Politique de confidentialité
TAP | The Alchemist Protocol
Date d’entrée en vigueur : 12 mai 2026 · Dernière mise à jour : 12 mai 2026
TAP ne vend jamais vos données. À personne. Pas aux annonceurs. Pas aux marques de mieux-être. Pas aux compagnies d’assurance. Pas aux institutions de recherche. À personne.
La catégorie du mieux-être s’est bâtie sur l’extraction de données. Les entreprises collectent des données biométriques et comportementales, les monétisent par la publicité ou la vente à des tiers, et traitent l’utilisateur comme le produit. Nous avons choisi une autre voie.
TAP ne recueille que ce qui est nécessaire pour installer votre structure — vos suivis, vos réponses au protocole, vos métriques. Ces données demeurent à l’intérieur de TAP. Elles servent votre discipline. Elles ne sont jamais le produit.
Nous pouvons analyser anonymement les tendances à l’échelle de la communauté pour garder le protocole honnête — ce qui tient sous la pression, ce qui dérive, ce qui doit être ajusté. Votre nom et vos renseignements personnels ne font jamais partie de cette analyse. Vous pouvez vous retirer même de cette utilisation agrégée.
Vos données sont vôtres. Votre discipline est vôtre. Votre investissement est l’adhésion — c’est là que la relation commence et s’arrête.
1. Qui nous sommes
TAP | The Alchemist Protocol (« TAP », « nous », « notre ») est une plateforme privée de maîtrise exploitée par Georges Najjar à partir du Québec, Canada.
Responsable de la protection des renseignements personnels : Georges Najjar
Coordonnées : privacy@thealchemistprotocol.com — ou utilisez notre formulaire de contact.
Site Web : thealchemistprotocol.com
Portail des membres : lab.thealchemistprotocol.com
Pour toute demande relative à la confidentialité, communiquez avec le Responsable à l’adresse ci-dessus. Nous répondrons dans les trente (30) jours.
2. Données que nous recueillons
Nous recueillons les catégories suivantes de renseignements personnels, uniquement lorsque vous choisissez de les fournir :
À partir de l’évaluation Executive Discipline Score (EDS)
- Nom, adresse courriel, âge
- Réponses à l’évaluation comportementale (24 questions — Structure, Condition, Command)
- Durée de sommeil, consommation hebdomadaire d’alcool, routine de suppléments
- Notes facultatives en texte libre
À partir du formulaire de candidature
- Nom, courriel, numéro de téléphone, ville, fuseau horaire
- Contexte professionnel, expérience antérieure de programme, sources de dérive
- Objectifs, niveau d’engagement, horaire
À partir du formulaire d’admission (après acceptation)
- Contexte de santé détaillé (historique d’entraînement, habitudes alimentaires, habitudes de sommeil, fréquence d’alcool/sucre, schémas de stress, pratiques de récupération, soins médicaux actuels, prescriptions, conditions, antécédents de troubles alimentaires, restrictions liées au jeûne/à l’exercice/aux suppléments)
- Métriques corporelles (poids, mesure de tour de taille, taille)
- Suppléments et médicaments
- Schémas comportementaux et cognitifs
- Photos de progression facultatives (consentement distinct requis)
À partir de votre utilisation du portail Lab (clients seulement)
- Réponses aux suivis quotidiens (Activation matinale, Suivi de mi-journée, Verrouillage du soir)
- Soumissions de revues hebdomadaires (conformité, dérive, victoires, frictions, ajustements)
- Métriques corporelles dans le temps
- Affectations d’habitudes et journaux de réalisation
- Communications avec votre opérateur (messages de soutien)
Données de compte
- Adresse courriel, mot de passe haché, date de création de compte, horodatages de connexion
Données techniques
- Adresse IP, type de navigateur, type d’appareil, horodatages de session
- Témoins (voir notre Avis sur les témoins pour plus de détails)
3. Renseignements sensibles relatifs au mieux-être (catégorie particulière)
Une portion importante des données ci-dessus constitue des renseignements liés à la santé ou au mieux-être qui nécessitent un traitement particulier en vertu de l’article 9 du RGPD, de la Loi 25 du Québec et de la LPRPDE. Nous les traitons comme des renseignements sensibles relatifs au mieux-être et appliquons des protections additionnelles : métriques corporelles, sommeil, alcool, sucre, fenêtres de jeûne, entraînement, énergie, blessures, soins médicaux et prescriptions, antécédents de troubles alimentaires, photos de progression facultatives, suppléments, objectifs, scores de conformité et de dérive, Identity Lock, notes d’opérateur.
Pour l’ensemble des renseignements sensibles relatifs au mieux-être, nous nous appuyons sur votre consentement explicite comme base légale en vertu de l’article 9(2)(a) du RGPD et des dispositions équivalentes de la Loi 25 du Québec et de la LPRPDE. Vous pouvez retirer ce consentement à tout moment, bien que cela puisse limiter notre capacité à fournir le service.
4. Pourquoi nous recueillons ces données (base légale)
Nous traitons vos renseignements personnels sur les bases légales suivantes :
| Finalité | Base RGPD art. 6 | Base RGPD art. 9 (sensibles) |
|---|---|---|
| Création de compte, authentification | Exécution du contrat | Sans objet |
| Traitement des soumissions EDS et retour des résultats | Consentement | Consentement explicite |
| Traitement des candidatures Lab | Mesures précontractuelles | Consentement explicite |
| Prestation du service Lab de 12 semaines | Exécution du contrat | Consentement explicite |
| Coaching, notes d’opérateur, calibration | Exécution du contrat | Consentement explicite |
| Affinement anonyme du protocole | Consentement explicite | Consentement explicite (avec droit de retrait) |
| Envoi de courriels transactionnels | Exécution du contrat | Sans objet |
| Communications marketing (facultatif) | Consentement (option distincte) | Sans objet |
| Conformité aux obligations légales (fiscalité, fraude) | Obligation légale | Sans objet |
| Détection de la fraude, sécurité du système | Intérêt légitime (sécurité uniquement) | Sans objet |
Vous avez le droit de retirer votre consentement à tout moment. Le retrait n’affecte pas la légalité du traitement antérieur au retrait.
5. Comment nous utilisons vos données
Nous utilisons vos données aux fins précises suivantes :
- Fournir le service TAP pour lequel vous avez postulé et auquel vous avez adhéré
- Permettre à votre opérateur attitré d’examiner votre progression et d’ajuster votre protocole
- Vous envoyer des courriels transactionnels (compte, intégration, résumés hebdomadaires, notifications système)
- Analyser anonymement les tendances à l’échelle de la communauté pour affiner le protocole — votre nom et vos renseignements personnels ne font jamais partie de cette analyse, et vous pouvez vous y retirer
- Répondre à vos demandes de soutien et à vos questions
- Détecter et prévenir la fraude, l’abus ou les violations de nos Conditions d’utilisation
- Nous conformer aux lois applicables
Nous n’utilisons pas vos données pour :
- Les vendre ou les céder sous licence à des tiers
- La publicité (nous n’affichons aucune publicité, jamais, nulle part)
- Le profilage à toute fin extérieure à votre protocole TAP
- L’entraînement de modèles d’IA externes ou le partage avec des fournisseurs d’IA à des fins d’entraînement
- Toute fin non décrite dans la présente Politique de confidentialité
6. Décisions automatisées et assistance par IA
Nous utilisons des logiciels et des règles structurées pour soutenir la prestation du service. Plus précisément :
- L’Executive Discipline Score (EDS) génère un score numérique et une recommandation d’orientation (Lab / Protocol / Circle) au moyen d’un système de pondération appliqué à vos réponses d’évaluation
- Le portail Lab calcule des scores quotidiens et hebdomadaires de conformité et des indicateurs de dérive à partir de vos données de suivi
- L’indicateur Identity Lock se met à jour en fonction de vos schémas soutenus de conformité
- Le système TAPpeut utiliser des outils assistés par IA pour organiser, résumer ou interpréter vos données afin de soutenir l’examen par l’opérateur
Ces extrants sont des outils d’aide à la décision, et non des décisions en elles-mêmes. Votre opérateur examine et applique son jugement humain à toute recommandation. Aucun de ces extrants ne constitue une décision médicale, un diagnostic, une recommandation de traitement ou une prescription.
Vous avez le droit de demander un examen humain de tout extrant qui affecte votre service. Communiquez avec le Responsable de la protection des renseignements personnels pour exercer ce droit.
Divulgation des fournisseurs d’IA : En date du 12 mai 2026, TAP utilise des outils d’IA (notamment des produits d’Anthropic) pour le soutien interne aux opérateurs, la rédaction et l’analyse. Lorsque des outils d’IA traitent vos données, ce traitement suit les mêmes contraintes que celles imposées à nos autres fournisseurs — couvert par des Ententes de traitement des données, sans utilisation de vos données pour l’entraînement de modèles du fournisseur d’IA, et sans partage avec des tiers. Nous mettrons cette section à jour si nos relations avec les fournisseurs d’IA changent de façon importante.
7. Avec qui nous partageons les données (limité)
Nous partageons des renseignements personnels uniquement avec les catégories suivantes de destinataires, et uniquement dans la mesure nécessaire à la prestation du service :
Fournisseurs de services (sous-traitants agissant selon nos directives) :
| Fournisseur | Finalité | Lieu | Mécanisme d’adéquation |
|---|---|---|---|
| Supabase, Inc. | Base de données, authentification, stockage de fichiers | États-Unis | CCT (UE/RU) · garanties contractuelles (Canada) |
| Vercel, Inc. | Hébergement de l’application | États-Unis | CCT · garanties contractuelles |
| Google LLC | Workspace (courriel), Google Calendar, Google Apps Script | États-Unis | CCT · garanties contractuelles |
| Anthropic PBC | Assistance IA pour les flux de travail des opérateurs | États-Unis | CCT · pas d’entraînement sur vos données |
Nous avons signé des Ententes de traitement des données (DPA) avec chaque fournisseur. Ils ne traitent les données que selon nos instructions et ne peuvent pas les utiliser à leurs propres fins, y compris l’entraînement de modèles d’IA.
Destinataires légaux :Nous pouvons divulguer des renseignements personnels lorsque la loi, une ordonnance d’un tribunal ou la protection des droits, des biens ou de la sécurité de TAP, de nos membres ou d’autres personnes l’exigent.
Aucun partage avec des tiers à des fins publicitaires ou de vente.
8. Où sont stockées vos données (transferts transfrontaliers)
Vos données sont principalement stockées sur des serveurs situés aux États-Unis, exploités par nos fournisseurs de services. À titre d’exploitant établi au Québec, Canada, nous transférons des renseignements personnels à l’international à des fins de traitement.
Pour les utilisateurs de l’UE / EEE, nous nous appuyons sur les Clauses contractuelles types (CCT) signées avec chaque fournisseur établi aux États-Unis.
Pour les utilisateurs du Royaume-Uni, nous nous appuyons sur l’addendum britannique aux CCT (ou l’International Data Transfer Agreement, selon le cas).
Pour les utilisateurs du Québec, une Évaluation des facteurs relatifs à la vie privée (EFVP) a été effectuée pour ces transferts conformément à l’article 17 de la Loi 25. Les transferts n’ont lieu que lorsque la juridiction réceptrice offre une protection adéquate.
Pour les utilisateurs du reste du Canada, nos garanties contractuelles équivalentes à celles de la LPRPDE s’appliquent.
Vous pouvez communiquer avec le Responsable de la protection des renseignements personnels pour obtenir plus d’informations sur les transferts transfrontaliers ou pour obtenir une copie des garanties applicables.
9. Pendant combien de temps nous conservons vos données
Nous ne conservons les renseignements personnels que le temps nécessaire aux fins décrites ci-dessus :
| Catégorie de données | Période de conservation |
|---|---|
| Soumissions EDS (prospects anonymes, sans candidature) | 24 mois à partir de la soumission, puis suppression |
| Données de candidature (candidats refusés) | 12 mois à partir de la décision, puis suppression |
| Compte client actif + données de programme | Durée de l’adhésion + 6 ans (norme québécoise/canadienne) |
| Données d’admission et de référence | Durée de l’adhésion + 6 ans |
| Suivis hebdomadaires | Durée de l’adhésion + 6 ans |
| Notes de coaching / d’opérateur | Durée de l’adhésion + 6 ans |
| Photos de progression facultatives | Jusqu’à la demande de suppression OU fermeture du compte + 90 jours |
| Registres transactionnels (factures, paiements) | 7 ans (exigence fiscale québécoise/canadienne) |
| Registres de consentement aux communications marketing | Jusqu’au désabonnement + registre de suppression conservé |
| Messages de soutien | 24 mois à partir du dernier message |
| Journaux de connexion / session | 12-24 mois pour audit de sécurité |
| Données agrégées anonymisées | Indéterminée (uniquement si véritablement anonymisées) |
Après la période de conservation, les données sont supprimées ou complètement anonymisées. Vous pouvez demander une suppression anticipée à tout moment (voir section 10), sous réserve des exigences légales de conservation.
10. Vos droits
Vous disposez des droits suivants à l’égard de vos renseignements personnels :
- Accès — demander une copie des renseignements personnels que nous détenons
- Rectification — demander la correction de données inexactes ou incomplètes
- Suppression — demander la suppression de vos données (sous réserve des exigences légales)
- Portabilité — demander vos données dans un format lisible par machine
- Opposition — vous opposer au traitement fondé sur l’intérêt légitime
- Limitation — demander la limitation du traitement dans certaines circonstances
- Retrait du consentement — pour le traitement fondé sur le consentement, retirer celui-ci à tout moment
- Désindexation (Loi 25 du Québec) — demander que des renseignements soient retirés des résultats de moteurs de recherche
- Examen humain des décisions automatisées
- Déposer une plainte auprès de votre autorité locale (voir section 14)
Pour exercer un droit, écrivez au Responsable à privacy@thealchemistprotocol.com en indiquant votre demande et l’adresse courriel associée à votre compte TAP. Ou utilisez notre formulaire de contact. Nous répondrons dans les trente (30) jours. La plupart des demandes sont traitées beaucoup plus rapidement.
11. Mesures de sécurité
- Chiffrement en transit — HTTPS/TLS
- Chiffrement au repos — Supabase (PostgreSQL) et Google (Workspace)
- Contrôles d’accès — politiques Row Level Security (RLS) sur toutes les tables de données client ; accès basé sur les rôles
- Authentification — mots de passe hachés avec bcrypt ; authentification à plusieurs facteurs disponible
- Journalisation des audits — actions du côté opérateur consignées
- Sauvegarde — sauvegardes quotidiennes automatiques de Supabase
- Sécurité des fournisseurs — SOC 2 / ISO 27001 / équivalentes
- Discipline opérationnelle — aucune donnée client dans les courriels personnels ou canaux non sécurisés
Aucun système n’est entièrement sécurisé. Dans le cas peu probable d’une violation de données touchant vos renseignements personnels, nous vous aviserons ainsi que les autorités compétentes dans les délais exigés par la loi (72 heures pour les violations relevant du RGPD ; sans délai déraisonnable pour les utilisateurs touchés ; immédiatement pour les incidents de confidentialité visés par la Loi 25 du Québec).
12. Enfants
TAP s’adresse aux adultes de 18 ans et plus. Le Lab de 12 semaines et l’ensemble des paliers d’adhésion sont conçus pour des adultes recherchant des protocoles personnels structurés. Nous ne recueillons pas sciemment de renseignements personnels d’enfants de moins de 18 ans. Si vous constatez qu’un enfant nous a fourni des renseignements personnels, communiquez immédiatement avec le Responsable et nous les supprimerons.
13. Témoins
Nous utilisons un ensemble limité de témoins pour faire fonctionner le service. Voir notre Avis sur les témoins distinct pour plus de détails. Le consentement aux témoins est demandé lors de votre première visite si vous êtes dans l’UE, au Royaume-Uni ou dans une autre juridiction l’exigeant.
14. Avis spécifiques à chaque juridiction
Pour les utilisateurs de l’Espace économique européen (EEE) et du Royaume-Uni
Vous disposez de droits en vertu du Règlement général sur la protection des données (RGPD) et du UK GDPR. Vous pouvez déposer une plainte auprès de votre autorité nationale de protection des données. Pour l’EEE : edpb.europa.eu/about-edpb/board/members_en. Pour le Royaume-Uni : Information Commissioner’s Office (ICO) à ico.org.uk.
Pour les utilisateurs du Canada
Vous disposez de droits en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Vous pouvez déposer une plainte auprès du Commissariat à la protection de la vie privée du Canada à priv.gc.ca.
Pour les utilisateurs du Québec
Vous disposez de droits additionnels en vertu de la Loi 25 du Québec. Cela inclut : droit d’accès, de rectification, de retrait du consentement, de suppression (le cas échéant), de portabilité, de désindexation et droit à un examen humain des décisions automatisées. Vous pouvez déposer une plainte auprès de la Commission d’accès à l’information du Québec à cai.gouv.qc.ca. Une version anglaise de la présente Politique de confidentialité est disponible à thealchemistprotocol.com/privacy.
Pour les utilisateurs de la Californie
Vous disposez de droits en vertu du California Consumer Privacy Act (CCPA) et du California Privacy Rights Act (CPRA). En particulier : le droit de savoir quels renseignements personnels sont recueillis, le droit de suppression, le droit de retrait de la vente (nous ne vendons aucune donnée — il n’y a aucune vente dont vous puissiez vous retirer), le droit à la non-discrimination. Pour exercer vos droits, communiquez avec le Responsable.
Pour les utilisateurs des autres États américains dotés de lois sur la vie privée (Virginie, Colorado, Connecticut, Utah, etc.)
Des droits comparables s’appliquent. Communiquez avec le Responsable pour les exercer.
15. Modifications à la présente politique
Nous pouvons mettre à jour la présente Politique de confidentialité de temps à autre. Lorsque cela se produit :
- Les changements importants seront notifiés par courriel au moins trente (30) jours à l’avance
- La date « Dernière mise à jour » au haut du document reflètera la modification la plus récente
- Les versions antérieures sont disponibles sur demande auprès du Responsable
L’utilisation continue de TAP après une modification constitue une acceptation de la politique mise à jour.
16. Coordonnées
Questions, préoccupations ou demandes :
TAP | The Alchemist Protocol
Responsable de la protection des renseignements personnels : Georges Najjar
Courriel : privacy@thealchemistprotocol.com
Site Web : thealchemistprotocol.com
Ou utilisez notre formulaire de contact.
Nous répondons dans les trente (30) jours. La plupart des demandes sont traitées beaucoup plus rapidement.
Fin de la Politique de confidentialité.