Politique de confidentialité d'Agorali

Dernière mise à jour : 2026-04-04

La présente Politique de confidentialité s'applique à l'application mobile Agorali, au site Web et aux services connexes (collectivement, le « Service ») exploités par Agorali inc. (« Agorali », « nous », « notre »), une société établie dans la Province de Québec, Canada.

Cette Politique explique comment nous recueillons, utilisons, divulguons, stockons et protégeons les renseignements personnels, ainsi que les choix qui s'offrent à vous.

1. Responsable de la protection des renseignements personnels et coordonnées

Responsable du traitement : Agorali inc. (Province de Québec, Canada)

Responsable de la protection des renseignements personnels : privacy@agorali.com

Soutien : support@agorali.com

Avis juridiques : legal@agorali.com

Agorali a officiellement désigné un responsable de la protection des renseignements personnels au sein de son organisation, conformément à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (Loi 25). Vous pouvez en tout temps communiquer avec notre responsable de la protection des renseignements personnels à l'adresse privacy@agorali.com pour toute question, préoccupation ou demande d'exercice de vos droits.

La présente Politique ne couvre pas les produits ou services tiers auxquels vous accédez en dehors du Service, même s'ils y sont liés.

2. Renseignements personnels que nous recueillons

Nous recueillons des renseignements personnels auprès (a) de vous, (b) de votre appareil et de votre utilisation du Service, et (c) de tiers qui contribuent au traitement des achats ou à l'infrastructure. Nous ne collectons que les renseignements nécessaires aux fins décrites dans la présente Politique.

2.1 Renseignements que vous fournissez directement

Selon la façon dont vous utilisez le Service, vous pouvez fournir :

Informations de compte : adresse courriel et renseignements de profil (par exemple nom d'affichage, nom d'utilisateur, photo de profil).
Informations de marchand (si vous publiez des articles) : renseignements du profil marchand que vous choisissez de rendre publics (par exemple nom de l'entreprise, lieu de cueillette, informations sur l'annonce).
Contenu utilisateur et communications : annonces, messages, photos, vidéos, commentaires et tout autre contenu que vous téléversez ou envoyez via le Service.
Communications de soutien : contenu des demandes et des échanges avec nous.

2.2 Renseignements collectés automatiquement

Lorsque vous utilisez le Service, nous pouvons collecter :

Informations sur l'appareil et le réseau : type d'appareil, système d'exploitation, langue, adresse IP, version de l'application et identifiants techniques similaires.
Informations d'utilisation : écrans et fonctionnalités utilisés, horodatages, interactions et événements dans l'application.
Données de diagnostic et de performance : journaux de plantage, mesures de performance et rapports d'erreur.
Identifiants analytiques et de suivi : nous utilisons des outils d'analyse et de signalement de plantages (notamment Firebase Analytics et Firebase Crashlytics) qui peuvent collecter des identifiants au niveau de l'appareil et des données comportementales. Ces outils nous aident à comprendre comment les utilisateurs interagissent avec le Service et à identifier les problèmes techniques.

2.3 Informations de localisation

Si vous l'autorisez, nous collectons votre localisation précise, y compris les coordonnées GPS (latitude et longitude) et une adresse postale approximative dérivée par géocodage inverse, afin de fournir des fonctionnalités basées sur la localisation comme les annonces à proximité et le contexte de tarification régionale. Ces données sont stockées dans votre profil de compte.

Vous pouvez désactiver l'autorisation de localisation à tout moment dans les paramètres de votre appareil. Certaines fonctionnalités peuvent ne pas fonctionner sans accès à la localisation. Le fondement juridique de ce traitement est votre consentement, que vous pouvez retirer à tout moment.

2.4 Achats et abonnements

Si vous achetez des crédits ou des abonnements, les achats sont gérés par la boutique d'applications et/ou des partenaires de facturation. Nous recevons généralement le statut d'achat et d'abonnement (par exemple si un abonnement est actif) et des identifiants de transaction, mais nous ne recevons pas vos coordonnées bancaires complètes.

2.5 Renseignements provenant de tiers

Nous pouvons recevoir des renseignements de :

Fournisseurs d'authentification : lorsque vous vous connectez via un fournisseur d'identité tiers (comme Google), ce fournisseur authentifie votre identité et partage des informations de profil (comme votre nom, adresse courriel et photo de profil) avec nous. Votre utilisation de ce fournisseur est également soumise à sa propre politique de confidentialité.
Boutiques d'applications et partenaires de facturation (par exemple statut d'abonnement, remboursements, rétrofacturations et identifiants d'achat).
Fournisseurs de services qui contribuent au fonctionnement du Service (par exemple fournisseurs d'hébergement et d'analytique) pour fournir le Service, prévenir la fraude et assurer la sécurité.

2.6 Jetons de notification push

Si vous accordez la permission de notifications, nous collectons votre jeton de notification push (jeton Firebase Cloud Messaging) pour vous envoyer des notifications transactionnelles et des mises à jour du Service (comme les messages reçus, l'activité sur vos annonces et les mises à jour de service). Vous pouvez gérer vos préférences de notification à tout moment dans les paramètres de votre appareil. Le fondement juridique de ce traitement est votre consentement, que vous pouvez retirer à tout moment en désactivant les notifications dans les paramètres de votre appareil.

2.7 Identifiants publicitaires

Notre application inclut le SDK Google Mobile Ads (AdMob). Même lorsque l'inventaire publicitaire n'est pas actif, ce SDK peut collecter votre identifiant publicitaire d'appareil (Android Advertising ID / Google Play Advertising ID). Vous pouvez réinitialiser cet identifiant ou vous désabonner de la publicité personnalisée à tout moment dans les paramètres de votre appareil sous Google > Publicités (Android). Nous ne diffusons pas actuellement de publicités personnalisées basées sur le profilage comportemental. Si des fonctionnalités publicitaires sont activées à l'avenir, la présente Politique sera mise à jour préalablement.

3. Informations publiques et visibilité

Le Service peut permettre que certaines informations soient visibles par d'autres utilisateurs ou le public, selon vos paramètres et votre utilisation du Service, notamment :

Les annonces (y compris les photos, vidéos, descriptions et prix que vous publiez).
Les champs du profil marchand que vous choisissez d'afficher (par exemple nom d'affichage, nom de l'entreprise, zone de cueillette générale).

Important : Si vous publiez du contenu dans le cadre d'une annonce, ce contenu peut être consulté, partagé ou copié par d'autres personnes. Nous ne pouvons pas contrôler la façon dont les autres utilisent les informations que vous rendez publiques.

Données anonymisées pour la recherche en IA : Lorsque vous supprimez votre compte, un sous-ensemble strictement limité du contenu de vos annonces est anonymisé et conservé : spécifiquement, les images recadrées (photos de produits générées lors de l'analyse par IA), les titres et les descriptions. Toutes les autres informations — votre nom, nom d'utilisateur, coordonnées, prix, localisation, stock, statut et tous les autres identifiants — sont définitivement supprimés. Les enregistrements anonymisés résultants ne contiennent aucune information personnelle et peuvent être utilisés pour entraîner, améliorer ou évaluer des modèles d'IA, ou partagés avec des partenaires de recherche. Cette pratique est divulguée ici conformément à la législation applicable en matière de protection de la vie privée.

4. Comment nous utilisons les renseignements personnels

Nous utilisons les renseignements personnels aux fins suivantes, selon les fondements juridiques indiqués :

Fournir et exploiter le Service (création de compte, annonces, messagerie, fonctionnalités): Exécution du contrat
Traiter les crédits et abonnements (vérification des achats, droits, contrôles de fraude, soutien): Exécution du contrat
Fournir des fonctionnalités alimentées par l'IA (aide à la création d'annonces, analyse de médias): Exécution du contrat / intérêts légitimes
Modération de contenu et sécurité: Intérêts légitimes / obligations légales
Améliorer et maintenir le Service (analytique, diagnostic, tests): Intérêts légitimes
Entraîner et améliorer des modèles d'IA à partir de données d'annonces anonymisées (images recadrées, titres et descriptions uniquement — aucun identifiant personnel): Intérêts légitimes
Communiquer avec vous (soutien, messages de service, mises à jour de politique): Exécution du contrat / intérêts légitimes
Prévenir la fraude et protéger le Service: Intérêts légitimes
Respecter les obligations légales: Obligations légales
Fonctionnalités basées sur la localisation: Consentement
Notifications push: Consentement
Communications marketing (le cas échéant): Consentement

5. Traitement par l'IA et traitement automatisé

5.1 Fonctionnalités alimentées par l'IA

Certaines fonctionnalités peuvent reposer sur des systèmes d'intelligence artificielle pour générer des suggestions (par exemple identification d'articles, suggestions de texte, catégories ou tarification indicative). Les résultats générés par l'IA peuvent être inexacts ou inappropriés. Vous demeurez responsable d'examiner et de vérifier le contenu avant de le publier ou de vous en fier.

Pour fournir des fonctionnalités d'IA, nous utilisons des fournisseurs d'IA tiers, notamment OpenAI, LLC. Selon la fonctionnalité, nous pouvons transmettre des images, des trames extraites d'une vidéo (pas la vidéo entière) ou du contenu textuel (comme des noms d'utilisateur, noms d'affichage ou contenu d'annonce soumis à la modération) pour traitement. Le Contrat de traitement des données (DPA) d'OpenAI prévoit que les données de l'API ne sont pas utilisées pour entraîner les modèles et sont conservées jusqu'à 30 jours, puis supprimées automatiquement.

5.2 Modération de contenu automatisée et décisions automatisées

Nous pouvons utiliser des outils automatisés, notamment des systèmes assistés par l'IA, pour détecter ou prévenir les contenus interdits, la fraude, le spam ou les abus. Ces outils peuvent entraîner la suppression de contenu, la restriction de fonctionnalités ou des limitations de compte.

Conformément à la loi applicable (notamment la Loi 25 du Québec), si une décision prise uniquement par un traitement automatisé vous affecte significativement, vous pouvez :

Demander des informations sur le type de renseignements personnels utilisés et les facteurs ayant conduit à la décision.
Demander qu'la décision soit réexaminée par une personne chez Agorali.

Pour effectuer une telle demande, contactez privacy@agorali.com.

5.3 Aucun profilage à des fins publicitaires

Nous n'utilisons pas vos renseignements personnels pour vous présenter des publicités ciblées sur des plateformes tierces basées sur un profilage comportemental, et nous ne vendons pas vos renseignements personnels. Notre application inclut le SDK Google Mobile Ads ; toutefois, l'inventaire publicitaire n'est pas actuellement actif. Voir la section 2.7.

6. Partage et divulgation

Nous ne vendons ni ne louons vos renseignements personnels à des tiers. Nous pouvons partager des renseignements personnels dans les circonstances suivantes :

6.1 Fournisseurs de services (sous-traitants)

Nous partageons des informations avec des fournisseurs qui nous aident à exploiter le Service, notamment :

Fournisseurs d'hébergement et de stockage : infrastructure infonuagique et stockage de fichiers (notamment Google Cloud Platform et Firebase).
Fournisseurs d'identité : services d'authentification lorsque vous choisissez de vous connecter avec un compte tiers (comme Google).
Services de cartographie et de géocodage : recherche d'adresse, saisie semi-automatique et résolution de localisation (comme les API Google Maps).
Plateformes de gestion des abonnements et des droits : vérification des achats et abonnements effectués via les boutiques d'applications (RevenueCat).
Fournisseurs de traitement par l'IA : création de contenu, modération et analyse assistées par l'IA (OpenAI).
Outils d'analytique, de surveillance et de signalement de plantages : suivi des performances et diagnostic des erreurs (comme Firebase Analytics et Crashlytics).
Infrastructure de recherche : recherche plein texte et géolocalisée d'annonces (Typesense, auto-hébergé sur Google Cloud Platform).
Outils de soutien à la clientèle : traitement des demandes de soutien.

Ces fournisseurs sont contractuellement tenus de protéger vos informations et de ne les utiliser que pour fournir des services à Agorali.

6.2 Données agrégées ou dépersonnalisées

Nous pouvons partager des informations agrégées ou dépersonnalisées qui ne permettent pas raisonnablement de vous identifier, par exemple pour comprendre les tendances d'utilisation et améliorer le Service.

6.3 Légalité, sécurité et application

Nous pouvons divulguer des informations lorsque nous croyons de bonne foi que la divulgation est nécessaire pour :

respecter les lois, ordonnances judiciaires ou demandes légales des autorités,
protéger les droits, la propriété ou la sécurité d'Agorali, de nos utilisateurs ou d'autres personnes,
enquêter sur des problèmes de fraude, de sécurité ou techniques, ou y remédier,
appliquer nos Conditions d'utilisation et politiques.

6.4 Transferts d'entreprise

Si nous sommes impliqués dans une fusion, acquisition, financement, réorganisation, faillite ou vente d'actifs, des informations peuvent être transférées dans le cadre de cette transaction, sous réserve de mesures de protection raisonnables et de la loi applicable. Nous vous informerons avant que vos renseignements personnels soient transférés et deviennent soumis à une politique de confidentialité différente.

7. Transferts internationaux

Nous sommes établis au Canada. Certains de nos fournisseurs de services, notamment les fournisseurs d'authentification, les fournisseurs de traitement par l'IA et les services de cartographie, sont situés aux États-Unis ou dans d'autres pays. Par conséquent, les renseignements personnels que nous collectons peuvent être transférés et traités dans des juridictions extérieures au Québec et au Canada.

Avant de communiquer des renseignements personnels hors du Québec, nous effectuons une évaluation des facteurs relatifs à la vie privée (ÉFVP) conformément à la Loi 25 du Québec. Nous nous assurons que le destinataire offre un niveau de protection comparable aux principes applicables au Québec.

Les principaux transferts de données en cours sont les suivants :

Google LLC (Firebase / GCP) (États-Unis) : authentification, base de données, stockage en nuage, notifications push et analytique. Google adhère aux clauses contractuelles types (CCT/SCC) européennes et détient les certifications SOC 2 / ISO 27001.
OpenAI, LLC (San Francisco, Californie, États-Unis) : identification d'articles par IA, suggestions de texte et modération de contenu. Nous transmettons des images, des trames extraites de vidéos et du contenu textuel spécifique. Le DPA d'OpenAI prévoit que les données de l'API ne sont pas utilisées pour entraîner les modèles et sont conservées jusqu'à 30 jours, puis supprimées automatiquement.
RevenueCat Inc. (San Francisco, Californie, États-Unis) : gestion des abonnements et des droits. Seuls les identifiants d'utilisateur anonymisés et le statut de transaction sont partagés.
Google LLC (AdMob) (États-Unis) : SDK publicitaire intégré à l'application (voir section 2.7).

RGPD — Représentant dans l'UE/EEE (Article 27) : Agorali est établi au Canada et ne dispose pas actuellement d'un établissement physique dans l'Union européenne. Nous évaluons si nos activités de traitement à destination des résidents de l'UE/EEE requièrent la désignation formelle d'un représentant dans l'UE conformément à l'article 27 du RGPD. Les résidents de l'UE/EEE peuvent nous contacter à l'adresse privacy@agorali.com pour exercer tous leurs droits, et nous répondrons dans les délais requis par le RGPD.

8. Conservation des données

Nous conservons les renseignements personnels uniquement aussi longtemps que nécessaire aux fins décrites dans la présente Politique, notamment pour fournir le Service, respecter les obligations légales, résoudre les litiges et faire respecter les ententes.

Données de compte actif: Durée du compte + 90 jours après la fermeture
Annonces et contenu utilisateur: Sous-ensemble anonymisé conservé indéfiniment après suppression du compte (images recadrées + titres + descriptions uniquement ; prix, localisation, statut et tous les identifiants personnels définitivement supprimés) ; annonces actives conservées pendant la durée de publication + 12 mois après retrait
Vidéos uploadées pour traitement IA: Supprimées dans les 7 jours suivant l'upload (ou dès la fin du traitement, selon ce qui arrive en premier)
Historique des crédits achetés: 12 mois après la suppression du compte
Communications de soutien: 3 ans à compter de la date de la demande
Journaux de sécurité et d'audit: Jusqu'à 5 ans pour la prévention de la fraude et la conformité légale
Analytique et diagnostics: Jusqu'à 26 mois (selon la configuration des plateformes analytiques)
Jetons de notification push: Durée du compte actif ; supprimés lors de la désactivation des notifications ou de la suppression du compte

Crédits achetés : Les crédits achetés via achat in-app n'expirent pas tant que votre compte est actif. Les soldes de crédits achetés inutilisés sont conservés pendant 12 mois après la suppression du compte afin de permettre la restauration des crédits si vous recréez votre compte. Les crédits d'abonnement mensuel expirent à la fin de la période d'abonnement et ne sont pas sujets à restauration.

Les sauvegardes peuvent persister pendant une période limitée après la suppression dans le cadre des pratiques normales de continuité des activités.

9. Vos choix et vos droits

9.1 Autorisations et désinscription

Vous pouvez modifier les autorisations de l'appareil (comme la localisation, la caméra, les notifications ou les photos) dans les paramètres de votre appareil à tout moment.
Vous pouvez mettre fin à toute collecte en désinstallant l'application. Certaines informations peuvent encore être conservées comme décrit dans la présente Politique.

9.2 Vos droits

Selon votre lieu de résidence, vous pouvez disposer des droits suivants concernant vos renseignements personnels :

En vertu de la Loi 25 du Québec et de la LPRPDE :

Accès : obtenir une copie des renseignements personnels que nous détenons à votre sujet.
Rectification : demander la correction de renseignements inexacts ou incomplets.
Suppression : demander l'effacement de vos renseignements personnels, sous réserve des besoins légaux et opérationnels de conservation.
Portabilité : demander que les renseignements que vous nous avez fournis vous soient communiqués, ou à un autre organisme que vous désignez, dans un format technologique structuré et couramment utilisé.
Déindexation : si des renseignements personnels vous concernant ont été diffusés par un produit technologique, vous pouvez demander l'arrêt de leur diffusion ou la désindexation des hyperliens permettant d'y accéder, si cette diffusion vous cause un préjudice et qu'il n'existe aucune justification légitime.
Révision d'une décision automatisée : demander le réexamen d'une décision prise uniquement par un traitement automatisé (voir la section 5.2).
Retrait du consentement : lorsque notre traitement est fondé sur votre consentement, vous pouvez retirer ce consentement à tout moment (cela ne concernera pas le traitement effectué avant le retrait).

En vertu du RGPD (si vous êtes dans l'Espace économique européen) :

En plus des droits mentionnés ci-dessus, les résidents de l'EEE peuvent également avoir le droit de :

S'opposer au traitement fondé sur des intérêts légitimes.
Limiter le traitement dans certaines circonstances.
Déposer une plainte auprès de l'autorité de contrôle nationale compétente en matière de protection des données. La liste des autorités de contrôle de l'UE est disponible sur edpb.europa.eu.

Pour exercer l'un de ces droits, contactez privacy@agorali.com. Nous pouvons demander une vérification de votre identité et pouvons refuser ou limiter les demandes sous réserve de la permission légale (par exemple pour des raisons de sécurité, de prévention de la fraude ou de conformité légale). Nous répondrons dans les délais requis par la loi applicable (30 jours pour la Loi 25 / LPRPDE ; 30 jours pour le RGPD, avec une extension possible de 60 jours pour les demandes complexes).

9.3 Dépôt d'une plainte auprès des autorités réglementaires

Utilisateurs québécois : Si vous croyez que vos droits en matière de vie privée ont été violés, vous pouvez déposer une plainte auprès de la Commission d'accès à l'information (CAI) à www.cai.gouv.qc.ca.

Utilisateurs de l'UE/EEE : Vous pouvez déposer une plainte auprès de votre autorité de contrôle locale.

Nous vous encourageons d'abord à nous contacter à privacy@agorali.com afin que nous puissions traiter directement vos préoccupations.

9.4 Communications marketing

Si nous envoyons des messages marketing, vous pouvez vous désinscrire en suivant les instructions du message ou en nous contactant à support@agorali.com.

10. Sécurité

Nous maintenons des mesures de protection administratives, techniques et physiques raisonnables conçues pour protéger les renseignements personnels contre l'accès non autorisé, la divulgation, la perte ou l'utilisation inappropriée. Ces mesures comprennent des contrôles d'accès, le chiffrement en transit et des examens de sécurité réguliers. Aucune méthode de transmission ou de stockage n'est totalement sécurisée, et nous ne pouvons garantir une sécurité absolue.

Incidents de confidentialité (Loi 25 du Québec) : En cas d'incident de confidentialité (comme un accès non autorisé à des renseignements personnels ou leur divulgation) présentant un risque de préjudice sérieux pour une personne concernée, nous aviserons la Commission d'accès à l'information (CAI) et la ou les personnes concernées, conformément à la Loi 25 du Québec et à la législation applicable, dans les délais prescrits par la loi. Nous maintenons un registre interne des incidents de confidentialité.

Utilisateurs de l'UE/EEE — Notification de violation RGPD (Articles 33 et 34) : En cas de violation de données à caractère personnel affectant des utilisateurs de l'Espace économique européen, nous aviserons l'autorité de contrôle compétente de l'UE dans un délai de 72 heures après en avoir pris connaissance, conformément à l'article 33 du RGPD, dans la mesure du possible. Lorsque la violation est susceptible d'engendrer un risque élevé pour vos droits et libertés, nous vous en informerons directement sans délai indu, conformément à l'article 34 du RGPD.

11. Enfants

Le Service n'est pas destiné aux enfants de moins de 13 ans, et nous ne collectons pas sciemment de renseignements personnels auprès d'enfants de moins de 13 ans. Si nous apprenons que nous avons collecté des renseignements personnels d'un enfant de moins de 13 ans, nous prendrons des mesures pour les supprimer rapidement. Si vous croyez qu'un enfant de moins de 13 ans nous a fourni des renseignements personnels, veuillez nous contacter à privacy@agorali.com.

Note pour les utilisateurs de l'UE/EEE : En vertu du RGPD, l'âge du consentement au traitement des données peut être plus élevé dans votre juridiction (jusqu'à 16 ans dans certains États membres de l'UE). Si vous avez entre 13 et 16 ans et êtes situé dans l'UE/EEE, nous vous recommandons de consulter nos conditions avec un représentant légal.

12. Modifications de la présente Politique

Nous pouvons mettre à jour la présente Politique de temps à autre. Lorsque nous apportons des modifications importantes, nous vous en informerons via le Service (par exemple via un avis dans l'application ou un message à votre adresse courriel enregistrée) au moins 15 jours avant que les modifications entrent en vigueur. La Politique mise à jour sera publiée avec une nouvelle date de « Dernière mise à jour ».

Pour les modifications nécessitant votre consentement en vertu de la loi applicable, nous solliciterons votre consentement avant que les modifications entrent en vigueur. Votre utilisation continue du Service après la date d'entrée en vigueur des modifications non importantes constitue votre acceptation de la Politique mise à jour.

13. Contact

Questions ou demandes en matière de confidentialité : privacy@agorali.com

Soutien : support@agorali.com

Avis juridiques : legal@agorali.com

Agorali inc. — Province de Québec, Canada

Voir aussi : Conditions d'utilisation

Agorali Privacy Policy

Last updated: 2026-04-04

This Privacy Policy applies to the Agorali mobile application, website, and related services (collectively, the "Service") operated by Agorali inc. ("Agorali", "we", "us"), a company based in the Province of Quebec, Canada.

This Policy explains how we collect, use, disclose, store, and protect personal information, and the choices available to you.

1. Privacy Officer and contact

Controller: Agorali inc. (Province of Quebec, Canada)

Privacy Officer (person in charge of the protection of personal information): privacy@agorali.com

Support: support@agorali.com

Legal notices: legal@agorali.com

Agorali has formally designated a Privacy Officer responsible for the protection of personal information within our organization, as required by Quebec's Loi sur la protection des renseignements personnels dans le secteur privé (Law 25). You may contact our Privacy Officer at any time with questions, concerns, or rights requests.

This Policy does not cover third-party products or services that you access outside of the Service, even if they are linked from the Service.

2. Personal information we collect

We collect personal information from (a) you, (b) your device and usage of the Service, and (c) third parties who help process purchases or provide infrastructure. We collect only the information necessary for the purposes described in this Policy.

2.1 Information you provide directly

Depending on how you use the Service, you may provide:

Account information: email address and profile details (for example display name, username, profile photo).
Merchant information (if you list items): merchant profile information you choose to publish (for example business name, pickup details, listing information).
User content and communications: listings, messages, photos, videos, comments, and any other content you upload or send through the Service.
Support communications: content of requests and correspondence with us.

2.2 Information collected automatically

When you use the Service, we may collect:

Device and network information: device type, operating system, language, IP address, app version, and similar technical identifiers.
Usage information: screens and features used, timestamps, interactions, and in-app events.
Diagnostics and performance data: crash logs, performance metrics, and error reports.
Analytics and tracking identifiers: we use analytics and crash reporting tools (including Firebase Analytics and Firebase Crashlytics) that may collect device-level identifiers and behavioral data. These tools help us understand how users interact with the Service and identify technical issues.

2.3 Location information

If you grant permission, we collect precise device location, including GPS coordinates (latitude and longitude) and an approximate postal address derived from reverse geocoding, to provide location-based features such as nearby listings and regional pricing context. This data is stored in your account profile.

You can disable location permission at any time in your device settings. Some features may not work without location access. The legal basis for this processing is your consent, which you can withdraw at any time.

2.4 Purchases and subscriptions

If you purchase credits or subscriptions, purchases are handled by the app store and/or billing partners. We generally receive purchase and entitlement status (for example whether a subscription is active) and transaction identifiers, but we do not receive your full payment card details.

2.5 Information from third parties

We may receive information from:

Authentication providers: when you sign in using a third-party identity provider (such as Google), that provider authenticates your identity and shares profile information (such as your name, email address, and profile photo) with us. Your use of that provider is also subject to their own privacy policy.
App stores and billing partners (for example subscription status, refunds, chargebacks, and purchase identifiers).
Service providers that help operate the Service (for example hosting and analytics providers) as needed to provide the Service, prevent fraud, and maintain security.

2.6 Push notification tokens

If you grant notification permission, we collect your device push notification token (Firebase Cloud Messaging token) to send you transactional and service notifications (such as messages received, listing activity, and service updates). You can manage notification preferences at any time in your device settings. The legal basis for this processing is your consent, which you can withdraw at any time by disabling notifications in your device settings.

2.7 Advertising identifiers

Our app includes the Google Mobile Ads SDK (AdMob). Even when advertising inventory is not currently active, this SDK may collect your device advertising identifier (Android Advertising ID / Google Play Advertising ID). You can reset or opt out of personalized advertising at any time through your device settings under Google > Ads (Android). We do not currently serve personalized ads based on behavioral profiling. If advertising features are activated in the future, this Policy will be updated before activation.

3. Public information and visibility

The Service may allow certain information to be visible to other users or the public, depending on your settings and use of the Service, such as:

Listings (including photos, videos, descriptions, and prices you publish).
Merchant profile fields you choose to display (for example display name, business name, general pickup area).

Important: If you publish content as part of a listing, that content may be viewed, shared, or copied by others. We cannot control how others may use information you make public.

Anonymized data for AI research: When you delete your account, a strictly limited subset of your listing content is anonymized and retained: specifically, crop thumbnail images (the product photos generated during AI analysis), titles, and descriptions. All other information — your name, username, contact details, price, location, stock, status, and all other identifiers — is permanently deleted. The resulting anonymized records contain no personal information and may be used to train, improve, or evaluate AI models, or shared with research partners. This practice is disclosed here in accordance with applicable privacy law.

4. How we use personal information

We use personal information for the following purposes, based on the indicated legal grounds:

Provide and operate the Service (account creation, listings, messaging, features): Performance of contract
Process credits and subscriptions (purchase verification, entitlements, fraud checks, support): Performance of contract
Provide AI-powered features (listing assistance, media analysis): Performance of contract / legitimate interests
Content moderation and safety: Legitimate interests / legal obligations
Improve and maintain the Service (analytics, diagnostics, testing): Legitimate interests
Train and improve AI models using anonymized listing data (crop thumbnail images, titles, and descriptions only — no personal identifiers): Legitimate interests
Communicate with you (support, service messages, policy updates): Performance of contract / legitimate interests
Prevent fraud and protect the Service: Legitimate interests
Comply with legal obligations: Legal obligations
Location-based features: Consent
Push notifications: Consent
Marketing communications (if any): Consent

5. AI processing and automated processing

5.1 AI-powered features

Certain features may rely on artificial intelligence systems to generate suggestions (for example item identification, text suggestions, categories, or indicative pricing). AI output may be inaccurate or inappropriate. You remain responsible for reviewing and verifying content before publishing or relying on it.

To provide AI features, we use third-party AI providers including OpenAI, LLC. Depending on the feature, we may transmit images, frames extracted from a video (not the entire video), or text content (such as usernames, display names, or listing content submitted for moderation) for processing. OpenAI's API Data Processing Addendum provides that API input data is not used to train their models, and data is retained by OpenAI for up to 30 days for safety monitoring, after which it is automatically deleted.

5.2 Automated content moderation and decisions

We may use automated tools, including AI-assisted systems, to help detect or prevent prohibited content, fraud, spam, or abuse. These tools may result in content removal, feature restrictions, or account limitations.

In accordance with applicable law (including Quebec's Law 25), if a decision made solely by automated processing significantly affects you, you may:

Request information about the type of personal information used and the factors that led to the decision.
Request that the decision be reviewed by a person at Agorali.

To make such a request, contact privacy@agorali.com.

5.3 No profiling for advertising

We do not use your personal information to serve targeted advertising to you on third-party platforms based on behavioral profiling, and we do not sell your personal information. Our app includes the Google Mobile Ads SDK; however, advertising inventory is not currently active. See Section 2.7.

6. Sharing and disclosure

We do not sell or rent your personal information to third parties. We may share personal information in the following circumstances:

6.1 Service providers (sub-processors)

We share information with vendors that help us operate the Service, which may include:

Hosting and storage providers: cloud infrastructure and file storage (including Google Cloud Platform and Firebase).
Identity providers: authentication services used when you choose to sign in with a third-party account (such as Google).
Mapping and geocoding services: address search, place autocomplete, and location resolution (such as Google Maps APIs).
Subscription and entitlement management platforms: verification of purchases and subscriptions made through app stores (RevenueCat).
AI processing providers: AI-assisted content creation, moderation, and analysis features (OpenAI).
Analytics, monitoring, and crash reporting tools: performance tracking and error diagnostics (such as Firebase Analytics and Crashlytics).
Search infrastructure: full-text and geo-search functionality for listings (Typesense, self-hosted on Google Cloud Platform).
Customer support tooling: handling of support requests.

These vendors are contractually required to protect your information and to use it only to provide services to Agorali.

6.2 Aggregated or de-identified data

We may share aggregated or de-identified information that does not reasonably identify you, for example to understand usage trends and improve the Service.

6.3 Legal, safety, and enforcement

We may disclose information when we believe in good faith that disclosure is necessary to:

comply with law, court orders, or lawful requests by authorities,
protect the rights, property, or safety of Agorali, our users, or others,
investigate or address fraud, security, or technical issues,
enforce our Terms of Use and policies.

6.4 Business transfers

If we are involved in a merger, acquisition, financing, reorganization, bankruptcy, or sale of assets, information may be transferred as part of that transaction, subject to reasonable safeguards and applicable law. We will notify you before your personal information is transferred and becomes subject to a different privacy policy.

7. International transfers

We are based in Canada. Some of our service providers, including authentication providers, AI processing providers, and mapping services, are located in the United States or other countries. As a result, personal information we collect may be transferred to and processed in jurisdictions outside Quebec and Canada.

Before communicating personal information outside Quebec, we conduct a privacy impact assessment (évaluation des facteurs relatifs à la vie privée — EFVP) as required by Quebec Law 25. We ensure that the receiving party provides a level of protection comparable to the principles applicable in Quebec.

The following key data transfers are currently in place:

Google LLC (Firebase / GCP) (USA): Authentication, database, cloud storage, push notifications, and analytics. Google adheres to EU Standard Contractual Clauses (SCCs) and holds SOC 2 / ISO 27001 certifications.
OpenAI, LLC (San Francisco, CA, USA): AI-assisted item identification, text suggestions, and content moderation. We transmit images, extracted video frames, and specific text content. OpenAI's Data Processing Addendum provides that API input data is not used to train models and is retained for up to 30 days, then automatically deleted.
RevenueCat Inc. (San Francisco, CA, USA): Subscription and entitlement management. Only anonymized user identifiers and transaction status are shared.
Google LLC (AdMob) (USA): Advertising SDK integrated in the app (see Section 2.7).

GDPR — EU/EEA representation (Article 27): Agorali is established in Canada and does not currently have a physical establishment in the European Union. We are assessing whether our processing activities directed at EU/EEA residents require formal designation of an EU representative under GDPR Article 27. EU/EEA residents may contact us at privacy@agorali.com to exercise all rights, and we will respond within the timeframes required by GDPR.

8. Data retention

We keep personal information only as long as necessary for the purposes described in this Policy, including to provide the Service, meet legal obligations, resolve disputes, and enforce agreements.

Active account data: Duration of account + 90 days after closure
Listings and user content: Anonymized subset retained indefinitely after account deletion (crop images + titles + descriptions only; all personal identifiers, prices, location, and status permanently deleted); active listings retained for duration of publication + 12 months after removal
Videos uploaded for AI processing: Deleted within 7 days of upload (or upon processing completion, whichever is earlier)
Purchased credit history: 12 months after account deletion
Support communications: 3 years from the date of the request
Security and audit logs: Up to 5 years for fraud prevention and legal compliance
Analytics and diagnostics: Up to 26 months (as configured in analytics platforms)
Push notification tokens: Duration of active account; deleted upon notification opt-out or account deletion

Purchased credits: Credits purchased via in-app purchase do not expire while your account is active. Unused purchased credit balances are retained for 12 months after account deletion to allow credit restoration if you recreate your account. Monthly subscription credits expire at the end of the subscription period and are not subject to restoration.

Backups may persist for a limited time after deletion as part of normal business continuity practices.

9. Your choices and rights

9.1 Permissions and opt-out

You can change device permissions (such as location, camera, notifications, or photos) in your device settings at any time.
You can stop all collection by uninstalling the app. Some information may still be retained as described in this Policy.

9.2 Your rights

Depending on your location, you may have the following rights regarding your personal information:

Under Quebec Law 25 and PIPEDA:

Access: obtain a copy of the personal information we hold about you.
Correction: request that inaccurate or incomplete information be corrected.
Deletion: request erasure of your personal information, subject to legal and operational retention needs.
Portability: request that information you provided to us be communicated to you, or to another organization you designate, in a structured, commonly used technological format.
De-indexation: where personal information about you has been disseminated through a technological product, you may request that its dissemination be stopped or that hyperlinks enabling access to it be de-indexed, if dissemination causes you injury and there is no legitimate justification for it.
Automated decision review: request review of a decision made solely by automated processing (see Section 5.2).
Withdrawal of consent: where our processing is based on consent, you may withdraw consent at any time (this will not affect processing that occurred prior to withdrawal).

Under GDPR (if you are in the European Economic Area):

In addition to the rights above, EEA residents may also have the right to:

Object to processing based on legitimate interests.
Restrict processing in certain circumstances.
Lodge a complaint with your national data protection supervisory authority. A list of EU supervisory authorities is available at edpb.europa.eu.

To exercise any of these rights, contact privacy@agorali.com. We may request verification of your identity and may deny or limit requests where legally permitted (for example, for security, fraud prevention, or legal compliance). We will respond within the timeframes required by applicable law (30 days for Quebec Law 25 / PIPEDA; 30 days for GDPR with a possible 60-day extension for complex requests).

9.3 Filing a complaint with regulators

Quebec users: If you believe your privacy rights have been violated, you may file a complaint with the Commission d'accès à l'information (CAI) at www.cai.gouv.qc.ca.

EU/EEA users: You may lodge a complaint with your local supervisory authority.

We encourage you to contact us first at privacy@agorali.com so that we can address your concerns directly.

9.4 Marketing communications

If we send marketing messages, you can opt out using the instructions in the message or by contacting us at support@agorali.com.

10. Security

We maintain reasonable administrative, technical, and physical safeguards designed to protect personal information against unauthorized access, disclosure, loss, or misuse. These include access controls, encryption in transit, and regular security reviews. No method of transmission or storage is completely secure, and we cannot guarantee absolute security.

Confidentiality incidents (Quebec Law 25): In the event of a confidentiality incident (such as unauthorized access to or disclosure of personal information) that presents a risk of serious injury to an affected individual, we will notify the Commission d'accès à l'information (CAI) and the affected individual(s) as required by Quebec Law 25 and applicable legislation, within the timeframes prescribed by law. We maintain an internal confidentiality incident registry.

EU/EEA users — GDPR breach notification (Articles 33 and 34): In the event of a personal data breach affecting users in the European Economic Area, we will notify the relevant EU supervisory authority within 72 hours of becoming aware of the breach, as required under GDPR Article 33, where feasible. Where a breach is likely to result in a high risk to your rights and freedoms, we will notify affected individuals directly without undue delay, in accordance with GDPR Article 34.

11. Children

The Service is not intended for children under the age of 13, and we do not knowingly collect personal information from children under 13. If we learn that we collected personal information from a child under 13, we will take steps to delete it promptly. If you believe a child under 13 has provided us with personal information, please contact us at privacy@agorali.com.

Note for EU/EEA users: Under GDPR, the age of consent for data processing may be higher in your jurisdiction (up to 16 years in some EU member states). If you are between 13 and 16 and located in the EU/EEA, we recommend reviewing our terms with a legal guardian.

12. Changes to this Policy

We may update this Policy from time to time. When we make material changes, we will notify you through the Service (for example via an in-app notice or a message to your registered email address) at least 15 days before the changes take effect. The updated Policy will be posted with a new "Last updated" date.

For changes that require your consent under applicable law, we will seek your consent before the changes take effect. Your continued use of the Service after the effective date of non-material changes constitutes acceptance of the updated Policy.

13. Contact

Privacy questions or rights requests: privacy@agorali.com

Support: support@agorali.com

Legal notices: legal@agorali.com

Agorali inc. — Province of Quebec, Canada