Privacy Policy
Last updated: March 1, 2026
Your data stays in Canada. Always.
At Inquisitive Flow Learning, we believe privacy is not optional. Our entire infrastructure — from AI processing to data storage — is hosted in Canada, ensuring your information never crosses borders.
Table of Contents
- 1. About This Policy
- 2. Who We Are
- 3. Information We Collect
- 4. How We Use Your Information
- 5. AI and Your Data
- 6. How We Protect Your Information
- 7. Third-Party Service Providers
- 8. Privacy Impact Assessment
- 9. Data Retention
- 10. Your Privacy Rights
- 11. Children's Privacy
- 12. Canadian Data Sovereignty
- 13. Cookies and Tracking
- 14. Data Breach Notification
- 15. Changes to This Policy
- 16. Summary
- 17. Contact & Complaints
1. About This Policy
This Privacy Policy explains how Inquisitive Flow Learning ("IFL", "we", "us", or "our") collects, uses, stores, discloses, and protects personal information through our educational platforms: Mnemosyne (for individual learners) and Aethon (for schools and educational institutions).
This policy applies to:
- Our websites: inquisitiveflow.ca, mnemosyne.inquisitiveflow.ca, and aethon.inquisitiveflow.ca
- Our web applications and services
- Communications with us via email or other means
By using our services, you acknowledge that you have read and understood this Privacy Policy. If you do not agree with our practices, please do not use our services.
2. Who We Are
Inquisitive Flow Learning is a sole proprietorship owned and operated by Elias Tanbe, based in Montreal, Quebec, Canada. We develop AI-powered educational tools designed to help learners build deep understanding through conversation and visualisation.
Privacy Officer / Owner
Elias Tanbe
Inquisitive Flow Learning
Montreal, Quebec, Canada
Email: privacy@inquisitiveflow.ca
Our Privacy Officer is responsible for ensuring compliance with Quebec's Law 25 and Canada's Personal Information Protection and Electronic Documents Act (PIPEDA).
3. Information We Collect
3.1 Information You Provide Directly
| Information | Purpose | Legal Basis (PIPEDA) | Retention |
|---|---|---|---|
| First name, Last name | Account identification, personalization | Consent & contractual necessity | While account is active |
| Email address | Account login, communications, password reset | Consent & contractual necessity | While account is active |
| Password (encrypted) | Account authentication and security | Contractual necessity | While account is active |
| School / institution affiliation (Aethon) | Provide institutional access and role assignment | Consent & contractual necessity | While account is active |
| Subscription tier (Mnemosyne) | Manage access levels and billing | Contractual necessity | While account is active |
| Learning progress data | Track educational progress, mind map features | Consent & legitimate interest | While account is active |
3.2 Information We Do NOT Collect
- Government-issued identification numbers (SIN, passport, etc.)
- Biometric data (fingerprints, facial recognition)
- Precise geolocation or GPS coordinates
- Health or medical information
- Credit card numbers (processed directly by Stripe, never stored by us)
- Device fingerprints or cross-site tracking data
4. How We Use Your Information
We use the information we collect strictly for the following purposes:
- Providing educational services: Delivering personalized AI tutoring, generating mind maps, and tracking learning progress.
- Institutional management (Aethon): Enabling administrators to manage accounts and teachers to monitor student progress within their institution.
- Subscription management (Mnemosyne): Processing payments, managing subscription tiers, and providing tier-appropriate features.
- Platform operations: Authenticating users, sending transactional emails, and maintaining platform security.
- Service improvement: Analysing aggregate, anonymized usage data to improve platform features (never individual data).
We NEVER:
- Sell, rent, or trade your data to anyone
- Use your data for advertising or marketing purposes
- Use your data to train AI models
- Build profiles for non-educational purposes
- Share individual data with third parties for their own purposes
5. AI and Your Data
Your conversations with our AI tutor are processed on Microsoft Azure servers located in Canada East (Quebec). This data is never used for training, never retained by Microsoft, and never reviewed by humans.
Azure OpenAI Service (Canada East)
Our AI tutoring is powered by Azure OpenAI, deployed exclusively in Microsoft's Canada East region. Under Microsoft's data processing terms for Azure OpenAI:
- Prompts and completions are not used to train, retrain, or improve Azure OpenAI foundation models.
- Microsoft does not retain API input or output data beyond real-time processing.
- No human review of prompts or completions is performed.
- All AI processing occurs within Canadian borders.
Perplexity AI (Research Mode)
When the research feature is enabled, Perplexity AI may be used to provide web-sourced research responses. Only the educational question is sent; no personal identifying information is shared. On Aethon, this feature is only available if enabled by the institution. On Mnemosyne, it is available to Sage tier subscribers.
Google Cloud Vision (Mnemosyne — Handwriting Recognition)
Mnemosyne's drawing canvas feature uses Google Cloud Vision for handwriting recognition (OCR). Image data is sent for processing and immediately discarded by Google after returning the recognized text. No image data is stored or used for training.
Our Own Data Storage
We store session data (questions, AI responses, mind map connections, and learning progress) on our own servers hosted on Amazon Web Services in Canada. This data is used solely to provide continuity of the learning experience.
6. How We Protect Your Information
Technical Safeguards
- Encryption in transit: All data transmitted between your browser and our servers is encrypted using TLS 1.3, the latest transport layer security standard.
- Encryption at rest: All data stored in our database is encrypted using AES-256 via AWS RDS encryption.
- Password security: Passwords are never stored in plain text. They are hashed using bcrypt with a strong salt, making them computationally infeasible to reverse.
- Multi-factor authentication (MFA): Available for all user accounts to add an extra layer of security.
- CSRF protection: Cross-site request forgery tokens protect against unauthorized actions.
Organizational Safeguards
- Role-based access control (RBAC): Access to data is strictly limited based on user roles. On Aethon, administrators see only their institution, teachers see only their students, and students see only their own data.
- Regular security audits: We conduct ongoing security assessments and vulnerability testing.
- Access controls: Internal access to production data is restricted to essential personnel only.
- Monitoring: Continuous monitoring for unauthorized access attempts and anomalous activity.
7. Third-Party Service Providers
We work with carefully selected third-party providers to deliver our services. All providers are bound by data processing agreements.
| Provider | Service | Data Shared | Server Location |
|---|---|---|---|
| Azure OpenAI | AI tutoring (language model) | Educational prompts and responses only | Canada East (Quebec) |
| Amazon Web Services | Application hosting, database | All platform data | Canada |
| Stripe | Payment processing | Billing information (we never store card details) | United States |
| SendGrid (Twilio) | Transactional email delivery | Email address, email content | United States |
| Google Cloud Vision | Handwriting recognition (Mnemosyne only) | Canvas image data (processed and discarded) | United States |
| Cloudflare | CDN, DDoS protection, security | Traffic metadata (IP addresses, request headers) | Global (edge network) |
Key distinction: Core data — your personal information, learning sessions, and AI interactions — stays in Canada. Only payment processing, email delivery, and handwriting recognition involve US-based services, and these services receive only the minimum data required to function.
8. Privacy Impact Assessment
A Privacy Impact Assessment (PIA) for our platforms is currently in progress. This assessment evaluates the privacy risks associated with the collection, use, and disclosure of personal information within our platforms.
We are committed to transparency throughout this process and will make findings available to institutional partners upon request. The PIA follows guidelines established by the Commission d'accès à l'information du Québec (CAI) and the Office of the Privacy Commissioner of Canada.
9. Data Retention
We retain personal information only as long as necessary for the purposes for which it was collected.
| Status | Retention Period | Details |
|---|---|---|
| Active account | While account is active | Data is retained for the duration of the active account to provide services |
| Deleted account | 30 days | Personal information is permanently deleted within 30 days of account deletion |
| Legal requirements | As required by law | Certain data may be retained longer to comply with legal or regulatory obligations |
Institutional agreements (Aethon) may specify additional retention requirements. Upon termination of an institutional subscription, we work with the institution to ensure proper data handling according to their policies and applicable law.
10. Your Privacy Rights
Under PIPEDA and Quebec's Law 25, you have the following rights regarding your personal information:
- Right of access: Request a copy of all personal information we hold about you.
- Right of rectification: Correct any inaccurate or incomplete personal information.
- Right of deletion: Request the deletion of your personal information and account.
- Right to data portability: Receive your data in a structured, commonly used, machine-readable format.
- Right to withdraw consent: Withdraw your consent at any time. Note that this may affect your ability to use the service.
- Right to be informed: Be informed about how your personal information is collected, used, and disclosed.
- Right to complain: Lodge a complaint with the relevant privacy authority if you believe your rights have been violated.
How to Exercise Your Rights
To exercise any of these rights, contact our Privacy Officer at privacy@inquisitiveflow.ca. We will acknowledge your request within 48 hours and respond substantively within 30 days, as required by law.
For students under 18 (Aethon): A parent, legal guardian, or school administrator may exercise these rights on the student's behalf. We will verify the identity of anyone making a request to protect the student's privacy.
11. Children's Privacy
Protecting the privacy of young learners is of paramount importance.
Aethon (Schools)
In accordance with Quebec's Law 25, we require parental or guardian consent before collecting personal information from individuals under 14 years of age. For school deployments, we work with institutions to ensure proper consent mechanisms are in place, which may include:
- Parental consent forms collected by the school as part of the enrollment process.
- Institutional service agreements that include consent provisions approved by the school board.
- Direct parental consent obtained during the student account creation process.
If we learn that we have collected personal information from a minor under 14 without proper consent, we will delete that information promptly and notify the relevant institution.
Mnemosyne (Individual Learners)
Mnemosyne is designed for users aged 16 and older. We do not knowingly collect personal information from individuals under 16. If we discover that a user under 16 has created an account, we will promptly delete the account and associated data.
12. Canadian Data Sovereignty
We have made deliberate infrastructure choices to ensure that your data remains in Canada:
| Service | Location | Data Type |
|---|---|---|
| Application server | AWS Canada | All platform data |
| Database | AWS Canada | User accounts, learning data |
| AI processing | Azure Canada East (Quebec) | Educational prompts only |
| Payment processing | Stripe (United States) | Billing info only (no student data) |
| Email delivery | SendGrid/Twilio (United States) | Email address and message content |
| CDN / Security | Cloudflare (Global edge) | Traffic metadata only |
Bottom line: All personal information, learning sessions, AI conversations, and progress data are stored and processed exclusively in Canada. The only data that leaves Canada is billing information (to Stripe) and email delivery data (to SendGrid), both of which are subject to strict contractual data protection agreements.
13. Cookies and Tracking
We use essential cookies only — the absolute minimum required for the platform to function securely.
| Cookie | Purpose | Type |
|---|---|---|
| Session cookie | Maintains authenticated user session | Essential |
| CSRF token | Protects against cross-site request forgery attacks | Essential (security) |
| Cookie preferences | Remembers your cookie consent choices | Essential |
We do not use:
- Advertising or marketing cookies
- Third-party tracking pixels or beacons
- Analytics cookies that track individual users
- Social media tracking cookies
14. Data Breach Notification
In the event of a data breach that poses a risk of serious harm, we are committed to acting swiftly and transparently:
- Regulatory notification: We will notify the Commission d'accès à l'information du Québec (CAI) as required by Law 25.
- Individual notification: We will promptly inform affected individuals and their institutions (where applicable), providing details about the nature of the breach, the data involved, and steps being taken.
- Remediation: We will take immediate steps to contain the breach, investigate the root cause, and implement measures to prevent recurrence.
15. Changes to This Policy
We may update this Privacy Policy from time to time to reflect changes in our practices, technology, or legal requirements. When we make changes, we will:
- Update the "Last updated" date at the top of this page.
- Send an email notification to registered users and institutional administrators for significant changes.
- Post a prominent notice on our platform.
Continued use of the service after changes have been communicated constitutes acceptance of the updated policy.
16. Summary: What We Do vs What We Don't Do
What We Do
- Store all data in Canada
- Process AI in Canada East (Quebec)
- Encrypt everything in transit and at rest
- Hash passwords with bcrypt
- Comply with PIPEDA and Quebec Law 25
- Enforce role-based access controls
- Use only essential cookies
- Delete data within 30 days of account deletion
What We Don't Do
- Sell or trade your data
- Use data for AI training
- Place advertising or tracking cookies
- Share data with third-party advertisers
- Build non-educational profiles
- Allow human review of AI conversations
- Store core data outside Canada
- Retain data longer than necessary
17. Contact & Complaints
Privacy Officer
For any privacy-related questions, concerns, or to exercise your rights:
Privacy Officer
Elias Tanbe
Inquisitive Flow Learning
Montreal, Quebec, Canada
Email: privacy@inquisitiveflow.ca
Regulatory Authorities
If you are not satisfied with our response to a privacy concern, you may file a complaint with the relevant authority:
Quebec
Commission d'accès à l'information du Québec (CAI)
www.cai.gouv.qc.ca
Canada
Office of the Privacy Commissioner of Canada (OPC)
www.priv.gc.ca
Vos données restent au Canada. Toujours.
Chez Inquisitive Flow Learning, nous croyons que la protection de la vie privée n'est pas optionnelle. Toute notre infrastructure — du traitement de l'IA au stockage des données — est hébergée au Canada, garantissant que vos informations ne traversent jamais les frontières.
Table des matières
- 1. À propos de cette politique
- 2. Qui nous sommes
- 3. Renseignements que nous recueillons
- 4. Utilisation de vos renseignements
- 5. L'IA et vos données
- 6. Protection de vos renseignements
- 7. Fournisseurs de services tiers
- 8. Évaluation des facteurs relatifs à la vie privée
- 9. Conservation des données
- 10. Vos droits en matière de vie privée
- 11. Vie privée des enfants
- 12. Souveraineté des données canadiennes
- 13. Témoins (cookies) et suivi
- 14. Notification en cas d'atteinte
- 15. Modifications à cette politique
- 16. Résumé
- 17. Contact et plaintes
1. À propos de cette politique
Cette politique de confidentialité explique comment Inquisitive Flow Learning (« IFL », « nous », « notre ») recueille, utilise, stocke, communique et protège les renseignements personnels par l'intermédiaire de nos plateformes éducatives : Mnemosyne (pour les apprenants individuels) et Aethon (pour les écoles et les établissements d'enseignement).
Cette politique s'applique à :
- Nos sites Web : inquisitiveflow.ca, mnemosyne.inquisitiveflow.ca et aethon.inquisitiveflow.ca
- Nos applications Web et services
- Les communications avec nous par courriel ou d'autres moyens
En utilisant nos services, vous reconnaissez avoir lu et compris cette politique de confidentialité. Si vous n'êtes pas d'accord avec nos pratiques, veuillez ne pas utiliser nos services.
2. Qui nous sommes
Inquisitive Flow Learning est une entreprise individuelle détenue et exploitée par Elias Tanbe, basée à Montréal, Québec, Canada. Nous développons des outils éducatifs propulsés par l'IA, conçus pour aider les apprenants à développer une compréhension approfondie par la conversation et la visualisation.
Responsable de la protection des renseignements personnels / Propriétaire
Elias Tanbe
Inquisitive Flow Learning
Montréal, Québec, Canada
Courriel : privacy@inquisitiveflow.ca
Notre responsable de la protection des renseignements personnels est chargé d'assurer la conformité avec la Loi 25 du Québec et la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du Canada.
3. Renseignements que nous recueillons
3.1 Renseignements que vous fournissez directement
| Renseignement | Finalité | Fondement juridique (LPRPDE) | Conservation |
|---|---|---|---|
| Prénom, Nom | Identification du compte, personnalisation | Consentement et nécessité contractuelle | Tant que le compte est actif |
| Adresse courriel | Connexion, communications, réinitialisation du mot de passe | Consentement et nécessité contractuelle | Tant que le compte est actif |
| Mot de passe (chiffré) | Authentification et sécurité du compte | Nécessité contractuelle | Tant que le compte est actif |
| École / affiliation institutionnelle (Aethon) | Fournir l'accès institutionnel et l'attribution des rôles | Consentement et nécessité contractuelle | Tant que le compte est actif |
| Niveau d'abonnement (Mnemosyne) | Gérer les niveaux d'accès et la facturation | Nécessité contractuelle | Tant que le compte est actif |
| Données de progression d'apprentissage | Suivi des progrès éducatifs, cartes mentales | Consentement et intérêt légitime | Tant que le compte est actif |
3.2 Renseignements que nous ne recueillons PAS
- Numéros d'identification gouvernementaux (NAS, passeport, etc.)
- Données biométriques (empreintes digitales, reconnaissance faciale)
- Géolocalisation précise ou coordonnées GPS
- Informations sur la santé ou médicales
- Numéros de carte de crédit (traités directement par Stripe, jamais stockés par nous)
- Empreintes numériques d'appareils ou données de suivi intersites
4. Utilisation de vos renseignements
Nous utilisons les renseignements recueillis strictement aux fins suivantes :
- Prestation de services éducatifs : Offrir un tutorat personnalisé par IA, générer des cartes mentales et suivre la progression de l'apprentissage.
- Gestion institutionnelle (Aethon) : Permettre aux administrateurs de gérer les comptes et aux enseignants de suivre les progrès des élèves au sein de leur établissement.
- Gestion des abonnements (Mnemosyne) : Traiter les paiements, gérer les niveaux d'abonnement et fournir les fonctionnalités appropriées.
- Opérations de la plateforme : Authentifier les utilisateurs, envoyer des courriels transactionnels et maintenir la sécurité de la plateforme.
- Amélioration du service : Analyser les données d'utilisation agrégées et anonymisées pour améliorer les fonctionnalités (jamais les données individuelles).
Nous ne faisons JAMAIS :
- Vendre, louer ou échanger vos données
- Utiliser vos données à des fins publicitaires ou de marketing
- Utiliser vos données pour entraîner des modèles d'IA
- Créer des profils à des fins non éducatives
- Partager vos données individuelles avec des tiers pour leurs propres fins
5. L'IA et vos données
Vos conversations avec notre tuteur IA sont traitées sur les serveurs Microsoft Azure situés dans la région Canada Est (Québec). Ces données ne sont jamais utilisées pour l'entraînement, jamais conservées par Microsoft et jamais examinées par des humains.
Service Azure OpenAI (Canada Est)
Notre tutorat par IA est propulsé par Azure OpenAI, déployé exclusivement dans la région Canada Est de Microsoft. Selon les conditions de traitement des données de Microsoft pour Azure OpenAI :
- Les invites et les réponses ne sont pas utilisées pour entraîner, réentraîner ou améliorer les modèles fondamentaux d'Azure OpenAI.
- Microsoft ne conserve pas les données d'entrée ou de sortie de l'API au-delà du traitement en temps réel.
- Aucune révision humaine des invites ou des réponses n'est effectuée.
- Tout le traitement de l'IA s'effectue à l'intérieur des frontières canadiennes.
Perplexity AI (mode recherche)
Lorsque la fonctionnalité de recherche est activée, Perplexity AI peut être utilisé pour fournir des réponses basées sur des recherches web. Seule la question éducative est transmise ; aucune information personnelle identifiable n'est partagée. Sur Aethon, cette fonctionnalité n'est disponible que si elle est activée par l'établissement. Sur Mnemosyne, elle est disponible pour les abonnés du niveau Sage.
Google Cloud Vision (Mnemosyne — Reconnaissance d'écriture)
La fonctionnalité de canevas de dessin de Mnemosyne utilise Google Cloud Vision pour la reconnaissance d'écriture manuscrite (OCR). Les données d'image sont envoyées pour traitement et immédiatement supprimées par Google après le retour du texte reconnu. Aucune donnée d'image n'est stockée ou utilisée pour l'entraînement.
Notre propre stockage de données
Nous stockons les données de session (questions, réponses de l'IA, connexions de la carte mentale et progression de l'apprentissage) sur nos propres serveurs hébergés sur Amazon Web Services au Canada. Ces données sont utilisées uniquement pour assurer la continuité de l'expérience d'apprentissage.
6. Protection de vos renseignements
Mesures de protection techniques
- Chiffrement en transit : Toutes les données transmises entre votre navigateur et nos serveurs sont chiffrées à l'aide de TLS 1.3.
- Chiffrement au repos : Toutes les données stockées dans notre base de données sont chiffrées à l'aide d'AES-256 via le chiffrement AWS RDS.
- Sécurité des mots de passe : Les mots de passe ne sont jamais stockés en texte clair. Ils sont hachés avec bcrypt et un sel robuste.
- Authentification multifacteur (AMF) : Disponible pour tous les comptes utilisateurs.
- Protection CSRF : Des jetons de protection contre la falsification de requêtes intersites protègent contre les actions non autorisées.
Mesures de protection organisationnelles
- Contrôle d'accès basé sur les rôles (RBAC) : L'accès aux données est strictement limité en fonction des rôles des utilisateurs. Sur Aethon, les administrateurs ne voient que leur établissement, les enseignants ne voient que leurs élèves, et les élèves ne voient que leurs propres données.
- Audits de sécurité réguliers : Nous réalisons des évaluations de sécurité et des tests de vulnérabilité en continu.
- Contrôles d'accès : L'accès interne aux données de production est limité au personnel essentiel uniquement.
- Surveillance : Surveillance continue des tentatives d'accès non autorisées et des activités anormales.
7. Fournisseurs de services tiers
Nous collaborons avec des fournisseurs tiers soigneusement sélectionnés pour offrir nos services. Tous les fournisseurs sont liés par des accords de traitement des données.
| Fournisseur | Service | Données partagées | Emplacement |
|---|---|---|---|
| Azure OpenAI | Tutorat par IA | Invites et réponses éducatives uniquement | Canada Est (Québec) |
| Amazon Web Services | Hébergement, base de données | Toutes les données de la plateforme | Canada |
| Stripe | Traitement des paiements | Informations de facturation (nous ne stockons jamais les détails de carte) | États-Unis |
| SendGrid (Twilio) | Livraison de courriels transactionnels | Adresse courriel, contenu du courriel | États-Unis |
| Google Cloud Vision | Reconnaissance d'écriture (Mnemosyne uniquement) | Données d'image du canevas (traitées et supprimées) | États-Unis |
| Cloudflare | CDN, protection DDoS, sécurité | Métadonnées de trafic | Réseau mondial |
Distinction clé : Les données essentielles — vos renseignements personnels, sessions d'apprentissage et interactions avec l'IA — restent au Canada. Seuls le traitement des paiements, la livraison des courriels et la reconnaissance d'écriture impliquent des services basés aux États-Unis, et ces services ne reçoivent que les données minimales nécessaires.
8. Évaluation des facteurs relatifs à la vie privée
Une évaluation des facteurs relatifs à la vie privée (EFVP) pour nos plateformes est actuellement en cours. Cette évaluation examine les risques pour la vie privée liés à la collecte, à l'utilisation et à la communication des renseignements personnels.
Nous nous engageons à la transparence tout au long de ce processus et mettrons les résultats à la disposition des partenaires institutionnels sur demande. L'EFVP suit les lignes directrices de la Commission d'accès à l'information du Québec (CAI) et du Commissariat à la protection de la vie privée du Canada.
9. Conservation des données
Nous conservons les renseignements personnels uniquement aussi longtemps que nécessaire aux fins pour lesquelles ils ont été recueillis.
| Statut | Période | Détails |
|---|---|---|
| Compte actif | Tant que le compte est actif | Les données sont conservées pour fournir les services |
| Compte supprimé | 30 jours | Les renseignements personnels sont définitivement supprimés dans les 30 jours |
| Exigences légales | Selon la loi | Certaines données peuvent être conservées plus longtemps pour se conformer aux obligations légales |
Les accords institutionnels (Aethon) peuvent prévoir des exigences de conservation supplémentaires. À la fin d'un abonnement institutionnel, nous collaborons avec l'établissement pour assurer un traitement adéquat des données.
10. Vos droits en matière de vie privée
En vertu de la LPRPDE et de la Loi 25 du Québec, vous disposez des droits suivants :
- Droit d'accès : Demander une copie de tous les renseignements personnels que nous détenons à votre sujet.
- Droit de rectification : Corriger tout renseignement personnel inexact ou incomplet.
- Droit de suppression : Demander la suppression de vos renseignements personnels et de votre compte.
- Droit à la portabilité des données : Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine.
- Droit de retirer son consentement : Retirer votre consentement à tout moment.
- Droit d'être informé : Être informé de la manière dont vos renseignements personnels sont recueillis, utilisés et communiqués.
- Droit de porter plainte : Déposer une plainte auprès de l'autorité compétente.
Comment exercer vos droits
Pour exercer l'un de ces droits, contactez notre responsable de la protection des renseignements personnels à privacy@inquisitiveflow.ca. Nous accuserons réception de votre demande dans les 48 heures et y répondrons dans les 30 jours.
Pour les élèves de moins de 18 ans (Aethon) : Un parent, un tuteur légal ou un administrateur scolaire peut exercer ces droits au nom de l'élève.
11. Vie privée des enfants
Aethon (Écoles)
Conformément à la Loi 25 du Québec, nous exigeons le consentement parental ou du tuteur avant de recueillir des renseignements personnels de personnes de moins de 14 ans. Pour les déploiements scolaires, nous collaborons avec les établissements pour assurer la mise en place de mécanismes de consentement adéquats.
Mnemosyne (Apprenants individuels)
Mnemosyne est conçu pour les utilisateurs de 16 ans et plus. Nous ne recueillons pas sciemment les renseignements personnels de personnes de moins de 16 ans. Si nous découvrons qu'un utilisateur de moins de 16 ans a créé un compte, nous supprimerons rapidement le compte et les données associées.
12. Souveraineté des données canadiennes
Nous avons fait des choix d'infrastructure délibérés pour garantir que vos données restent au Canada :
| Service | Emplacement | Type de données |
|---|---|---|
| Serveur d'application | AWS Canada | Toutes les données de la plateforme |
| Base de données | AWS Canada | Comptes utilisateurs, données d'apprentissage |
| Traitement IA | Azure Canada Est (Québec) | Invites éducatives uniquement |
| Traitement des paiements | Stripe (États-Unis) | Informations de facturation uniquement |
| Livraison de courriels | SendGrid/Twilio (États-Unis) | Adresse courriel et contenu du message |
| CDN / Sécurité | Cloudflare (réseau mondial) | Métadonnées de trafic uniquement |
En résumé : Tous les renseignements personnels, sessions d'apprentissage, conversations avec l'IA et données de progression sont stockés et traités exclusivement au Canada. Les seules données qui quittent le Canada sont les informations de facturation (vers Stripe) et les données de livraison de courriels (vers SendGrid), toutes deux soumises à des accords stricts de protection des données.
13. Témoins (cookies) et suivi
Nous utilisons uniquement des témoins essentiels — le minimum absolu requis pour le fonctionnement sécurisé de la plateforme.
| Témoin | Finalité | Type |
|---|---|---|
| Témoin de session | Maintien de la session utilisateur authentifiée | Essentiel |
| Jeton CSRF | Protection contre la falsification de requêtes intersites | Essentiel (sécurité) |
| Préférences de témoins | Mémorise vos choix de consentement aux témoins | Essentiel |
Nous n'utilisons pas :
- De témoins publicitaires ou de marketing
- De pixels de suivi ou de balises de tiers
- De témoins d'analyse qui suivent les utilisateurs individuels
- De témoins de suivi des médias sociaux
14. Notification en cas d'atteinte aux données
En cas d'atteinte aux données présentant un risque de préjudice grave :
- Notification réglementaire : Nous aviserons la Commission d'accès à l'information du Québec (CAI) conformément à la Loi 25.
- Notification individuelle : Nous informerons rapidement les personnes touchées et leurs établissements (le cas échéant).
- Remédiation : Nous prendrons des mesures immédiates pour contenir l'atteinte, enquêter sur la cause et prévenir toute récurrence.
15. Modifications à cette politique
Nous pouvons mettre à jour cette politique de confidentialité de temps à autre. Lorsque nous apportons des modifications, nous :
- Mettrons à jour la date de « Dernière mise à jour » en haut de cette page.
- Enverrons une notification par courriel aux utilisateurs inscrits et aux administrateurs institutionnels pour les changements importants.
- Publierons un avis visible sur notre plateforme.
L'utilisation continue du service après la communication des modifications constitue l'acceptation de la politique mise à jour.
16. Résumé : Ce que nous faisons vs Ce que nous ne faisons pas
Ce que nous faisons
- Stocker toutes les données au Canada
- Traiter l'IA au Canada Est (Québec)
- Chiffrer tout en transit et au repos
- Hacher les mots de passe avec bcrypt
- Respecter la LPRPDE et la Loi 25 du Québec
- Appliquer des contrôles d'accès basés sur les rôles
- N'utiliser que des témoins essentiels
- Supprimer les données dans les 30 jours suivant la suppression du compte
Ce que nous ne faisons pas
- Vendre ou échanger vos données
- Utiliser les données pour l'entraînement de l'IA
- Placer des témoins publicitaires ou de suivi
- Partager les données avec des annonceurs tiers
- Créer des profils non éducatifs
- Permettre la révision humaine des conversations IA
- Stocker les données essentielles en dehors du Canada
- Conserver les données plus longtemps que nécessaire
17. Contact et plaintes
Responsable de la protection des renseignements personnels
Pour toute question, préoccupation ou pour exercer vos droits en matière de vie privée :
Responsable de la protection des renseignements personnels
Elias Tanbe
Inquisitive Flow Learning
Montréal, Québec, Canada
Courriel : privacy@inquisitiveflow.ca
Autorités réglementaires
Si vous n'êtes pas satisfait de notre réponse, vous pouvez déposer une plainte :
Québec
Commission d'accès à l'information du Québec (CAI)
www.cai.gouv.qc.ca
Canada
Commissariat à la protection de la vie privée du Canada
www.priv.gc.ca