← Agent SMB

Data Processing Agreement

Accord de traitement des données — effective 2025-01-01 · dernière mise à jour 2026-05-28

1. Scope / Portée

This DPA governs the processing of personal data by Agent SMB ("Processor") on behalf of its subscribers ("Controller") in accordance with Québec Law 25 (An Act to modernize legislative provisions as regards the protection of personal information), Canada's PIPEDA, and applicable provincial privacy legislation.

Ce DPA régit le traitement des données personnelles par Agent SMB (« Sous-traitant ») pour le compte de ses abonnés (« Responsable du traitement ») conformément à la Loi 25 du Québec, à la LPRPDE fédérale et aux lois provinciales applicables.

2. Data Processed / Données traitées

  • Business name, sector, and province / Nom d'entreprise, secteur, province
  • Chat messages and AI-generated responses / Messages et réponses générées
  • Financial estimates entered by the user (income, installment amounts) / Estimations financières saisies
  • Email address for authentication / Adresse courriel pour l'authentification
  • Accountant email (optional) / Courriel du comptable (optionnel)

Agent SMB does not collect SIN, SIN, banking credentials, or CRA login information. / Agent SMB ne collecte pas de NAS, identifiants bancaires ni accès ARC.

3. Subprocessors / Sous-traitants

SubprocessorRole / RôleLocationRetention / RétentionDPA
SupabaseBase de données & authentificationDatabase & authenticationAWS us-east-1 (USA)Durée de l'abonnement + 30 joursSubscription term + 30 daysDPA ↗
AnthropicMoteur de traitement IA (Claude)AI processing engine (Claude)USA0 jour (pas de rétention selon ToS)0 days (no retention per ToS)DPA ↗
Mem0Mémoire persistante des conversationsPersistent conversation memoryUSADurée de l'abonnement (effacement sur demande)Subscription term (erasure on request)DPA ↗
VercelHébergement frontend (Next.js)Frontend hosting (Next.js)USA / EdgeJournaux 30 joursLogs 30 daysDPA ↗

4. Your Rights — Law 25 / Vos droits — Loi 25

  • Access / Accès — request a copy of all data held about you
  • Rectification — correct inaccurate personal data
  • Erasure / Suppression — delete your account and all associated data (including Mem0 memory) from Settings → Account → Delete account
  • Portability — export your conversation history via the Transcript (.txt) download in the chat header
  • Objection — opt out of AI memory storage by contacting support

To exercise any right, email privacy@agentsmb.ca or use the in-app deletion flow. We respond within 30 days as required by Law 25 §37.

5. Security / Sécurité

  • All data in transit encrypted via TLS 1.2+ / Toutes les données en transit chiffrées
  • Supabase data at rest encrypted (AES-256) / Données au repos chiffrées
  • Row-Level Security (RLS) enforced on all Supabase tables
  • PII redaction layer before Anthropic and Mem0 processing / Couche de désidentification avant Anthropic et Mem0
  • No data used to train third-party AI models / Aucune donnée utilisée pour entraîner des modèles tiers

6. Data Residency / Résidence des données

Primary database storage is located in AWS us-east-1 (Virginia, USA) via Supabase. For subscribers requiring Canadian data residency under Law 25, please contact us — we can provision an AWS ca-central-1 (Montréal) instance on Firm plan.

7. Contact

Privacy Officer / Responsable de la protection des données: privacy@agentsmb.ca

Privacy Policy →Back to Agent SMB →