HEIRmart · LegalTerms, privacy, and what we promise in writing.Conditions, vie privée, et ce qu’on promet par écrit.
TermsConditionsPrivacyVie privée← Home← Accueil

Privacy PolicyPolitique de confidentialité

Last updated: 2026-04-23. Complies with Canada’s PIPEDA and Quebec’s Law 25.Dernière mise à jour : 2026-04-23. Conforme à la LPRPDE canadienne et à la Loi 25 du Québec.

⚠️ Draft — pending privacy-lawyer review. A Canadian privacy lawyer must review this before publication. Quebec Law 25 requires a formally designated Privacy Officer; that role is temporarily held by Chicco until HEIR Spaces Inc. is incorporated and a formal appointment is made. Contact for privacy requests: privacy@heirride.chicco-ai.tech.⚠️ Brouillon — en attente de révision par un avocat en protection de la vie privée.Un avocat canadien en protection de la vie privée doit réviser ce document avant publication. La Loi 25 exige la désignation formelle d’un responsable; ce rôle est tenu temporairement par Chicco jusqu’à la constitution de HEIR Spaces Inc. et la nomination officielle. Contact pour demandes de vie privée : privacy@heirride.chicco-ai.tech.

01Who is the data controllerQui est le responsable des données

HEIRmart is operated by [Operator Name], sole proprietor, Gatineau, Québec, Canada (to be replaced by HEIR Spaces Inc. post-incorporation). The operator acts as the data controller for all personal information processed through the service. Privacy Officer per Quebec’s Law 25 s. 3.1: Chicco Botekol, reachable at privacy@heirride.chicco-ai.tech.HEIRmart est exploité par [Nom de l’exploitant], entreprise individuelle, Gatineau (Québec), Canada (à remplacer par HEIR Spaces Inc. après constitution). L’exploitant agit comme responsable des données pour tous les renseignements personnels traités par le service. Responsable de la protection des renseignements personnels au sens de l’art. 3.1 de la Loi 25 : Chicco Botekol, joignable à privacy@heirride.chicco-ai.tech.

02What we collectCe qu’on collecte

We collect only what is necessary for the purpose stated:On ne collecte que ce qui est nécessaire à la finalité indiquée :

CategoryCatégorieExamplesExemplesRequired?Requis ?
Player ID (anonymous)ID joueur (anonyme)UUID stored in a cookie / secure storeUUID stocké dans un cookie / stockage sécuriséYesOui
EmailCourrielTo sign in, waitlist, receipts by emailPour la connexion, liste d’attente, reçus par courrielOptionalOptionnel
HandlePseudonymePublic on the leaderboard (you choose)Public dans le classement (à ton choix)OptionalOptionnel
Receipt dataDonnées de reçuStore, items, total, date — either typed or OCR’d from a photoMagasin, articles, total, date — tapés ou OCR d’une photoWhen submittedSur soumission
Wallet addressAdresse portefeuille0x… on Base, if you claim $HEIR0x… sur Base, si tu réclames $HEIROptionalOptionnel
RegionRégionON or QC (you pick; no GPS)ON ou QC (à ton choix; pas de GPS)YesOui
IP address (hashed)Adresse IP (hashée)Rate limiting, anti-abuseLimitation de débit, anti-abusYes — hashed, not stored rawOui — hashée, jamais en clair
PaymentPaiementSubscription proof from Apple/Google/Stripe — we never see card numbersPreuve d’abonnement d’Apple/Google/Stripe — on ne voit jamais les numéros de carteOnly if paid subscriberSeulement si tu t’abonnes

We do not collect: GPS/precise location, contacts, phone number, date of birth, SIN, bank account, credit card. We do not track you across other apps or websites.On ne collecte pas : GPS/localisation précise, contacts, numéro de téléphone, date de naissance, NAS, compte bancaire, carte de crédit. On ne te suit pas sur d’autres applications ou sites.

03Why we collect it (purposes)Pourquoi on collecte (finalités)

  • Service delivery: run the price-compare engine, credit rewards, show the leaderboard, send you subscription receipts.Prestation du service : faire fonctionner le comparateur, créditer les récompenses, afficher le classement, t’envoyer les reçus d’abonnement.
  • Anti-abuse: rate limiting, fake-receipt detection, preventing leaderboard manipulation.Anti-abus : limitation de débit, détection de faux reçus, prévention de la manipulation du classement.
  • Aggregate analytics: anonymized statistics on how prices vary across stores and regions (no individual-user data published).Analytique agrégée : statistiques anonymisées sur la variation des prix entre magasins et régions (aucune donnée individuelle publiée).
  • Legal: responding to valid court orders, regulator inquiries, and tax reporting where required.Légal : réponse aux ordonnances judiciaires valides, aux demandes de régulateurs et aux obligations fiscales.

Each purpose is separate. Consenting to one does not imply consent to another. Law 25 requires separately-checked boxes where applicable.Chaque finalité est distincte. Consentir à l’une n’implique pas consentement à une autre. La Loi 25 exige des cases cochées séparément le cas échéant.

04Third partiesTiers

We share data only with the following processors, each bound by a written data-processing agreement:On ne partage des données qu’avec les sous-traitants suivants, chacun lié par une entente écrite de traitement :

  • Hostinger hosting infrastructure (servers in Lithuania, EU). Hosts our Postgres database.infrastructure d’hébergement (serveurs en Lituanie, UE). Héberge notre base Postgres.
  • Cloudflare DNS + CDN (servers globally). Sees URLs + IPs of requests.DNS + CDN (serveurs mondiaux). Voit les URL et IP des requêtes.
  • Stripe Canada payment processing for web-paid subscriptions. Sees payment data; we don’t.traitement des paiements pour les abonnements web. Voit les données de paiement; pas nous.
  • Apple / Google IAP for mobile subscriptions. Governed by their own privacy policies.IAP pour les abonnements mobiles. Régis par leurs propres politiques.
  • Base blockchain / Basescan if you link a wallet, your address and on-chain $HEIR activity are public by nature.si tu lies un portefeuille, ton adresse et ton activité $HEIR on-chain sont publiques par nature.
  • Resend (optional, when we send emailoptionnel, quand on t’envoie un courriel) — transactional email delivery. Sees your email address and the message.livraison de courriels transactionnels. Voit ton adresse et le message.

Transfer outside Canada: Some of these processors store or process data outside Canada (EU for Hostinger, US for Cloudflare/Stripe/Apple/Google). Under Law 25 s. 17, we have assessed that each jurisdiction offers an adequate level of privacy protection for the data handled, and each processor is contractually required to apply the same standards. If you’d like details of this assessment, email privacy@heirride.chicco-ai.tech.Transfert hors Canada : certains de ces sous-traitants stockent ou traitent des données hors du Canada (UE pour Hostinger; É.-U. pour Cloudflare/Stripe/Apple/Google). En vertu de l’art. 17 de la Loi 25, on a évalué que chaque juridiction offre un niveau de protection adéquat pour les données traitées, et chaque sous-traitant est contractuellement tenu d’appliquer les mêmes normes. Pour le détail de l’évaluation, écris à privacy@heirride.chicco-ai.tech.

05RetentionConservation

We keep personal data only as long as needed for the stated purpose:On conserve les données personnelles seulement aussi longtemps que nécessaire à la finalité indiquée :
  • Anonymous player records: 18 months since last activity, then deleted.Comptes joueurs anonymes : 18 mois depuis la dernière activité, puis supprimés.
  • Receipts: 24 months (needed for fraud detection + historical price analytics), then aggregated + personally-identifiable link removed.Reçus : 24 mois (nécessaire pour la détection de fraude et l’analytique historique des prix), puis agrégés et lien identifiant supprimé.
  • Billing records (invoices): 7 years as required by Canada Revenue Agency.Registres de facturation : 7 ans, exigé par l’Agence du revenu du Canada.
  • Server logs (hashed IPs, request paths): 90 days rolling.Journaux serveur (IP hashées, chemins de requête) : 90 jours glissants.

06Your rightsTes droits

Under PIPEDA and Law 25 you have the right to:En vertu de la LPRPDE et de la Loi 25, tu as le droit de :

  • Access the personal data we hold about you.accéder aux renseignements personnels qu’on détient sur toi;
  • Rectify incorrect data.rectifier des données incorrectes;
  • Delete your account and the personal data associated with it.supprimer ton compte et les données personnelles associées;
  • Port your data in a structured, machine-readable format (JSON).emporter tes données dans un format structuré et lisible par machine (JSON);
  • Withdraw consent for any processing at any time.retirer ton consentement à tout traitement, à tout moment;
  • De-index your data from search results (Law 25 Quebec-specific right).demander la désindexation de tes données des résultats de recherche (droit spécifique Loi 25);
  • Complain to the Commission d’accès à l’information du Québec or the Office of the Privacy Commissioner of Canada if we do not respond adequately.porter plainte auprès de la Commission d’accès à l’information du Québec ou du Commissariat à la protection de la vie privée du Canada si on ne répond pas adéquatement.

To exercise these rights, email privacy@heirride.chicco-ai.tech. We reply within 30 days.Pour exercer ces droits, écris à privacy@heirride.chicco-ai.tech. On répond dans les 30 jours.

07ChildrenEnfants

HEIRmart is not intended for children under 14. We do not knowingly collect data from children under 14. If you are a parent or guardian and learn your child has submitted data, email privacy@heirride.chicco-ai.tech and we will delete it promptly.HEIRmart n’est pas destiné aux enfants de moins de 14 ans. On ne collecte pas sciemment de données d’enfants de moins de 14 ans. Si tu es parent ou tuteur et que tu apprends que ton enfant a soumis des données, écris à privacy@heirride.chicco-ai.tech et on supprimera rapidement.

08SecuritySécurité

We protect your data with HTTPS everywhere, encrypted secrets at rest, hashed passwords (when applicable), rate limiting on authentication endpoints, and a principle of least privilege on our admin tooling. No system is perfectly secure. If we suffer a data breach that presents a risk of serious harm, we will notify affected users and the relevant regulator (Commission d’accès à l’information du Québec and/or OPC Canada) as required by law.On protège tes données avec HTTPS partout, des secrets chiffrés au repos, des mots de passe hashés (le cas échéant), une limitation de débit sur les endpoints d’authentification et un principe du moindre privilège sur nos outils admin. Aucun système n’est parfaitement sécurisé. Si on subit une violation présentant un risque sérieux de préjudice, on notifiera les utilisateurs touchés et le régulateur compétent (Commission d’accès à l’information du Québec et/ou CPVP Canada) comme exigé par la loi.

09CookiesTémoins

We use one first-party cookie (heirmart_player) to identify your anonymous session, one for admin auth (heirmart_admin), and language preference (heir_lang). We do not use advertising cookies, third-party trackers, pixel tags, or Google Analytics. If you clear cookies you lose your streak + rewards link (we issue a fresh one on next visit).On utilise un seul témoin propriétaire (heirmart_player) pour identifier ta session anonyme, un pour l’authentification admin (heirmart_admin) et la préférence linguistique (heir_lang). On n’utilise pas de témoins publicitaires, de pixels ou de Google Analytics. Si tu effaces les témoins, tu perds le lien vers ta série et tes récompenses (on en émet un nouveau à la prochaine visite).

10ChangesModifications

If we change this policy in ways that materially affect you, we notify you at least 30 days before the change takes effect (by email to registered users and via a banner for anonymous users). Continued use after the effective date constitutes acceptance.Si on modifie cette politique d’une manière qui te touche significativement, on te préviendra au moins 30 jours à l’avance (par courriel aux utilisateurs enregistrés et par bannière pour les anonymes). L’usage continu après la date d’entrée en vigueur vaut acceptation.

11Contact the Privacy OfficerContacter le responsable

Privacy Officer / Responsable de la protection des renseignements personnels :Responsable de la protection des renseignements personnels :

Chicco Botekol — privacy@heirride.chicco-ai.tech

By mail: HEIRmart / Privacy Officer, [street], Gatineau QC, Canada.Par la poste : HEIRmart / Responsable, [rue], Gatineau (Québec), Canada.