Qu'est-ce qu'on devrait garder en magasin ?

On analyse vos ventes, vos retours, votre marge et vos délais fournisseurs pour identifier les SKUs qui méritent leur place sur le plancher — et ceux qui dorment depuis 18 mois et grugent votre fonds de roulement.

Qu'est-ce qu'on devrait pousser cette semaine ?

Magasin par magasin, on fait remonter les produits avec la meilleure combinaison marge × demande × roulement. Votre équipe de vente sait exactement quoi mettre de l'avant, lundi matin.

Qu'est-ce qu'on devrait réajuster en prix ?

On surveille en continu vos coûts réels, les prix de la concurrence et vos cibles de marge. things.IQ vous suggère les ajustements — vous décidez, on exécute dans votre système.

Politique de confidentialité

1. À propos

Helios AI Solutions Inc. (« Helios », « nous ») est une société constituée selon les lois de la province de Québec, Canada. Nous exploitons le site heliosai.ca et la plateforme things.IQ, une solution SaaS d’intelligence du commerce de détail qui se connecte aux systèmes commerciaux des détaillants et produit, par IA, des recommandations d’assortiment, de prix, de réassort et de tendances.

La présente politique explique ce que nous recueillons, comment nous l’utilisons, avec qui nous le partageons, vos droits, et comment nous gérons les repères anonymisés inter-détaillants. Elle respecte la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (« Loi 25 »), la Loi sur la protection des renseignements personnels et les documents électroniques du Canada (LPRPDE), et le Règlement général sur la protection des données (RGPD) lorsqu’applicable.

Conformément à la Loi 25, la personne responsable de la protection des renseignements personnels est, par défaut, la personne exerçant la plus haute autorité chez Helios. Vous pouvez la joindre à privacy@heliosai.ca.

2. Ce que nous ne faisons pas

Nous ne vendons jamais les renseignements clients.
Nous ne les partageons pas avec des tiers à des fins de publicité ou de marketing.
Nous n’utilisons pas le contenu client identifiable pour entraîner des modèles d’IA externes, et nous ne le partageons pas avec un fournisseur d’IA à cette fin.
Nous n’écrivons jamais en retour dans vos systèmes Shopify, points de vente ou ERP — Helios est en lecture seule sur les connecteurs commerciaux. Lorsqu’une action est nécessaire (par exemple un bon de commande de réassort), nous en informons par courriel une personne autorisée chez vous, qui décide et exécute.
Nous ne consultons pas le contenu client par curiosité — les accès administratifs sont journalisés, attribués par rôle et limités au strict nécessaire.

3. Ce que nous recueillons, et pourquoi

Nous limitons la collecte au minimum nécessaire :

Renseignements de compte (nom, courriel professionnel, organisation, rôle, nombre de points de vente) pour l’identification, l’authentification et la communication.
Données client synchronisées depuis vos systèmes connectés — catalogues produits, attributs SKU, transactions, inventaires, historiques de prix — afin que le service puisse les traiter et produire des recommandations. Voir la section 5 pour le détail des données Shopify.
Données techniques et de sécurité (type d’appareil, navigateur, adresse IP, horodatages, journaux d’audit) pour la sécurité et la fiabilité du service.
Données d’utilisation (fonctionnalités utilisées, latence, erreurs) pour améliorer la performance et la stabilité.

Bases légales (lorsque le RGPD s’applique) : exécution d’un contrat, intérêts légitimes (sécurité, prévention de la fraude, amélioration du produit sous forme agrégée), obligation légale, et consentement lorsque requis.

4. Repères anonymisés inter-détaillants

Helios propose une fonctionnalité de comparaison qui permet aux clients de situer leurs marges, prix et vélocité par rapport à des centiles par catégorie tirés d’autres détaillants utilisant la plateforme. Voici comment cela fonctionne :

Seules des statistiques dé-identifiées et agrégées issues des données client sont utilisées pour calculer les repères (p. ex. marge médiane d’une catégorie sur plusieurs détaillants). Aucune donnée identifiable n’est divulguée à d’autres clients.
Un seuil minimal de détaillants contributeurs est requis avant qu’une cohorte ne s’affiche, afin qu’aucun détaillant individuel ne puisse être ré-identifié.
Aucun nom de client, nom de magasin ou chiffre par magasin n’est jamais montré à un autre client.
Vous pouvez retirer votre contribution aux cohortes à tout moment (section 11).

Le balisage inter-détaillants est traité comme une fonctionnalité du service, et non comme un partage avec des tiers. Il est régi par les mêmes obligations de confidentialité et de sécurité que le reste de vos données.

5. Intégration Shopify et autres connecteurs

Lorsque vous connectez votre boutique Shopify à Helios, nous demandons des autorisations en lecture seule sur les portées suivantes : commandes, produits, inventaire, exécutions, clients, analyses, rapports et emplacements. Concrètement :

Nous synchronisons les commandes (totaux, articles, dates, statut) et les produits/SKU (titre, prix, coût, inventaire, variantes) pour calculer les recommandations.
Nous nous abonnons aux webhooks orders/create, orders/updated et products/update pour garder les données à jour, et à app/uninstalled pour nettoyer les jetons et planifier la suppression des données à la désinstallation.
Nous exposons les terminaux de conformité Shopify obligatoires (customers/data_request, customers/redact, shop/redact), authentifiés par HMAC et journalisés.
Nous ne conservons aucun renseignement personnel des clients de votre boutique — aucun courriel, nom ou adresse client n’est persisté dans notre base de données. La portée read_customers est demandée pour permettre certaines fonctions analytiques agrégées, mais aucune donnée identifiable n’est stockée.
Helios n’écrit jamais dans Shopify. Toutes les actions (réassort, ajustement de prix, etc.) demeurent des recommandations qu’une personne autorisée chez vous applique manuellement.

Les mêmes principes s’appliquent à toute intégration future de point de vente (POS) ou d’ERP : lecture seule, données limitées au nécessaire, et aucune écriture automatisée.

6. Sous-traitants (fournisseurs de services)

Nous travaillons avec un petit nombre de fournisseurs sélectionnés, chacun lié par une entente écrite et par ses propres engagements publiés :

Vercel Inc. — hébergement applicatif et fonctions serverless (Amérique du Nord).
Supabase Inc. — base de données PostgreSQL gérée et authentification (région Canada-Central).
Anthropic PBC — inférence IA pour les recommandations et les fonctionnalités d’assistant. Le contenu transmis sert uniquement à générer une réponse pour vous et n’est pas utilisé pour entraîner des modèles.
Stripe Inc. — traitement des paiements pour la facturation d’abonnement. Helios ne stocke pas les numéros de carte complets.
Resend — livraison de courriels transactionnels et de notifications.
Google LLC (Google Analytics 4) — mesure d’audience agrégée sur le site web, avec anonymisation d’adresse IP.

Voir la politique de confidentialité d’Anthropic pour le détail du traitement par notre fournisseur d’IA.

Avis de changement : nous donnons aux clients un préavis d’au moins trente (30) jours avant l’ajout d’un nouveau sous-traitant qui traite des données client.

7. Lieu d’hébergement (résidence des données)

Les données client sont stockées au Canada par défaut (région Canada-Central de Supabase), y compris pour la base de données principale et les sauvegardes. Un traitement limité peut avoir lieu hors du Québec lors de l’appel d’Anthropic pour l’inférence IA ou de Stripe pour la facturation ; dans ces cas :

seules les données nécessaires à la réponse ou à la transaction sont transmises ;
le fournisseur ne peut, par contrat, ni conserver ni utiliser le contenu pour entraîner des modèles ;
les données sont chiffrées en transit ; et
nous avons évalué que la juridiction de destination offre une protection adéquate, conformément aux exigences de transfert hors du Québec de la Loi 25. Un résumé de cette évaluation est disponible sur demande.

8. Comment nous protégeons les renseignements

Chiffrement en transit (TLS 1.2+) et au repos via nos fournisseurs d’infrastructure.
Authentification unique et authentification multi-facteur pour l’accès administratif.
Contrôle d’accès basé sur les rôles — les membres de l’équipe ne voient que ce qui est nécessaire.
Journalisation d’audit des accès administratifs et aux données client.
Sauvegardes automatisées quotidiennes avec procédures de restauration documentées.
Révision annuelle de nos sous-traitants et de leur posture de sécurité.

Aucune méthode de transmission ou de stockage n’est parfaitement sûre, mais nous travaillons de bonne foi pour protéger vos renseignements.

Notification d’incident : en cas d’incident de sécurité confirmé touchant des données client ou des renseignements personnels, nous avisons le client concerné sans délai injustifié et au plus tard dans les soixante-douze (72) heures suivant la confirmation, et avisons la Commission d’accès à l’information du Québec lorsque la Loi 25 l’exige.

9. Décisions automatisées et assistance par IA

Helios utilise l’IA pour produire des recommandations classées — par exemple quels SKU conserver, liquider ou ajuster en prix. Ces sorties sont une aide à la décision, pas des décisions prises pour vous. Un utilisateur humain les revoit et les applique. Vous pouvez :

nous demander d’expliquer les principaux facteurs et la logique derrière une recommandation affichée dans votre compte ;
demander un examen humain de toute recommandation qui vous concerne ;
ignorer, remplacer ou supprimer toute sortie IA sans conséquence sur votre service.

Lorsque la Loi 25 s’applique, vous avez le droit d’être informé d’une décision prise exclusivement par traitement automatisé et de demander une intervention humaine. Helios ne prend pas, à ce jour, de décisions à votre sujet exclusivement par traitement automatisé.

10. Conservation des données

Pendant la durée de l’abonnement et pendant trente (30) jours après sa fin, vous pouvez exporter les données client en CSV ou JSON sans frais.
Sur demande écrite, ou en tout état de cause dans les quatre-vingt-dix (90) jours suivant la fin, nous supprimons les données client (incluant les données Shopify synchronisées) des systèmes de production.
Les sauvegardes chiffrées de routine sont conservées jusqu’à cent quatre-vingts (180) jours additionnels avant rotation.
À la désinstallation de l’application Shopify, le webhook app/uninstalled déclenche le nettoyage des jetons d’accès et la mise en file de la suppression des données associées.
Nous conservons certains registres limités (facturation, journaux d’audit) lorsque la loi l’exige, pour la durée exigée.

11. Vos droits

Vous pouvez nous demander de :

consulter les renseignements personnels que nous détenons à votre sujet ;
les corriger s’ils sont inexacts ou incomplets ;
les supprimer, sous réserve de toute obligation légale de conservation ;
les exporter dans un format portable ;
retirer votre consentement pour tout traitement fondé sur le consentement (sans effet sur les traitements antérieurs licites) ;
retirer votre contribution aux cohortes de balisage (section 4).

Adressez ces demandes par écrit à privacy@heliosai.ca. Nous accusons réception dans un (1) jour ouvrable et fournissons une réponse de fond dans les trente (30) jours, comme l’exige la Loi 25.

Droit de plainte : si notre traitement de votre demande ne vous satisfait pas, vous pouvez déposer une plainte auprès de la Commission d’accès à l’information du Québec (cai.gouv.qc.ca), du Commissariat à la protection de la vie privée du Canada (priv.gc.ca), ou, si le RGPD s’applique, de votre autorité de contrôle locale.

12. Votre responsabilité comme client

Gardez vos identifiants de compte confidentiels et utilisez un mot de passe fort et unique, ainsi que l’AMF lorsque offerte.
Transmettez vos préoccupations de sécurité par écrit à privacy@heliosai.ca, afin que nous ayons une trace claire et puissions enquêter rapidement.
Avisez-nous rapidement de tout accès non autorisé à votre compte ou de tout comportement inhabituel.
Ne soumettez pas de renseignements que vous n’êtes pas autorisé à partager, y compris des renseignements personnels de tiers.

13. Témoins (cookies) et analyse d’audience

Notre site et notre application utilisent un petit nombre de témoins essentiels (authentification, gestion de session) et Google Analytics 4 pour comprendre l’usage agrégé du site marketing, avec anonymisation d’adresse IP activée. Lorsque la loi l’exige, nous demandons votre consentement pour les témoins non essentiels via une bannière. Nous n’utilisons pas de témoins publicitaires ou de pistage tiers.

14. Mineurs

Helios est un service B2B destiné aux entreprises et à leurs employés autorisés. Le service ne s’adresse pas aux personnes de moins de 18 ans, et nous ne recueillons pas sciemment de renseignements personnels de mineurs.

15. Modifications

En cas de modification importante, nous mettons à jour la date au haut de la page et avisons les clients par courriel ou en produit au moins trente (30) jours avant la prise d’effet.

16. Contact

Helios AI Solutions Inc. · Bureau de la confidentialité · privacy@heliosai.ca