Politique de confidentialité

La présente politique est émise par Tomahawk Group (« Tomahawk Group », « nous », « notre » ou « nos »), un groupe d’hospitalité établi à Montréal qui détient et exploite une collection de restaurants, bars et cafés. Notre adresse postale est :

Tomahawk Group
222 St Laurent Blvd
Montreal, Quebec · H2Y 1Y7 · Canada

La présente politique s’applique aux renseignements personnels que nous recueillons par l’entremise de notre site Web (tomahawkgroup.ca et tout sous-domaine d’établissement), de nos communications par courriel, de notre assistante téléphonique IA « Vicky », de nos programmes de relations clients et de fidélité, ainsi que lors de vos visites en établissement.

Les réservations effectuées sur des plateformes tierces (OpenTable, Resy, Google, Instagram, etc.) sont aussi régies par la politique de confidentialité de ces plateformes. Dès que nous recevons une réservation, vos renseignements sont traités conformément à la présente politique.

La Loi 25 du Québec exige que chaque entreprise désigne une personne responsable de la protection des renseignements personnels. La nôtre est :

Thomas Vernis — Responsable de la protection des renseignements personnels
thomas@tomahawkgroup.ca
514-844-2367

Vous pouvez communiquer avec notre responsable en tout temps pour exercer vos droits, poser une question ou déposer une plainte. Nous accuserons réception de votre demande dans les 10 jours ouvrables et y répondrons sur le fond dans les 30 jours, comme l’exige la loi.

Nous ne recueillons que les renseignements raisonnablement nécessaires aux fins décrites à la Section 4. Plus précisément :

a. Renseignements que vous nous fournissez directement

• Abonnement à l’infolettre : adresse courriel, langue préférée et page d’inscription.
• Candidatures : nom, courriel, téléphone, curriculum vitæ, postes et établissements souhaités, lettre de motivation ou message (facultatifs).
• Réservations : nom, courriel, téléphone, nombre de personnes, date, heure et toute demande spéciale ou note alimentaire que vous nous transmettez.
• Profil client en établissement : lorsque vous les partagez avec notre équipe — prénom et nom, courriel, téléphone, date d’anniversaire, entreprise, langue préférée, besoins alimentaires ou d’accessibilité, et notes sur vos visites passées (table préférée, vin préféré, allergies, etc.).
• Demandes pour événements privés ou médias : les renseignements inclus dans votre message.

b. Renseignements recueillis lors d’appels avec Vicky (notre assistante IA)

• Numéro de téléphone de l’appelant, durée, date et heure de l’appel.
• Transcription et enregistrement audio de l’appel, afin de confirmer les réservations et d’améliorer le service.
• Tout renseignement que vous choisissez de partager durant l’appel (nom, nombre de personnes, date, restrictions alimentaires, etc.).

Vicky annonce dès le début de chaque appel que la conversation est enregistrée et gérée par une assistante IA. Vous pouvez refuser et demander à parler à une personne, ou raccrocher à tout moment.

c. Renseignements recueillis automatiquement lorsque vous visitez notre site Web

• Renseignements sur l’appareil et le navigateur (type, système d’exploitation, taille d’écran, langue).
• Adresse IP, localisation approximative au niveau de la ville, et URL de provenance.
• Pages consultées, temps passé, clics sur les boutons de réservation, et parcours de navigation par session.
• Paramètres de campagne marketing (UTM source, medium, campaign) lorsque vous arrivez d’un lien que nous avons envoyé.
• Témoins (cookies) et technologies similaires — voir la Section 8.

d. Renseignements provenant de tiers

• Systèmes de réservation (OpenTable et similaires) — nom, coordonnées et historique de réservations effectuées par leur intermédiaire.
• Plateformes sociales — renseignements de profil limités que vous choisissez de partager lorsque vous interagissez avec nos comptes.
• Références de partenaires ou de conciergeries — nom et coordonnées, uniquement avec votre consentement.

Nous ne recueillons pas sciemment de renseignements concernant des enfants de moins de 14 ans. Si vous croyez qu’un enfant nous a transmis des renseignements personnels, communiquez avec notre responsable et nous les supprimerons.

Nous utilisons les renseignements personnels uniquement aux fins énumérées ci-dessous. En vertu de la Loi 25, chaque fin est divulguée séparément afin que vous puissiez consentir (ou refuser) de façon éclairée.

• Exploiter nos établissements — traiter les réservations, préparer votre table, respecter vos besoins alimentaires ou d’accessibilité, gérer les événements privés, répondre aux demandes.
• Vous reconnaître d’un établissement à l’autre — si vous avez adhéré à notre programme de relations clients, nous utilisons un profil unique dans l’ensemble de Tomahawk Group afin que notre équipe puisse vous accueillir avec le même soin.
• Envoyer des communications marketing et de fidélité — uniquement avec votre consentement exprès (Section 7). Vous pouvez vous désabonner à tout moment.
• Évaluer les candidatures — sélection, entrevues et suivi avec les candidats.
• Améliorer notre site Web et notre service — des statistiques anonymisées et agrégées nous aident à comprendre ce qui fonctionne et où nos clients rencontrent des obstacles.
• Prévenir la fraude et sécuriser nos systèmes — détection d’utilisation abusive de codes promotionnels, de connexions suspectes, de trafic automatisé.
• Respecter nos obligations légales — fiscalité, comptabilité, emploi, permis d’alcool, santé et sécurité, et réponses aux demandes légitimes des autorités.

Nous n’utilisons pas vos renseignements personnels à des fins qui ne vous ont pas été communiquées, et nous ne les vendons jamais.

Nous ne communiquons vos renseignements personnels qu’aux catégories de destinataires énumérées ci-dessous, et uniquement dans la mesure nécessaire.

a. À l’intérieur de Tomahawk Group

Nos établissements sont exploités sous un programme commun de relations clients. Si vous êtes un client reconnu au Felix et visitez June Buvette pour la première fois, notre équipe peut consulter les notes de votre profil afin de vous servir selon le même standard. Vous pouvez vous retirer de cette reconnaissance inter-établissements en tout temps en écrivant à notre responsable.

b. Fournisseurs de services (sous-traitants) agissant selon nos instructions

Nous avons recours à des fournisseurs soigneusement sélectionnés pour faire fonctionner la technologie qui soutient nos opérations. Ils sont liés par des ententes écrites qui les obligent à n’utiliser vos renseignements que pour les services que nous leur demandons, à les protéger au moyen de mesures appropriées, et à les retourner ou les détruire à la fin du contrat.

c. Autorités légales

Nous communiquons des renseignements personnels lorsque la loi canadienne l’exige — par exemple, en réponse à une ordonnance judiciaire valide, à une demande légitime des forces policières ou à une vérification fiscale — et pour défendre nos droits légaux. Lorsque la loi le permet, nous vous en informerons d’abord.

d. Dans le cadre d’une transaction commerciale

Si Tomahawk Group est vendu, fusionné ou restructuré, les renseignements personnels peuvent être transférés à l’entité qui lui succède. Nous vous en aviserons à l’avance et vous conserverez tous les droits prévus par la présente politique.

Nous ne vendons, ne louons ni n’échangeons vos renseignements personnels à des tiers pour leurs propres fins de marketing.

Plusieurs de nos fournisseurs de services sont situés aux États-Unis, ce qui signifie que vos renseignements personnels peuvent être traités à l’extérieur du Québec et du Canada. Avant de recourir à un fournisseur hors Québec, nous réalisons une évaluation des facteurs relatifs à la vie privée (EFVP) afin de confirmer que vos renseignements bénéficieront d’une protection équivalente à celle exigée par la Loi 25. Nous concluons également avec chaque fournisseur une entente écrite prévoyant des mesures contractuelles (confidentialité, normes de sécurité, obligations de notification en cas d’incident, encadrement des sous-traitants, droits d’audit).

Vous pouvez demander à notre responsable un résumé de l’EFVP visant un transfert en particulier.

Dans la mesure du possible, nous nous appuyons sur votre consentement exprès — celui que vous donnez en cochant une case, en inscrivant votre adresse courriel dans un formulaire, ou en nous le disant à l’accueil. Nous séparons chaque fin afin que vous puissiez consentir à l’une (p. ex. les réservations) sans être contraint de consentir à une autre (p. ex. le marketing).

Dans certains cas, nous nous appuyons sur d’autres fondements légaux :

• Exécution d’un contrat — traiter une réservation ou une candidature que vous avez soumise.
• Obligation légale — conserver les registres requis par la fiscalité, le droit du travail ou la réglementation sur les permis d’alcool.
• Intérêt légitime — usages minimaux et ciblés comme la prévention de la fraude ou la sécurité du site, après avoir mis nos intérêts en balance avec vos droits.
• Consentement présumé selon la LCAP — pour une période limitée, nous pouvons vous envoyer des messages liés au service et quelques messages marketing découlant d’une relation d’affaires existante (p. ex. vous avez réservé chez nous dans les 24 derniers mois). Vous pouvez vous désabonner en tout temps.

Vous pouvez retirer votre consentement à tout moment. Pour le marketing, cliquez sur le lien de désabonnement au bas d’un courriel ou écrivez à thomas@tomahawkgroup.ca. Pour les autres fins, contactez notre responsable. Le retrait n’affectera pas la légalité du traitement effectué avant celui-ci.

Notre site utilise des témoins et technologies similaires (stockage local, pixels, SDK) à trois fins :

• Strictement nécessaires — requis pour le fonctionnement du site (langue, continuité de session, protection CSRF). Ces témoins ne requièrent pas de consentement.
• Analyses — Google Analytics 4 et Vercel Analytics nous aident à comprendre les tendances agrégées de trafic. Conformément à la Loi 25, nous ne les chargeons qu’après votre consentement.
• Attribution marketing — nous lisons les paramètres UTM de l’URL lorsque vous arrivez d’une de nos campagnes, afin d’en mesurer la performance.

Vous pouvez gérer les témoins dans les paramètres de votre navigateur et demander à Google d’exclure vos visites d’Analytics via le module complémentaire de désactivation de Google Analytics.

Nous ne prenons aucune décision produisant un effet juridique ou significatif à votre égard par traitement automatisé seul. Notre assistante IA Vicky contribue à la prise de réservations, mais toutes les confirmations, annulations, propositions de liste d’attente et exceptions sont revues et approuvées par un membre humain de l’équipe de l’établissement concerné.

Nous ne conservons les renseignements personnels que le temps nécessaire aux fins de la collecte, augmenté des délais exigés par la loi.

• Abonnements à l’infolettre — jusqu’à votre désabonnement, plus 3 ans (registres de consentement LCAP).
• Profils de relations clients — pour la durée de votre relation avec nous, plus 3 ans d’inactivité, après quoi nous anonymisons ou supprimons.
• Registres de réservations — en général 24 mois, sauf s’ils sont liés à un profil client actif.
• Candidatures — 24 mois après la décision finale, puis destruction, sauf si vous nous demandez de les conserver plus longtemps.
• Enregistrements et transcriptions d’appels — 12 mois.
• Registres financiers (factures, reçus) — 7 ans, conformément à la loi fiscale canadienne.
• Liste de suppression courriel — indéfiniment, afin d’honorer vos désabonnements.
• Analyses de site — 14 mois dans Google Analytics (notre rétention configurée), puis données agrégées.

Nous mettons en place des mesures techniques, physiques et organisationnelles raisonnables, notamment :

• Chiffrement TLS en transit pour toute interaction Web et courriel.
• Stockage chiffré au repos chez nos fournisseurs infonuagiques.
• Contrôle d’accès par rôles — seul le personnel qui en a besoin dans le cadre de son travail peut consulter vos renseignements.
• Authentification à deux facteurs pour tous les comptes administratifs.
• Revues de sécurité régulières de nos fournisseurs et de notre propre code.
• Ententes écrites avec chaque fournisseur, incluant des obligations de notification en cas d’incident.
• Un plan de réponse aux incidents documenté. Si un incident de confidentialité présente un risque de préjudice sérieux, nous vous aviserons ainsi que la Commission d’accès à l’information dans les meilleurs délais, comme l’exige la Loi 25.

Aucun système n’est parfaitement sécurisé. Si vous soupçonnez un problème avec votre compte ou vos données, communiquez immédiatement avec notre responsable.

En vertu de la Loi 25 du Québec et de la LPRPDE fédérale, vous avez le droit :

• D’accéder aux renseignements personnels que nous détenons à votre sujet.
• De rectifier les renseignements inexacts, incomplets ou équivoques.
• De retirer votre consentement à tout moment, sous réserve de restrictions légales ou contractuelles.
• De demander la suppression des renseignements dont la collecte n’était pas autorisée par la loi ou dont les fins ont été accomplies.
• À la portabilité des données — obtenir une copie informatisée des renseignements que vous nous avez fournis, dans un format technologique structuré couramment utilisé (Loi 25, depuis septembre 2024).
• De vous opposer à une décision automatisée, bien que nous n’en prenions aucune pour le moment. Si cela change, nous vous en informerons et offrirons un recours humain.
• De connaître la logique d’une décision vous concernant prise par traitement automatisé, ainsi que les principaux facteurs en cause.
• De déposer une plainte auprès de notre responsable — et, si vous n’êtes pas satisfait de notre réponse, auprès de la Commission d’accès à l’information (Québec) ou du Commissariat à la protection de la vie privée du Canada.

Pour exercer un droit, écrivez à thomas@tomahawkgroup.ca depuis l’adresse inscrite à votre dossier, ou à l’adresse postale indiquée ci-dessus. Nous répondrons dans les 30 jours. Les demandes raisonnables sont sans frais. Nous pouvons avoir besoin de vérifier votre identité avant d’agir.

Tout courriel commercial que nous envoyons à une adresse canadienne respecte la Loi canadienne anti-pourriel (LCAP). Il nous identifie, indique notre adresse postale, inclut nos coordonnées, et contient un lien de désabonnement clairement visible qui reste fonctionnel pendant au moins 60 jours. Les désabonnements sont traités dans les 10 jours ouvrables, comme la loi l’exige.

Vous pouvez vous désabonner en tout temps en cliquant sur le lien au bas d’un courriel, en visitant notre page de désabonnement, ou en écrivant à thomas@tomahawkgroup.ca.

Si vous êtes situé à l’extérieur du Canada — par exemple, si vous êtes un client de passage en provenance des États-Unis ou de l’Union européenne — la présente politique s’applique tout de même à vos interactions avec nous. Nous appliquons les protections décrites ici à tous nos clients, peu importe leur lieu de résidence.

Résidents de l’Espace économique européen, du Royaume-Uni et de la Suisse : nos fondements légaux sous le RGPD sont (i) le consentement, (ii) l’exécution d’un contrat, (iii) l’intérêt légitime, ou (iv) une obligation légale, tels que décrits dans la présente politique. Vous pouvez communiquer avec notre responsable pour exercer des droits RGPD équivalents à ceux décrits à la Section 12.

Nous révisons la présente politique au moins une fois par année et chaque fois que nos pratiques changent. Pour toute modification importante, nous publierons une bannière sur le site et, pour les abonnés existants, nous vous enverrons un courriel avant l’entrée en vigueur. La version courante est toujours accessible à tomahawkgroup.ca/fr/privacy.

Pour toute question ou demande liée à la vie privée, veuillez communiquer avec notre responsable en utilisant les coordonnées de la carte ci-dessous.