Politique de confidentialité

1. Introduction; portée

Bienvenue chez LabGiant (« nous », « notre », « nos »). Nous nous engageons à protéger votre vie privée et à assurer la conformité aux lois sur la protection des données telles que la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et le Règlement général sur la protection des données (RGPD), le cas échéant. La présente Politique de confidentialité explique comment nous recueillons, utilisons, conservons et partageons vos renseignements personnels lorsque vous accédez à nos sites Web, applications, marché, fonctionnalités alimentées par l'IA et services connexes (les « Services ») ou que vous les utilisez.

La présente Politique ne s'applique pas aux renseignements que nous traitons pour le compte des Vendeurs à titre de sous-traitant ou de prestataire de services; dans ces cas, ce sont les avis de confidentialité des Vendeurs qui s'appliquent.

Nous agissons à titre de responsable du traitement lorsque nous déterminons les fins et les moyens du traitement (par exemple, la gestion des comptes, la sécurité, la prévention de la fraude, l'analytique et le marketing) et à titre de sous-traitant lorsque nous traitons des renseignements personnels pour le compte des Vendeurs. Lorsque nous agissons à titre de responsable du traitement en vertu du RGPD, nos bases juridiques comprennent : l'exécution d'un contrat; nos intérêts légitimes à fournir et à améliorer les Services, à assurer la sécurité et à prévenir la fraude; le respect d'obligations légales; et le consentement lorsqu'il est requis.

Le responsable du traitement de vos renseignements personnels aux fins décrites dans la présente Politique est LabGéant Inc. (LabGiant Inc.). Coordonnées : [email protected].

Lorsque nous traitons des renseignements personnels pour le compte des Vendeurs, notre Addenda relatif au traitement des données est disponible sur demande.

Engagements du sous-traitant. Lorsque nous agissons pour un Vendeur, nous traitons les renseignements personnels uniquement selon les instructions documentées du Vendeur, nous ne les vendons ni ne les partageons, nous ne les utilisons pas à nos propres fins, et nous offrons une assistance en matière de sécurité, d'avis de violation et de demandes des personnes concernées, comme l'exige la loi.

Nous réalisons des évaluations des facteurs relatifs à la vie privée et des évaluations de l'incidence des transferts lorsque la loi l'exige (y compris la Loi 25 du Québec et le RGPD), particulièrement pour les traitements transfrontaliers.

2. Renseignements que nous recueillons

Nous recueillons les types de données suivants, selon vos interactions avec les Services :

• Données de profil de l'utilisateur : Cela comprend votre nom, votre adresse courriel, votre établissement, votre faculté, votre département, vos intérêts de recherche, les renseignements sur votre laboratoire de recherche et vos publications.
• Données sur les ressources de recherche : Renseignements relatifs aux réactifs, à l'équipement et aux services que vous offrez ou recherchez par l'intermédiaire de notre plateforme.
• Données d'interaction avec l'IA : Les invites, messages et résultats des fonctionnalités d'IA (y compris le clavardage et les recommandations), ainsi que les métadonnées du système (horodatages, versions des modèles, latence) et les filtres de sécurité appliqués. Nous conservons ces données pour vous permettre de revisiter vos interactions et pour améliorer nos services d'IA conformément à la présente Politique.
• Données sensibles (limitées) : Selon votre utilisation des Services, certains renseignements tels que vos intérêts de recherche ou vos affiliations pourraient être considérés comme sensibles dans certains territoires. Nous limitons notre utilisation de ces renseignements aux fins décrites dans la présente Politique et par la loi applicable.
• Données des médias sociaux : Du contenu tel que des publications concernant les nouvelles du laboratoire, les publications scientifiques et les mises à jour que vous partagez sur notre plateforme.
• Données de paiement : Les renseignements de traitement des paiements sont traités de façon sécurisée par Stripe. Nous ne conservons pas vos renseignements de paiement sensibles; ils sont traités directement par Stripe conformément à sa politique de confidentialité.
• Données d'utilisation et analytique : Renseignements sur l'appareil et le navigateur, adresse IP, langue, pages consultées, pages de provenance ou de sortie, et autres mesures d'utilisation recueillies au moyen de témoins, de SDK ou de technologies similaires à des fins de performance, de débogage et de sécurité.
• Soutien et communications : Renseignements que vous fournissez lorsque vous communiquez avec le soutien, répondez à des sondages ou fournissez de la Rétroaction.

Sources des renseignements personnels. Nous recueillons des renseignements personnels directement auprès de vous et de votre organisation; auprès des Vendeurs et des Acheteurs dans le cadre des Annonces et des Transactions; à partir de vos appareils au moyen de témoins et de technologies similaires; et auprès de prestataires de services et de sources publiques telles que les sites Web de laboratoires publiés et les répertoires universitaires.

Renseignements de tiers que vous soumettez. Si vous fournissez des renseignements personnels concernant une autre personne (par exemple, le nom ou l'adresse courriel d'un collègue), vous déclarez avoir l'autorité ou un autre fondement légal pour le faire. Nous traiterons ces renseignements conformément à la présente Politique.

Avis de collecte des États américains.

Pour les résidents de la Californie et en vertu de lois similaires d'autres États américains, nous recueillons les catégories suivantes de renseignements personnels : identifiants (p. ex., nom, courriel) (cat. A); renseignements commerciaux ou transactionnels liés aux Annonces et aux achats (cat. D); activité Internet ou électronique (p. ex., données de journalisation, données sur l'appareil) (cat. F); renseignements professionnels ou liés à l'emploi (p. ex., établissement, département) (cat. I); et inférences tirées de ce qui précède pour fournir des recommandations (cat. K). Les sources et les fins sont décrites aux §§ 2 et 3. La conservation est décrite au § 5. Nous ne « vendons » ni ne « partageons » de renseignements personnels à des fins de publicité comportementale intercontextuelle au sens de la loi applicable, et nous n'utilisons ni ne divulguons de renseignements personnels sensibles à des fins qui exigeraient un « droit de limitation ». Vous pouvez exercer les droits en matière de vie privée prévus par la loi de votre État comme décrit au § 5.

3. Comment nous utilisons vos renseignements

Nous utilisons vos données aux fins suivantes :

• Prestation et amélioration des Services : Pour fournir, maintenir et améliorer les services de notre plateforme, y compris les recommandations de recherche personnalisées et le partage de ressources.
• Collaboration en recherche : Pour faciliter les connexions et les collaborations entre chercheurs et établissements.
• Traitement des paiements : Pour traiter les transactions de façon sécurisée au moyen de Stripe.
• Amélioration de l'IA : Pour améliorer les recommandations et services de recherche fondés sur l'IA. Vos interactions avec nos fonctionnalités d'IA peuvent servir à améliorer la performance des modèles ainsi qu'à évaluer la sécurité et la qualité. Lorsque nous faisons appel à des fournisseurs d'IA tiers, nous utilisons des mécanismes contractuels pour limiter l'entraînement du côté du fournisseur dans la mesure du possible, et nous obtenons le consentement ou fournissons une divulgation conformément à la loi applicable.
• Prise de décision automatisée : Nous ne prenons pas de décisions produisant des effets juridiques ou des effets importants similaires à votre égard uniquement par des moyens automatisés sans intervention humaine. Les fonctionnalités d'IA fournissent des suggestions et des résumés que les utilisateurs peuvent examiner.
• Conformité juridique : Pour respecter nos obligations légales et faire appliquer nos Conditions d'utilisation.
• Sécurité et prévention de la fraude : Pour protéger les comptes et les Services, détecter, prévenir et traiter la fraude, les abus et les incidents de sécurité.
• Marketing et communications : Pour envoyer des communications liées au service et, lorsque cela est permis, des communications de marketing. Vous pouvez vous désabonner du marketing non essentiel à tout moment.
• Données dépersonnalisées et agrégées : Nous pouvons créer des données dépersonnalisées ou agrégées à des fins d'analytique, de sécurité et d'amélioration des Services. Nous nous engageons à conserver les données dépersonnalisées sans tenter de les réidentifier, sauf dans la mesure permise par la loi pour mettre à l'essai et vérifier nos processus de dépersonnalisation.
• Conformité aux lois anti-pourriel : Nous envoyons des communications de marketing uniquement dans la mesure permise par la loi, y compris la Loi canadienne anti-pourriel (LCAP) et la loi américaine CAN-SPAM. Vous pouvez vous désabonner à tout moment au moyen du lien de désabonnement ou en communiquant avec nous.

4. Partage de données et services tiers

Nous pouvons partager vos données avec les tiers suivants :

• Stripe : Pour le traitement sécurisé des paiements. Vos renseignements de paiement sont traités conformément à la politique de confidentialité de Stripe.
• Fournisseurs de services d'IA : Nous utilisons des modèles et services d'IA pour améliorer nos capacités, notamment une passerelle de modèles d'IA (OpenRouter) qui achemine les requêtes vers des fournisseurs de modèles sous-jacents tels que Google (Gemini), ainsi que des fournisseurs pour les plongements et le reclassement (embeddings et reranking, Cohere) et pour la transcription audio (Groq). Ces fournisseurs peuvent traiter vos entrées et sorties pour fournir le service. Lorsque cela est contractuellement possible, nous désactivons l'entraînement du côté du fournisseur et, à défaut, nous obtenons le consentement ou fournissons une divulgation.
• Partenaires institutionnels : Dans les cas de collaboration en recherche, nous pouvons partager des renseignements pertinents avec des partenaires institutionnels, toujours dans le respect des lois applicables sur la protection des données.
• Fournisseurs d'analytique, de sécurité et d'infrastructure : Pour l'hébergement, la surveillance de la performance, le suivi des erreurs et la sécurité. Ces fournisseurs traitent les données en vertu d'ententes qui limitent leur utilisation des données à la prestation de services à notre intention.

Nous pouvons divulguer des renseignements pour nous conformer à la loi, faire appliquer nos Conditions, protéger des droits, des biens ou la sécurité, ou dans le cadre d'une transaction d'entreprise (p. ex., fusion, acquisition ou vente d'actifs), sous réserve de mesures de protection appropriées.

Nous pouvons divulguer des renseignements en réponse à des demandes légitimes d'autorités publiques, notamment pour répondre à des exigences de sécurité nationale ou d'application de la loi, après vérification de la demande et uniquement dans la mesure exigée par la loi. Lorsque la loi le permet, nous aviserons les utilisateurs concernés des demandes gouvernementales visant leurs renseignements.

Nous tenons une liste à jour des principaux prestataires de services (sous-traitants) qui traitent des renseignements personnels pour notre compte, disponible sur demande, et nous fournirons un préavis raisonnable de toute modification importante apportée à cette liste. Si vous avez des motifs raisonnables liés à la protection des données de vous opposer à un nouveau sous-traitant, communiquez avec nous et nous collaborerons avec vous de bonne foi. Vous pouvez demander la liste actuelle en écrivant à [email protected].

5. Conservation des données et droits de l'utilisateur

• Conservation des données : Nous conservons les renseignements personnels aussi longtemps que nécessaire pour fournir les Services et à des fins commerciales légitimes telles que la sécurité, la prévention de la fraude, les audits et la conformité juridique. Les périodes de conservation varient selon la catégorie de données et sont déterminées par des critères tels que la nature des données, les exigences légales et le besoin potentiel dans le cadre de litiges. Lorsque des données sont supprimées des systèmes actifs, elles peuvent demeurer dans les sauvegardes pendant une période limitée conforme à nos politiques de sauvegarde et de reprise après sinistre.
• Périodes de conservation représentatives :
  • Données de compte et de profil : pendant la durée de vie du compte et jusqu'à 12 mois après sa fermeture.
  • Journaux d'interaction avec l'IA (invites et résultats) : jusqu'à 24 mois, sauf si vous demandez une suppression anticipée lorsque cela est possible.
  • Journaux de sécurité et journaux du serveur Web : jusqu'à 12 mois.
  • Billets de soutien et communications : jusqu'à 24 mois après la fermeture du billet.
  • Registres de paiement et de facturation : jusqu'à 7 ans pour respecter les exigences fiscales et comptables.
  • Sauvegardes : généralement renouvelées dans un délai de 90 jours.
• Droits de l'utilisateur : Vous avez le droit d'accéder à vos données personnelles, de les corriger ou de les supprimer. Vous pouvez gérer vos données au moyen des paramètres de votre compte ou en communiquant directement avec nous. De plus, vous pouvez vous retirer de certaines fonctionnalités de collecte de données. Selon votre lieu de résidence, vous pourriez disposer de droits supplémentaires (p. ex., portabilité des données, limitation, opposition) que vous pouvez exercer en communiquant avec nous.
• Droit de retirer le consentement : Si notre traitement repose sur le consentement, vous pouvez retirer votre consentement à tout moment sans que cela n'affecte la licéité du traitement effectué avant le retrait.
• Droit d'opposition : Vous pouvez vous opposer à un traitement fondé sur nos intérêts légitimes, y compris le profilage lié au marketing direct. Nous cesserons un tel traitement à moins de démontrer des motifs légitimes impérieux.
• Droits en matière de vie privée des États américains : Les résidents de certains États américains ont le droit de connaître ou de consulter leurs renseignements personnels, de les supprimer, de les corriger, d'en obtenir une copie et de se retirer de certains traitements. LabGiant ne vend ni ne partage de renseignements personnels à des fins de publicité comportementale intercontextuelle au sens de la loi applicable. Vous pouvez exercer vos droits en écrivant à [email protected] ou au moyen des paramètres de votre compte lorsqu'ils sont disponibles. Nous vérifierons les demandes et y répondrons dans les délais requis.
• Renseignements sensibles (États américains) : Nous n'utilisons ni ne divulguons de renseignements personnels sensibles à des fins qui exigeraient un « droit de limitation » en vertu des lois applicables des États américains sur la protection de la vie privée.
• Autorités de contrôle de l'EEE et du Royaume-Uni : Si vous vous trouvez dans l'EEE, au Royaume-Uni ou en Suisse, vous avez le droit de déposer une plainte auprès de votre autorité de contrôle locale. Les coordonnées sont disponibles auprès du Comité européen de la protection des données et du bureau du commissaire à l'information du Royaume-Uni.
• Demandes des personnes concernées : Vous pouvez soumettre des demandes en écrivant à [email protected]. Nous pourrions devoir vérifier votre identité et, le cas échéant, votre autorité d'agir au nom d'une autre personne. Nous répondrons dans les délais requis par la loi et offrirons des droits d'appel lorsqu'ils s'appliquent.
• Mandataires autorisés (États-Unis). Vous pouvez désigner un mandataire autorisé pour soumettre une demande en votre nom. Nous pourrions exiger une preuve d'autorisation et une vérification de votre identité.
• Non-discrimination. Nous n'exercerons aucune discrimination à votre égard pour avoir exercé vos droits en matière de vie privée.
• Appels. Si nous refusons votre demande, vous pouvez faire appel en écrivant à [email protected] avec la mention « Appel en matière de vie privée » dans l'objet. Nous expliquerons notre décision et la façon dont vous pouvez communiquer avec votre organisme de réglementation si vous demeurez insatisfait.

6. Mesures de sécurité

Nous mettons en œuvre des protocoles de sécurité robustes pour protéger vos données, y compris le chiffrement, des contrôles d'accès et une infrastructure de serveurs sécurisée. Bien que nous nous efforcions de protéger vos renseignements personnels, aucune méthode de transmission sur Internet ou de stockage électronique n'est sûre à 100 %.

Nous tenons un registre des incidents de confidentialité et évaluons les risques et les avis conformément à la loi québécoise.

Pour signaler une vulnérabilité de sécurité, veuillez communiquer avec [email protected]. Nous accuserons réception et collaborerons avec vous à une divulgation coordonnée.

7. Transferts internationaux de données

Lorsque des renseignements personnels sont transférés à l'extérieur du pays où ils ont été recueillis, nous nous appuyons sur des mesures de protection reconnues telles que les clauses contractuelles types de l'UE et l'addenda britannique relatif au transfert international de données (IDTA), ou sur d'autres mécanismes d'adéquation applicables. Nos principaux emplacements d'hébergement et nos principaux sous-traitants sont décrits dans une liste « Sous-traitants et emplacements d'hébergement » que nous tenons et rendons disponible sur demande, et que nous mettons à jour de temps à autre.

Les renseignements personnels stockés ou traités dans d'autres territoires peuvent faire l'objet d'un accès licite par les tribunaux, les autorités d'application de la loi ou les autorités de sécurité nationale de ces territoires.

À ce stade, nous ne ciblons ni ne surveillons activement les personnes situées dans l'EEE ou au Royaume-Uni. Si et lorsque nous le ferons, nous nommerons un représentant pour l'UE et le Royaume-Uni en vertu de l'article 27 du RGPD et mettrons à jour la présente Politique avec ses coordonnées.

8. Témoins et technologies similaires

Nous et nos partenaires utilisons des témoins, des SDK et des technologies similaires pour fournir, analyser et améliorer les Services, mémoriser vos préférences et mesurer leur efficacité. Vous pouvez contrôler les témoins au moyen des paramètres de votre navigateur; toutefois, certaines fonctionnalités pourraient ne pas fonctionner correctement sans témoins. Lorsque la loi l'exige (p. ex., dans l'EEE, au Royaume-Uni et au Québec), nous obtenons votre consentement au moyen de notre bannière de témoins avant de déposer des témoins non essentiels. Vous pouvez modifier vos choix à tout moment dans les Paramètres des témoins (lien dans le pied de page). Nous respectons les signaux Global Privacy Control (GPC) lorsqu'ils sont reconnus.

9. Protection de la vie privée des enfants

Nos Services sont destinés aux personnes âgées d'au moins 18 ans. Nous ne recueillons pas sciemment de renseignements personnels auprès d'enfants de moins de 13 ans aux États-Unis ou de moins de l'âge du consentement numérique dans l'EEE sans le consentement parental approprié, et nous prendrons des mesures pour supprimer de tels renseignements si nous en prenons connaissance.

Nous ne vendons ni ne partageons sciemment les renseignements personnels de personnes âgées de moins de 16 ans.

10. Programme d'offres de lancement; rétroaction et télémétrie

Si vous participez à un programme d'accès anticipé, à une version bêta, à une tarification promotionnelle ou à un programme d'« offres de lancement », vous acceptez que nous puissions communiquer avec vous pour obtenir de la rétroaction et recueillir de la télémétrie d'utilisation et des données de performance afin d'améliorer nos Services, conformément à la présente Politique. La rétroaction que vous fournissez peut être utilisée par nous sans restriction ni attribution.

10.1 Avis d'incitatif financier (Californie)

Notre programme d'offres de lancement peut comprendre une tarification promotionnelle ou des avantages similaires. Cela peut être considéré comme un incitatif financier en vertu de la loi californienne, car il est raisonnablement lié à la valeur de la participation au programme ainsi qu'à la télémétrie ou à la rétroaction que vous choisissez de fournir.

Les catégories de renseignements personnels en cause peuvent comprendre des identifiants (p. ex., courriel), de la télémétrie d'utilisation et des inférences utilisées pour améliorer les Services. Nous estimons de bonne foi que la valeur de l'incitatif est raisonnablement liée aux coûts du programme, aux revenus prévus et à la valeur des informations agrégées.

La participation est facultative. Vous pouvez y adhérer en acceptant une offre de lancement, et vous pouvez vous retirer à tout moment sans que cela n'affecte votre capacité à utiliser les Services de base, bien que l'incitatif puisse prendre fin. Pour vous retirer, communiquez avec [email protected].

11. Modifications de la présente Politique de confidentialité

Nous pouvons mettre à jour la présente Politique de confidentialité de temps à autre pour refléter des changements dans nos pratiques ou pour d'autres raisons opérationnelles, juridiques ou réglementaires. Nous vous aviserons de tout changement important en publiant la nouvelle politique sur notre site Web et en mettant à jour la date d'entrée en vigueur. Lorsque la loi l'exige, nous fournirons un avis supplémentaire (par exemple par courriel ou dans le produit) avant que des changements importants ne prennent effet.

12. Données utilisateur Google et services d'API Google

LabGiant offre une fonctionnalité facultative dans le nœud d'inventaire du Générateur de protocoles qui vous permet de connecter un compte Google afin de synchroniser l'inventaire du laboratoire avec une feuille Google que vous possédez. La présente section décrit quelles données utilisateur Google nous consultons, comment nous les utilisons, comment elles sont stockées et comment vous pouvez révoquer l'accès. Vous n'êtes jamais tenu de connecter un compte Google pour utiliser LabGiant.

12.1 Portées que nous demandons

Lorsque vous connectez un compte Google, LabGiant demande uniquement les portées OAuth 2.0 suivantes auprès de Google :

• https://www.googleapis.com/auth/spreadsheets : pour lire et écrire des cellules dans les feuilles Google que vous liez explicitement à un nœud d'inventaire du Générateur de protocoles, afin que nous puissions afficher les données d'inventaire, détecter les colonnes d'inventaire et renvoyer les mises à jour à votre feuille.
• https://www.googleapis.com/auth/userinfo.email : pour récupérer l'adresse courriel du compte Google que vous avez connecté, afin que nous puissions indiquer quel compte est utilisé et prendre en charge la connexion de plusieurs comptes Google à un même utilisateur LabGiant.

Nous ne demandons pas l'accès à Gmail, à Google Drive (au-delà des feuilles de calcul précises que vous liez), à Google Agenda, aux Contacts, à Google Photos ou à tout autre service Google.

12.2 Comment nous utilisons les données utilisateur Google

Les données utilisateur Google sont utilisées uniquement pour fournir et améliorer la fonctionnalité du nœud d'inventaire que vous avez demandée. Plus précisément :

• Lire les métadonnées de la feuille de calcul (titre, noms des feuilles, nombre de lignes et de colonnes) et les valeurs des cellules à partir des feuilles et plages précises que vous liez à un nœud d'inventaire.
• Écrire ou mettre à jour les valeurs des cellules dans ces mêmes feuilles lorsque vous modifiez l'inventaire dans LabGiant.
• Afficher l'adresse courriel du compte Google connecté dans le panneau des identifiants afin que vous sachiez quel compte est utilisé.

Nous n'utilisons pas les données utilisateur Google à des fins de publicité, nous ne vendons ni ne louons les données utilisateur Google à aucun tiers, et nous n'utilisons pas les données utilisateur Google pour entraîner, peaufiner ou évaluer des modèles d'intelligence artificielle ou d'apprentissage automatique généralisés ou appartenant à des tiers. Aucun être humain ne lit vos données utilisateur Google, sauf (a) avec votre consentement explicite, (b) lorsque cela est nécessaire à des enquêtes de sécurité ou (c) pour respecter la loi applicable.

12.3 Stockage, conservation et suppression

Les jetons d'accès et d'actualisation OAuth de Google sont chiffrés au repos dans notre base de données et servent uniquement à appeler les API de Google en votre nom. Le contenu des feuilles de calcul est récupéré à la demande lorsque vous ouvrez un nœud d'inventaire ou déclenchez une synchronisation; nous ne conservons pas de copie miroir à long terme de votre feuille. Si vous révoquez l'accès, ou si le compte Google se déconnecte de lui-même, le jeton d'accès et le jeton d'actualisation sont tous deux révoqués auprès de Google, puis supprimés de notre base de données.

12.4 Comment révoquer l'accès

Vous pouvez déconnecter un compte Google de LabGiant à tout moment au moyen du panneau des identifiants de tout nœud d'inventaire du Générateur de protocoles. Vous pouvez également révoquer l'accès de LabGiant directement à partir de votre compte Google à l'adresse myaccount.google.com/permissions. La révocation prend effet immédiatement.

12.5 Divulgation relative à l'utilisation limitée

L'utilisation et le transfert par LabGiant, vers toute autre application, des renseignements reçus des API de Google respecteront la Google API Services User Data Policy, y compris les exigences relatives à l'utilisation limitée (Limited Use).

13. Coordonnées

Pour toute demande relative à la vie privée ou pour exercer vos droits en matière de protection des données, veuillez communiquer avec nous à [email protected].

Responsable de la protection des renseignements personnels. La personne responsable de la protection des renseignements personnels chez LabGiant est notre responsable de la protection des renseignements personnels. Coordonnées : Responsable de la protection des renseignements personnels, LabGéant Inc. (LabGiant Inc.), [email protected].

Plaintes. Vous pouvez déposer une plainte auprès du Commissariat à la protection de la vie privée du Canada ou de la Commission d'accès à l'information du Québec, ou auprès d'une autre autorité compétente en matière de protection des données, en plus d'exercer vos droits auprès de nous.

En cas de violation de données touchant des renseignements personnels, nous aviserons les personnes concernées et les autorités de réglementation sans délai indu et dans les 72 heures lorsque le RGPD l'exige, et nous respecterons les exigences de déclaration de la LPRPDE et de la loi québécoise sur la protection des renseignements personnels dans le secteur privé, y compris la notification à la Commission d'accès à l'information du Québec (CAI) lorsqu'il existe un risque de préjudice sérieux.