Aller au contenu principal

Politique de confidentialité

Protection de vos renseignements personnels conformément à la Loi 25 et PIPEDA.

1. Cadre juridique applicable

SecuAAS traite les renseignements personnels conformément à la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1), telle que modifiée par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (L.Q. 2021, c. 25, dite « Loi 25 »). Lorsqu'elle s'applique aux activités commerciales interprovinciales ou internationales, la Loi sur la protection des renseignements personnels et les documents électroniques (L.C. 2000, ch. 5, « LPRPDE / PIPEDA ») s'applique également. Lorsque plusieurs régimes canadiens coexistent, SecuAAS applique la norme la plus protectrice.

2. Personne responsable de la protection des renseignements personnels

Conformément à l'article 3.1 de la Loi sur la protection des renseignements personnels dans le secteur privé, SecuAAS a désigné M. Olivier Lange à titre de personne responsable de la protection des renseignements personnels, lequel veille au respect de la loi et des présentes politiques. Il peut être joint à l'adresse dpo@secuaas.com.

3. Renseignements collectés et finalités

Conformément aux articles 4, 5 et 8 de la Loi sur la protection des renseignements personnels dans le secteur privé, SecuAAS détermine les fins de la collecte avant celle-ci et limite la collecte aux renseignements nécessaires. Les renseignements traités sur le Site sont les suivants :

Inscription à l'infolettre : adresse de courriel et, le cas échéant, prénom, nom et organisation, aux fins d'envoi de communications relatives aux produits et aux contenus de SecuAAS. Le traitement de personnalisation assisté par intelligence artificielle des envois est décrit à la section 5.
Balayage gratuit de domaine (« Free EASM Domain Scan ») : le nom de domaine soumis, l'adresse de courriel de contact et les renseignements techniques accessibles publiquement (sous-domaines, ports, configurations SSL/TLS), aux fins de production du rapport de balayage demandé par l'Utilisateur.
Mesure d'audience (analytique) : SecuAAS utilise Plausible Analytics, une solution respectueuse de la vie privée qui n'utilise pas de témoins (« cookies ») et ne collecte pas de renseignements permettant d'identifier directement l'Utilisateur, aux fins de mesure agrégée de la fréquentation du Site.
Télémétrie BetaWatch : lorsque l'Utilisateur participe à un programme bêta, des données techniques d'utilisation peuvent être collectées aux fins d'amélioration et de stabilité des produits ; la portée en est précisée au moment de l'inscription au programme.

4. Consentement et base légale

Conformément à l'article 14 de la Loi sur la protection des renseignements personnels dans le secteur privé, le consentement à la collecte et à l'utilisation des renseignements personnels est manifeste, libre et éclairé, et il est demandé à des fins déterminées, en termes simples et clairs, distinctement de toute autre information. Le consentement à recevoir l'infolettre peut être retiré en tout temps au moyen du lien de désabonnement intégré à chaque envoi ou par demande à la personne responsable.

La mesure d'audience agrégée et la sécurité du Site reposent sur l'intérêt légitime de SecuAAS à exploiter et à sécuriser le Site, dans le respect de la Loi sur la protection des renseignements personnels dans le secteur privé.

5. Utilisation de l'intelligence artificielle et décisions automatisées

Lorsque SecuAAS recourt à des traitements assistés par intelligence artificielle (par exemple, la personnalisation des infolettres), elle s'y conforme aux articles 8.1 et 12 de la Loi sur la protection des renseignements personnels dans le secteur privé. Le Site n'effectue aucune décision produisant des effets juridiques fondée exclusivement sur un traitement automatisé au sens de l'article 12.1 de cette loi ; le cas échéant, l'Utilisateur en serait informé et pourrait présenter des observations.

6. Communication de renseignements à l'extérieur du Québec

Avant toute communication de renseignements personnels à l'extérieur du Québec, y compris à un fournisseur établi hors Québec agissant pour le compte de SecuAAS, SecuAAS procède à une évaluation des facteurs relatifs à la vie privée conformément à l'article 17 de la Loi sur la protection des renseignements personnels dans le secteur privé. Cette évaluation tient compte de la sensibilité des renseignements, de la finalité de leur utilisation, des mesures de protection - y compris contractuelles - dont ils bénéficieraient et du régime juridique applicable dans l'État de destination. La communication n'a lieu que si l'évaluation démontre que les renseignements bénéficieraient d'une protection adéquate, et elle fait l'objet d'une entente écrite.

7. Conservation, destruction et anonymisation

Conformément à l'article 23 de la Loi sur la protection des renseignements personnels dans le secteur privé, lorsque les fins de la collecte ou de l'utilisation sont accomplies, SecuAAS détruit les renseignements personnels ou les anonymise pour les utiliser à des fins sérieuses et légitimes, sous réserve d'un délai de conservation prévu par la loi. Au sens de cette loi, un renseignement est anonymisé lorsqu'il est, en tout temps, raisonnable de prévoir dans les circonstances qu'il ne permet plus, de façon irréversible, d'identifier directement ou indirectement la personne concernée, selon les meilleures pratiques généralement reconnues et les critères réglementaires applicables.

8. Droits des personnes concernées

L'Utilisateur peut, conformément aux articles 27 (accès), 28 (rectification), 28.1 (cessation de la diffusion et désindexation) et 40 de la Loi sur la protection des renseignements personnels dans le secteur privé, demander l'accès aux renseignements personnels qui le concernent, leur rectification ou, le cas échéant, la cessation de leur diffusion. SecuAAS répond à toute demande dans le délai de trente (30) jours prévu à l'article 32 de cette loi.

9. Incidents de confidentialité

Conformément aux articles 3.5 à 3.8 de la Loi sur la protection des renseignements personnels dans le secteur privé, SecuAAS prend des mesures raisonnables pour réduire le risque qu'un préjudice soit causé et pour éviter de nouveaux incidents. Lorsqu'un incident de confidentialité présente un risque qu'un préjudice sérieux soit causé, SecuAAS, avec diligence, en avise la Commission d'accès à l'information ainsi que les personnes concernées, sauf exception prévue par la loi, et consigne l'incident dans un registre conservé pendant au moins cinq (5) ans. La répartition des responsabilités en matière d'incidents liés aux produits SaaS est précisée dans les contrats produits.

10. Témoins (« cookies »)

Le Site privilégie une approche sans témoin de suivi. La solution de mesure d'audience Plausible Analytics ne dépose pas de témoins et ne recourt pas à un suivi inter-sites. Seuls peuvent être utilisés des témoins strictement nécessaires au fonctionnement du Site (par exemple, la mémorisation de la langue ou de préférences essentielles), lesquels ne requièrent pas de consentement. Tout témoin non essentiel qui serait ultérieurement déployé ferait l'objet d'une demande de consentement préalable, conformément à l'article 14 de la Loi sur la protection des renseignements personnels dans le secteur privé.

11. Souveraineté des données

SecuAAS héberge le Site et son infrastructure principale chez OVHcloud à Beauharnois (Québec, Canada). Les données associées au Site demeurent au Canada, sauf consentement explicite ou nécessité décrite à la présente politique.

Certaines fonctionnalités des produits SaaS, notamment celles qui font appel à l'intelligence artificielle, peuvent toutefois recourir à des sous-traitants situés à l'extérieur du Québec. Un tel recours fait l'objet du consentement requis et de l'évaluation des facteurs relatifs à la vie privée prévue à l'article 17 de la Loi sur la protection des renseignements personnels dans le secteur privé, et il est encadré par les contrats produits. SecuAAS privilégie des fournisseurs et des architectures réduisant l'exposition aux lois extraterritoriales de communication forcée de données et, lorsque c'est possible, le traitement au Québec ; elle ne peut cependant garantir l'immunité absolue à l'égard de toute loi étrangère, notamment lorsqu'un sous-traitant est assujetti à une telle loi.

12. Coordonnées

Pour toute question concernant la présente politique ou pour exercer vos droits : SecuAAS, par courriel à dpo@secuaas.com (renseignements personnels) ou info@secuaas.com (questions générales). Toute personne peut s'adresser à la Commission d'accès à l'information du Québec.

En vigueur le 1er juin 2026