autre organisme dans un format technologique couramment utilise et lisible par machine. | Non | Oui (art. 27) | Oui (art. 20) |
| Desindexation | Vous pouvez demander que les renseignements personnels lies a votre nom soient desindexes de toute technologie de diffusion, y compris les moteurs de recherche, lorsque la diffusion contrevient a la loi ou a une ordonnance du tribunal. | Non | Oui (art. 28.1) | Non (droit similaire en vertu de l’art. 17) |
| Retrait du consentement | Vous pouvez retirer votre consentement au traitement de vos renseignements personnels a tout moment, sous reserve de restrictions legales ou contractuelles et d’un preavis raisonnable. Le retrait n’a qu’un effet prospectif. | Oui (Principe 4.3.8) | Oui (art. 8.3) | Oui (art. 7(3)) |
| Opposition / Restriction | Vous pouvez vous opposer au traitement de vos renseignements personnels ou en demander la restriction dans certaines circonstances. | Oui (par le retrait du consentement) | Oui (par le retrait du consentement / cessation de la diffusion) | Oui (art. 18, 21) |
| Information sur les decisions automatisees | Vous avez le droit d’etre informe de l’utilisation de technologies de prise de decision automatisee et de soumettre des observations. | Non | Oui (art. 12.1) | Oui (art. 22) |
| Plainte | Vous avez le droit de deposer une plainte aupres de l’autorite competente en matiere de vie privee. | Oui (CPVP) | Oui (CAI) | Oui (Autorite de surveillance) |
13.1 Comment exercer vos droits
Pour exercer l’un des droits ci-dessus, veuillez communiquer avec nous a :
Courriel : support@tresseo.com
Adresse postale : Tresseo, 2701, promenade Riverside, Ottawa (Ontario) K1A 0B1
Veuillez vous identifier clairement dans votre demande afin que nous puissions verifier votre identite et localiser les dossiers pertinents. Nous repondrons a votre demande dans les 30 jours civils, tel que requis par la LPRPDE et la Loi 25. Si nous avons besoin de temps supplementaire (par exemple, en raison de la complexite de la demande), nous vous en aviserons dans le delai initial de 30 jours en expliquant le motif de la prolongation.
L’exercice de vos droits en matiere de vie privee est gratuit, sauf en cas de demandes manifestement abusives ou excessives, auquel cas nous pouvons facturer des frais raisonnables ou refuser la demande, avec explication ecrite.
13.2 Formats accessibles
Conformement a la LPRPDE, nous fournirons l’acces aux renseignements personnels dans un format alternatif a une personne ayant une deficience sensorielle qui en fait la demande, lorsqu’une version des renseignements existe deja dans ce format ou que la conversion est raisonnable et necessaire pour permettre a la personne d’exercer ses droits.
13.3 Droit de recours et plainte
Si vous n’etes pas satisfait de notre reponse a votre demande ou a votre plainte relative a la vie privee, vous pouvez communiquer avec :
En vertu de la Loi 25, les personnes concernees disposent egalement d’un droit d’action prive et peuvent intenter un recours devant les tribunaux pour les dommages resultant d’une atteinte a leurs droits en matiere de vie privee.
Notre site Web utilise uniquement des temoins de connexion strictement necessaires au fonctionnement du site, a la securite et a la performance du serveur. Nous n’utilisons pas de temoins de marketing, de publicite, d’analytique ni de temoins de suivi de tierce partie. Pour des renseignements detailles sur les temoins specifiques utilises, veuillez consulter notre Politique relative aux temoins de connexion.
Notre site Web respecte le signal « Ne pas suivre » (DNT) du navigateur et le signal Global Privacy Control (GPC). Puisque nous ne deposons pas de temoins non essentiels, aucune banniere de consentement aux temoins n’est requise.
Notre site Web et nos Services peuvent contenir des liens vers des sites Web tiers ou s’integrer a des services tiers. La presente Politique de confidentialite ne s’applique pas a ces tiers. Nous ne sommes pas responsables des pratiques de confidentialite des sites Web ou services tiers. Nous vous recommandons de consulter les politiques de confidentialite de tout site Web ou service tiers avant de fournir des renseignements personnels.
Lorsque les Clients installent des extensions, des themes ou des applications tiers sur leurs services heberges, ces composants tiers peuvent recueillir et traiter des renseignements personnels de maniere independante. Les Clients sont responsables d’evaluer et de divulguer ce traitement par des tiers dans leurs propres avis de confidentialite.
16.1 Circonstances de communication
Tresseo peut communiquer des renseignements personnels dans les circonstances suivantes :
16.2 Ce que nous ne ferons pas
Notre site Web et nos Services ne s’adressent pas aux enfants de moins de 18 ans. Nous ne recueillons pas sciemment de renseignements personnels d’enfants de moins de 18 ans. Si nous apprenons que nous avons recueilli par inadvertance des renseignements personnels d’un enfant de moins de 18 ans, nous prendrons des mesures pour supprimer ces renseignements rapidement.
En vertu de la Loi 25, le consentement d’un mineur de moins de 14 ans doit etre donne par le titulaire de l’autorite parentale ou le tuteur. Pour les personnes agees de 14 a 17 ans, la personne peut consentir personnellement, mais nous n’adressons pas nos activites de marketing aux mineurs et ne recueillons pas intentionnellement de donnees aupres de mineurs de quelque age que ce soit.
Nous nous reservons le droit de mettre a jour la presente Politique de confidentialite a tout moment. Nous vous informerons des modifications importantes par courriel (lorsque nous disposons de votre adresse courriel) ou par un avis bien visible sur notre site Web. La Politique mise a jour sera publiee avec une date de « Derniere mise a jour » revisee.
Nous vous encourageons a consulter regulierement la presente Politique. Les versions anterieures sont disponibles sur demande.
Pour les demandes, requetes ou plaintes liees a la vie privee :
Tresseo
2701, promenade Riverside
Ottawa (Ontario) K1A 0B1
Courriel : support@tresseo.com
Telephone : (343) 999-6156
Responsable de la protection des renseignements personnels : Alexander Trecartin
Si vous n’etes pas satisfait de notre reponse, vous pouvez communiquer avec :
Copyright © 2022 - 2026. Tresseo. All rights reserved.