Privacy notice

Effective 2026-05-06 · Last updated 2026-05-06 · Version 1.0

Quro respects your privacy. This notice explains what personal information we collect, why we collect it, who can access it, and the rights Quebec's Law 25 (the modernized Act respecting the protection of personal information in the private sector) and Europe's GDPR grant you.

1. Who is responsible

The data controller for this website is Quro. Our designated person responsible for the protection of personal information (the "privacy officer", required by Law 25 § 3.1) is reachable at:

📧 joseph.picard@picardbuilds.ca

2. What we collect

We collect the minimum personal information needed to operate the service. Concretely:

Category	Examples	When
Identification	Name, email	You sign up as a merchant or pay a check
Transactional	Cart contents, amount, tip, table identifier	You complete a payment
Technical	IP address, browser, device type	You visit any page

We do not collect your full credit card number — it is captured directly by Stripe inside an iframe we cannot read.

3. Why we collect it

To process payments (legal basis: contract performance) — payment, refund, dispute handling.
To deliver email receipts (contract performance).
To prevent fraud and secure the service (legitimate interest, also required by PCI-DSS).

4. Who has access

Personal information is shared only with carefully selected processors. They access only what they need to perform their service:

Processor	Purpose	Country
Stripe	Payment processing (PCI-DSS Level 1)	USA / Ireland
Google Cloud Vision (Google LLC)	OCR fallback when the Revenu Québec receipt QR can't be read by the camera — receipt photo only (transaction reference, amounts, merchant tax numbers; no personal customer data unless the customer voluntarily includes it). We do not retain images server-side beyond the OCR API call.	USA
DigitalOcean	Hosting infrastructure	Canada (Toronto region)
Resend / Nodemailer SMTP	Transactional email — merchant payment alerts (amount, tip, customer first name only) and Stripe billing emails.	USA / EU
Twilio	SMS merchant payment alerts (amount, tip, customer first name only). Sent to the merchant's verified phone number; never sent to customers.	USA

Some recipients are located outside Quebec. Before transfer, we assess the destination country's privacy regime per Law 25 § 17. We rely on contractual safeguards equivalent to Quebec standards.

5. How long we keep it

Transactional records: 7 years (Quebec tax retention requirement).
Account data: while your account is active + 24 months of inactivity, then deleted.
Server logs: 90 days, then purged.

6. Your rights under Law 25

You have the right to:

Access the personal information we hold about you.
Rectify inaccurate or incomplete information.
Withdraw consent for non-essential processing at any time.
De-index or cease dissemination — request that we stop publishing or sharing specific information about you.
Portability — receive your information in a structured, commonly-used format.
Lodge a complaint with the Commission d'accès à l'information du Québec.

To exercise any of these rights, email our privacy officer at joseph.picard@picardbuilds.ca. We respond within 30 days (Law 25 § 32).

7. Cookies & tracking

We use a small number of cookies and similar technologies:

Cookie	Purpose	Lifetime	Required?
`quro_merchant_jwt`	Keep merchants logged in	8 hours	Yes (essential)
`quro_customer_jwt`	Customer session	7 days	Yes (essential)
`quro_csrf`	CSRF protection	Session	Yes (security)
Stripe cookies	Fraud prevention on checkout	30 days	Yes (essential)

8. Security

TLS 1.3 in transit, hardened cookies (HttpOnly, SameSite=Lax) at rest.
JWT-based sessions, double-submit CSRF protection.
Server-side recompute of every payment with a 2¢ tolerance.
Stripe-grade payment isolation — Quro never sees your card number.
Strict Content Security Policy locking script and form sources to known origins.

9. Privacy incidents

If a confidentiality incident affects your personal information and presents a risk of serious injury, we will notify you and the Commission d'accès à l'information without delay (Law 25 § 3.5). We maintain an internal incident register.

10. Automated decision-making

Quro does not make decisions about you based solely on automated processing. Fraud detection on payments may flag a transaction for review — final approval or rejection is reviewed by our team and by Stripe.

11. Changes

We will update this notice when our practices change. The "Last updated" date at the top reflects the latest revision. Material changes will be highlighted on the login page.

This notice is published in English and French. In the event of a discrepancy, the French version prevails (Charter of the French Language).

Avis de confidentialité

En vigueur le 2026-05-06 · Dernière mise à jour 2026-05-06 · Version 1.0

Quro respecte votre vie privée. Le présent avis explique quels renseignements personnels nous recueillons, pourquoi, qui peut y accéder, et les droits que vous accordent la Loi 25 du Québec (la Loi sur la protection des renseignements personnels dans le secteur privé modernisée) et le RGPD européen.

1. Responsable du traitement

Le responsable du traitement est Quro. Notre personne responsable de la protection des renseignements personnels (« responsable », exigée par la Loi 25 § 3.1) peut être jointe à :

📧 joseph.picard@picardbuilds.ca

2. Renseignements recueillis

Nous recueillons le minimum nécessaire à la prestation du service :

Catégorie	Exemples	Quand
Identification	Nom, courriel	Inscription marchand ou paiement
Transactionnel	Panier, montant, pourboire, identifiant de table	Lors d'un paiement
Technique	Adresse IP, navigateur, type d'appareil	À chaque visite

Nous ne recueillons pas votre numéro de carte bancaire complet — il est capturé directement par Stripe dans un cadre que nous ne pouvons pas lire.

3. Finalités

Traiter les paiements (base légale : exécution du contrat) — paiement, remboursement, gestion des litiges.
Émettre les reçus par courriel (exécution du contrat).
Prévenir la fraude et sécuriser le service (intérêt légitime, également exigé par PCI-DSS).

4. Qui a accès

Les renseignements personnels sont partagés uniquement avec des sous-traitants soigneusement sélectionnés. Ils n'accèdent qu'à ce qui est nécessaire :

Sous-traitant	Finalité	Pays
Stripe	Traitement des paiements (PCI-DSS Niveau 1)	États-Unis / Irlande
Google Cloud Vision (Google LLC)	Lecture optique (OCR) en cas d'échec du QR Revenu Québec à la caméra — photo de la facture uniquement (référence de transaction, montants, numéros de taxes du commerçant ; aucune donnée personnelle du client sauf si le client en inclut volontairement). Nous ne conservons pas les images côté serveur au-delà de l'appel à l'API.	États-Unis
DigitalOcean	Infrastructure d'hébergement	Canada (région de Toronto)
Resend / Nodemailer SMTP	Courriels transactionnels — alertes de paiement au commerçant (montant, pourboire, prénom du client uniquement) et courriels de facturation Stripe.	États-Unis / UE
Twilio	SMS d'alerte de paiement au commerçant (montant, pourboire, prénom du client uniquement). Envoyés au numéro vérifié du commerçant ; jamais envoyés aux clients.	États-Unis

Certains destinataires sont situés à l'extérieur du Québec. Avant tout transfert, nous évaluons le régime de protection du pays destinataire conformément à la Loi 25 § 17. Nous nous appuyons sur des garanties contractuelles équivalentes aux normes québécoises.

5. Durée de conservation

Données transactionnelles : 7 ans (obligation fiscale québécoise).
Données de compte : pendant l'activité du compte + 24 mois d'inactivité, puis supprimées.
Journaux serveurs : 90 jours, puis purgés.

6. Vos droits en vertu de la Loi 25

Vous avez le droit de :

Accéder aux renseignements personnels que nous détenons à votre sujet.
Rectifier tout renseignement inexact ou incomplet.
Retirer votre consentement pour les traitements non essentiels à tout moment.
Demander la désindexation ou la cessation de diffusion d'un renseignement vous concernant.
Portabilité — recevoir vos renseignements dans un format structuré et couramment utilisé.
Déposer une plainte auprès de la Commission d'accès à l'information du Québec.

Pour exercer ces droits, écrivez à notre responsable à joseph.picard@picardbuilds.ca. Nous répondons dans un délai de 30 jours (Loi 25 § 32).

7. Témoins (cookies) et traceurs

Nous utilisons un nombre restreint de témoins et technologies similaires :

Témoin	Finalité	Durée	Obligatoire ?
`quro_merchant_jwt`	Maintient la session marchand	8 heures	Oui (essentiel)
`quro_customer_jwt`	Session client	7 jours	Oui (essentiel)
`quro_csrf`	Protection CSRF	Session	Oui (sécurité)
Témoins Stripe	Prévention de la fraude au paiement	30 jours	Oui (essentiel)

8. Sécurité

TLS 1.3 en transit, témoins durcis (HttpOnly, SameSite=Lax) au repos.
Sessions par JWT, protection CSRF par double-soumission.
Recalcul côté serveur de chaque paiement avec une tolérance de 2 ¢.
Isolement de niveau Stripe — Quro ne voit jamais votre numéro de carte.
Politique de sécurité du contenu (CSP) stricte limitant les sources de scripts et de formulaires.

9. Incidents de confidentialité

Si un incident de confidentialité touche vos renseignements personnels et présente un risque de préjudice sérieux, nous vous en aviserons ainsi que la Commission d'accès à l'information sans délai (Loi 25 § 3.5). Nous tenons un registre interne des incidents.

10. Décisions automatisées

Quro ne prend pas de décisions vous concernant fondées uniquement sur un traitement automatisé. La détection de fraude lors d'un paiement peut signaler une transaction à examiner — l'approbation ou le refus final est revu par notre équipe et par Stripe.

11. Modifications

Nous mettrons à jour cet avis lorsque nos pratiques évoluent. La date de « Dernière mise à jour » en tête reflète la révision la plus récente. Les modifications importantes seront mises en évidence sur la page de connexion.

Cet avis est publié en français et en anglais. En cas de divergence, la version française prévaut (Charte de la langue française).