Entente de traitement des données

En vigueur dès l’activation de l’abonnement — 3 avril 2026

La présente Entente de traitement des données (« ETD ») fait partie intégrante des Conditions d’utilisation de Xerxes Systems Inc. En activant votre abonnement, le Courtier accepte les termes de la présente ETD.

1. Parties

Sous-traitant (Processor)	Xerxes Systems Inc., société constituée en vertu des lois du Québec, Canada. Courriel : [email protected]
Responsable du traitement (Controller)	Le Courtier — la personne physique ou morale ayant souscrit aux Services de Xerxes Systems Inc. en sa qualité de courtier hypothécaire ou d’entreprise de services financiers.

2. Objet et finalité du traitement

Xerxes Systems Inc. traite les renseignements personnels des clients du Courtier aux seules fins suivantes :

Opération du portail client Mon Espace (génération de liens d’accès, gestion de session).
Collecte, stockage et organisation de documents hypothécaires (talons de paie, avis de cotisation, relevés bancaires, etc.).
Enregistrement et conservation des formulaires de consentement et des déclarations de la clientèle (PPE, antécédents).
Envoi de communications transactionnelles aux clients (notifications de portail, liens d’accès par courriel).
Fourniture des fonctionnalités analytiques et de gestion de pipeline activées par le Courtier.

Toute utilisation des données à des fins autres que celles énoncées ci-dessus est interdite sans le consentement écrit préalable du Courtier.

3. Catégories de données traitées

Identification : noms et prénoms, adresses courriel, numéros de téléphone.
Documents financiers : relevés bancaires, talons de paie, avis de cotisation, T4, relevés de placement, actes notariés.
Formulaires de consentement : signatures électroniques, déclarations PPE (personnes politiquement exposées), date et heure de consentement.
Données de portail : journaux d’accès, statut des documents, fil d’événements du dossier.
Données de facturation du Courtier : coordonnées de paiement (gérées exclusivement par Stripe — voir article 5).

4. Instructions du Courtier

Xerxes Systems Inc. ne traite les renseignements personnels que conformément aux instructions documentées du Courtier, telles qu’elles sont définies dans les Conditions d’utilisation et la présente ETD. Si Xerxes Systems Inc. est tenue par la loi de traiter des données d’une manière différente, elle en informera le Courtier dans les meilleurs délais, sauf si la loi l’interdit.

5. Sous-traitants ultérieurs

Le Courtier autorise Xerxes Systems Inc. à faire appel aux sous-traitants suivants. Xerxes Systems Inc. s’assure que ces sous-traitants sont liés par des obligations de protection des données équivalentes à celles de la présente ETD.

Sous-traitant	Finalité	Région des données
Supabase Inc.	Base de données relationnelle, stockage de fichiers, authentification JWT	ca-central-1 (Canada)
Stripe Inc.	Traitement des paiements d’abonnement du Courtier	États-Unis (PCI DSS Level 1)
Brevo (Sendinblue)	Envoi de courriels marketing et de notifications	Union européenne / Canada
Postmark (ActiveCampaign)	Courriels transactionnels (liens de portail, alertes)	États-Unis

Xerxes Systems Inc. informera le Courtier de tout changement prévu concernant ses sous-traitants avec un préavis d’au moins 30 jours, lui donnant la possibilité de s’y opposer.

6. Mesures de sécurité

Xerxes Systems Inc. met en œuvre et maintient les mesures de sécurité techniques et organisationnelles suivantes :

Mesures techniques

Chiffrement au repos : AES-256 via Supabase (ca-central-1).
Chiffrement en transit : TLS 1.2 ou supérieur pour toutes les communications.
Contrôle d’accès : politiques de sécurité au niveau des lignes (Row Level Security) isolant les données de chaque Courtier.
Authentification : jetons JWT à durée limitée; liens d’accès à usage unique pour les portails clients.
Journalisation : tous les accès aux données sont consignés et conservés pendant 12 mois.

Mesures organisationnelles

Accès aux données de production restreint aux administrateurs autorisés uniquement.
Évaluations de sécurité périodiques et mise à jour des correctifs.
Procédures documentées de réponse aux incidents.
Aucune donnée de production utilisée dans les environnements de développement ou de test.

7. Notification d’atteinte à la vie privée

En cas d’atteinte à la sécurité des renseignements personnels (ou de suspicion fondée d’atteinte), Xerxes Systems Inc. :

En informera le Courtier dans un délai de 72 heures suivant la découverte de l’incident.
Fournira une description de la nature de l’atteinte, les catégories et le volume approximatif de données touchées, les mesures prises et les mesures recommandées au Courtier.
Coopérera avec le Courtier pour les obligations de notification requises par la Loi 25 (Commission d’accès à l’information du Québec) et la LPRPDÉ (Commissariat à la protection de la vie privée du Canada).

La notification de l’atteinte à Xerxes Systems Inc. ne constitue pas une reconnaissance de faute ni de responsabilité.

8. Droits des personnes concernées et portabilité des données

Le Courtier demeure responsable de répondre aux demandes d’accès, de correction ou de suppression des renseignements personnels de ses clients. Xerxes Systems Inc. assistera le Courtier en :

Fournissant les données du Courtier en format CSV ou JSON dans les 30 jours suivant une demande écrite.
Supprimant ou anonymisant les données d’un client spécifique sur instruction documentée du Courtier.
Attestant par écrit la suppression complète des données sur demande.

9. Conservation et suppression des données

Pendant la durée du contrat : les données sont conservées selon les besoins opérationnels du Courtier.
Après résiliation : les données de production sont supprimées dans les 60 jours suivant la résiliation de l’abonnement.
Sauvegardes : les copies de sauvegarde sont purgées dans les 90 jours suivant la résiliation.
Exceptions légales : les données requises par la loi (registres fiscaux : 7 ans) ou liées à des litiges en cours sont conservées jusqu’à la résolution.

À la demande du Courtier, Xerxes Systems Inc. fournira une attestation écrite confirmant la suppression complète des données dans le délai spécifié.

10. Audit et conformité

Xerxes Systems Inc. mettra à la disposition du Courtier, sur demande écrite raisonnable et avec un préavis d’au moins 14 jours, les informations nécessaires pour démontrer la conformité à la présente ETD. Ces informations peuvent inclure des journaux d’accès anonymisés, des certificats de sous-traitants et des résumés de politiques de sécurité.

Les audits sur site sont soumis à l’approbation préalable de Xerxes Systems Inc. et se dérouleront aux frais du Courtier, dans le respect de la confidentialité des données des autres clients.

11. Transferts internationaux de données

Les données des clients des Courtiers sont hébergées au Canada (ca-central-1). Les transferts vers les sous-traitants situés aux États-Unis (Stripe, Postmark) sont encadrés par des clauses contractuelles types ou des certifications équivalentes assurant un niveau de protection adéquat conformément à la Loi 25 et à la LPRPDÉ.

12. Loi applicable et juridiction

La présente ETD est régie par les lois de la Province de Québec et les lois fédérales du Canada applicables, notamment la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) et la LPRPDÉ (Loi sur la protection des renseignements personnels et les documents électroniques).

Tout différend découlant de la présente ETD relève de la compétence exclusive des tribunaux du Québec, district de Montréal.

13. Modifications

Xerxes Systems Inc. peut modifier la présente ETD pour refléter des changements réglementaires ou opérationnels. Le Courtier sera informé par courriel avec un préavis d’au moins 30 jours avant l’entrée en vigueur de tout changement substantiel. L’utilisation continue des Services après ce délai vaut acceptation des modifications.

14. Nous joindre

Pour toute question relative à la présente ETD ou pour soumettre une demande de suppression, de portabilité ou d’audit :

Xerxes Systems Inc.
Courriel : [email protected]

English Version FR ↑ | EN

Data Processing Agreement

Effective upon subscription activation — April 3, 2026

This Data Processing Agreement (“DPA”) forms part of the Xerxes Systems Inc. Terms of Service. By activating a subscription, the Broker accepts the terms of this DPA.

1. Parties

Processor	Xerxes Systems Inc., incorporated under the laws of Quebec, Canada. Email: [email protected]
Controller	The Broker — the individual or legal entity that has subscribed to Xerxes Systems Inc. Services in their capacity as a mortgage broker or financial services firm.

2. Subject Matter and Purpose of Processing

Xerxes Systems Inc. processes the Broker’s clients’ personal information solely for the following purposes:

Operating the Mon Espace client portal (generating access links, session management).
Collecting, storing, and organizing mortgage documents (pay stubs, notices of assessment, bank statements, etc.).
Recording and retaining consent forms and client declarations (PEP, background).
Sending transactional communications to clients (portal notifications, email access links).
Providing analytics and pipeline management features enabled by the Broker.

Any use of data for purposes other than those set out above is prohibited without the Broker’s prior written consent.

3. Categories of Personal Data Processed

Identification: first and last names, email addresses, phone numbers.
Financial documents: bank statements, pay stubs, notices of assessment, T4s, investment statements, notarial deeds.
Consent records: electronic signatures, PEP (politically exposed person) declarations, consent timestamps.
Portal data: access logs, document status, deal event timelines.
Broker billing data: payment credentials (managed exclusively by Stripe — see Article 5).

4. Broker Instructions

Xerxes Systems Inc. processes personal information only in accordance with the Broker’s documented instructions as defined in the Terms of Service and this DPA. If Xerxes Systems Inc. is legally required to process data in a manner inconsistent with those instructions, it will inform the Broker as soon as possible, unless prohibited by law.

5. Sub-processors

The Broker authorizes Xerxes Systems Inc. to engage the following sub-processors. Xerxes Systems Inc. ensures these sub-processors are bound by data protection obligations equivalent to those in this DPA.

Sub-processor	Purpose	Data Region
Supabase Inc.	Relational database, file storage, JWT authentication	ca-central-1 (Canada)
Stripe Inc.	Broker subscription payment processing	United States (PCI DSS Level 1)
Brevo (Sendinblue)	Marketing emails and notifications	European Union / Canada
Postmark (ActiveCampaign)	Transactional emails (portal links, alerts)	United States

Xerxes Systems Inc. will notify the Broker of any intended changes to sub-processors with at least 30 days’ notice, giving the Broker an opportunity to object.

6. Security Measures

Xerxes Systems Inc. implements and maintains the following technical and organizational security measures:

Technical measures

Encryption at rest: AES-256 via Supabase (ca-central-1).
Encryption in transit: TLS 1.2 or higher for all communications.
Access control: Row Level Security (RLS) policies isolating each Broker’s data.
Authentication: time-limited JWT tokens; single-use access links for client portals.
Audit logging: all data access is logged and retained for 12 months.

Organizational measures

Production data access restricted to authorized administrators only.
Periodic security assessments and patch management.
Documented incident response procedures.
No production data used in development or test environments.

7. Personal Data Breach Notification

In the event of a personal data breach (or well-founded suspicion thereof), Xerxes Systems Inc. will:

Notify the Broker within 72 hours of becoming aware of the incident.
Provide a description of the nature of the breach, the categories and approximate volume of data affected, measures taken, and measures recommended to the Broker.
Cooperate with the Broker for any notification obligations required under Law 25 (Commission d’accès à l’information du Québec) and PIPEDA (Office of the Privacy Commissioner of Canada).

Breach notification by Xerxes Systems Inc. does not constitute an admission of fault or liability.

8. Data Subject Rights and Portability

The Broker remains responsible for responding to access, correction, or deletion requests from their clients. Xerxes Systems Inc. will assist the Broker by:

Providing the Broker’s data in CSV or JSON format within 30 days of a written request.
Deleting or anonymizing a specific client’s data upon the Broker’s documented instruction.
Providing written attestation of full data deletion upon request.

9. Data Retention and Deletion

During the contract term: data is retained as required for the Broker’s operational needs.
After termination: production data is deleted within 60 days of subscription termination.
Backups: backup copies are purged within 90 days of termination.
Legal exceptions: data required by law (tax records: 7 years) or related to pending disputes is retained until resolution.

Upon request, Xerxes Systems Inc. will provide written attestation confirming complete data deletion within the specified timeframe.

10. Audit and Compliance

Xerxes Systems Inc. will make available to the Broker, upon reasonable written request with at least 14 days’ notice, the information necessary to demonstrate compliance with this DPA. This may include anonymized access logs, sub-processor certifications, and security policy summaries.

On-site audits are subject to Xerxes Systems Inc.’s prior approval and will be conducted at the Broker’s expense, with appropriate measures to protect other clients’ data.

11. International Data Transfers

Broker client data is hosted in Canada (ca-central-1). Transfers to US-based sub-processors (Stripe, Postmark) are governed by standard contractual clauses or equivalent certifications ensuring an adequate level of protection in accordance with Law 25 and PIPEDA.

12. Governing Law and Jurisdiction

This DPA is governed by the laws of the Province of Quebec and the federal laws of Canada applicable therein, including Law 25 (An Act to modernize legislative provisions as regards the protection of personal information) and PIPEDA (Personal Information Protection and Electronic Documents Act).

Any disputes arising from this DPA are subject to the exclusive jurisdiction of the courts of the Province of Quebec, District of Montreal.

13. Amendments

Xerxes Systems Inc. may amend this DPA to reflect regulatory or operational changes. The Broker will be notified by email with at least 30 days’ notice before any material change takes effect. Continued use of the Services after that period constitutes acceptance of the amendments.

14. Contact Us

For questions regarding this DPA, or to submit a deletion, portability, or audit request:

Xerxes Systems Inc.
Email: [email protected]