Politique de confidentialité

1. Responsable du traitement

Loi 25 Facile (« nous », « notre ») agit à titre de responsable du traitement pour les renseignements personnels que vous nous confiez dans le cadre de l'utilisation de la plateforme. Le responsable de la protection des renseignements personnels (RPRP) au sens de l'art. 3.1 de la Loi 25 est désigné dans nos mentions légales.

2. Renseignements collectés

• Compte: courriel professionnel, mot de passe (chiffré), nom de l'organisation, numéro d'entreprise du Québec (NEQ).
• Audit Loi 25 : réponses au questionnaire de conformité, score calculé, niveau de risque.
• Données métier que vous saisissez : incidents, actifs de données, consentements, tiers.
• Journalisation technique : horodatages de connexion, adresses IP, agent utilisateur — conservés à des fins de sécurité.

3. Finalités

Vos renseignements sont utilisés exclusivement pour : (a) fournir la fonctionnalité d'audit et de gestion de la conformité, (b) sécuriser votre compte et détecter les usages anormaux, (c) répondre à vos demandes de support, (d) respecter nos obligations légales.

4. Localisation et hébergement

L'ensemble de vos renseignements personnels est stocké au Canada, dans la région AWS ca-central-1 (Montréal) via notre infrastructure Supabase. Cette résidence des données respecte les exigences de l'art. 17 de la Loi 25.

5. Sécurité

Nous appliquons les mesures suivantes (art. 10) :

• Chiffrement en transit (TLS) et au repossur l'ensemble de la base de données.
• Isolation par organisation via des politiques Row Level SecurityPostgreSQL — une organisation ne peut jamais lire les données d'une autre.
• Identifiants de consentement hachés (SHA-256) avant stockage.
• Registres de consentement et journaux d'audit non altérables (politiques en écriture seule).

6. Durées de conservation

Vos renseignements sont conservés tant que votre compte est actif. À la fermeture du compte, ils sont supprimés dans un délai raisonnable, sous réserve des obligations légales de conservation. Les actifs de données que vous déclarez avec une durée de conservation explicite sont supprimés automatiquement à l'expiration de celle-ci.

7. Vos droits

Conformément aux articles 27 à 32 de la Loi 25, vous avez le droit : d'accéder à vos renseignements, de les faire rectifier, de demander leur effacement, de vous opposer à leur traitement, et de demander leur portabilité dans un format technologique structuré.

Pour exercer ces droits, écrivez-nous à vie-privee@loi25facile.ca. Une réponse vous sera fournie dans un délai de 30 jours.

8. Sous-traitants

Nous faisons appel à Supabase (hébergement de la base de données et authentification), aux services AWS (infrastructure sous-jacente ca-central-1), et à un fournisseur de courriels transactionnels. Tous opèrent dans le respect de la Loi 25 ou de cadres équivalents.

9. Incident de confidentialité

En cas d'incident de confidentialité présentant un risque de préjudice sérieux, nous notifierons la Commission d'accès à l'information (CAI) et les personnes concernées sans délai indu, conformément à l'art. 3.5.