Politique de confidentialité

1. Qui nous sommes et comment nous joindre

PassProof (« nous », « notre » ou « nos ») exploite ce site Web et le portail client associé, et est l'organisation responsable des renseignements personnels recueillis par leur entremise, y compris lorsque nous les confions aux fournisseurs décrits ci-dessous.

PassProof est un nom commercial exploité par Nikita Roskladka, entrepreneur individuel (jednoosobowa działalność gospodarcza) immatriculé en Pologne — NIP 5243068331, REGON 544258450 — dont l'adresse d'établissement est ul. Książkowa 9C/105, 03-134 Warszawa, Pologne. Nous avons désigné une personne-ressource en matière de confidentialité chargée du respect de la présente politique; pour toute question, demande ou préoccupation, écrivez à privacy@getpassproof.com et nous répondrons aussi rapidement que raisonnablement possible.

2. Les renseignements que nous recueillons

Formulaires publics. Par notre formulaire gratuit « Aperçu des risques », nous recueillons votre nom, votre courriel professionnel, le nom de votre entreprise, une fourchette approximative du nombre d'employés, l'adresse (URL) du site à examiner et tout message facultatif. Par le formulaire « Démarrer un projet », nous recueillons votre nom, courriel, entreprise, type de projet, site actuel, fourchette de budget, échéancier et les détails que vous décrivez.

Comptes et dossiers de projet. Si vous devenez client, nous créons un compte et conservons les dossiers nécessaires à votre mandat : nom, courriel et, facultativement, téléphone et entreprise; vos projets et leur étape; les tâches; les factures et leur statut de paiement; le statut de tout abonnement (forfait Soins). L'authentification se fait par un lien de connexion à usage unique envoyé à votre courriel (sans mot de passe).

Messages et téléversements. Le portail client comprend une messagerie intégrée. Nous conservons les messages échangés et les photos ou vidéos que vous téléversez (p. ex. des captures liées à votre projet). Ces fichiers sont conservés dans un stockage privé et partagés uniquement avec vous et notre équipe.

Renseignements de paiement. Lorsque nous vous facturons, le paiement est traité par Stripe. Vos données de carte sont saisies et conservées par Stripe — non par PassProof; nous ne conservons que des métadonnées de facturation (montants, statut des factures et abonnements, référence client Stripe).

Renseignements techniques. Notre hébergeur consigne des journaux de serveur minimaux (adresse IP, identifiant de navigateur) pour la sécurité et la fiabilité. Nous ne créons pas de profils publicitaires ou comportementaux et ne demandons pas de données sensibles (santé, identifiants gouvernementaux).

3. Pourquoi nous les recueillons (fins)

Nous déterminons nos fins au moment de la collecte ou avant. Nous utilisons les renseignements des formulaires publics pour réaliser une évaluation préliminaire gratuite, préparer une estimation indicative et vous transmettre les résultats. Nous utilisons les renseignements de compte, de projet, de messagerie et de paiement pour fournir et gérer les services retenus : réaliser votre projet, communiquer avec vous, suivre l'avancement, émettre et percevoir les factures et exploiter tout abonnement choisi.

Nous utilisons les journaux de serveur minimaux uniquement pour la sécurité, la prévention de la fraude, le dépannage et la fiabilité. Nous n'utiliserons pas vos renseignements à une nouvelle fin non liée sans votre consentement, sauf si la loi le permet ou l'exige.

4. Consentement et vos communications

Lorsque vous soumettez un formulaire ou utilisez le portail, vous fournissez vos renseignements en connaissance de cause et consentez aux utilisations décrites ici, y compris l'analyse automatisée et le traitement transfrontalier expliqué ci-dessous.

Messages transactionnels et marketing. Les courriels de compte, de connexion (lien magique) et de facturation sont des messages transactionnels nécessaires à la prestation du service demandé. Si nous envoyons un jour des messages électroniques commerciaux, nous respecterons la Loi canadienne anti-pourriel (LCAP) : consentement exprès ou tacite, identification de l'expéditeur et moyen simple de désabonnement dans chaque message. Vous pouvez retirer votre consentement en tout temps, sous réserve des limites légales ou contractuelles et d'un préavis raisonnable.

5. Fournisseurs de services (sous-traitants)

Nous ne vendons, ne louons ni n'échangeons vos renseignements. Pour assurer le site, le portail et nos services, nous faisons appel à un petit nombre de fournisseurs réputés qui traitent des renseignements limités pour notre compte et selon nos instructions :

• Supabase (base de données, authentification et stockage de fichiers) — stocke vos données de compte, de projet, de messagerie et vos fichiers téléversés; les serveurs de notre projet sont situés dans l'Union européenne. • Stripe (États-Unis) — traite les paiements par carte et conserve les données de carte, les clients, les factures et les abonnements. • Anthropic PBC (États-Unis) — exploite l'IA Claude utilisée pour l'Aperçu des risques; l'URL et le contexte du formulaire que vous soumettez sont transmis à son API, et Anthropic n'utilise pas ces soumissions pour entraîner ses modèles. • Google PageSpeed Insights (États-Unis) — exécute l'analyse automatisée de l'URL soumise. • Vercel (États-Unis) — hébergement du site et de l'application. • Web3Forms (lorsqu'il est activé) — achemine les demandes vers notre boîte de réception.

Chaque fournisseur ne reçoit que ce qui est nécessaire à sa fonction, et nous choisissons des fournisseurs aux pratiques reconnues en matière de sécurité et de vie privée.

6. Où vos renseignements sont traités (hors du Canada)

Comme nos fournisseurs exercent leurs activités aux États-Unis et dans l'Union européenne, vos renseignements sont traités et stockés à l'extérieur du Canada — notamment, notre base de données et vos fichiers téléversés sont hébergés chez Supabase dans l'Union européenne, et les paiements sont traités par Stripe aux États-Unis. Nous le divulguons pour que vous puissiez faire un choix éclairé avant de soumettre des renseignements ou d'ouvrir un compte.

Lorsque vos renseignements sont traités dans un autre pays, ils peuvent être accessibles aux tribunaux et aux autorités de ce pays en vertu de ses lois. Nous demeurons responsables au titre de la LPRPDE et de la Loi 25 et employons des mesures contractuelles et techniques (dont les protections de la section 9) visant un niveau de protection comparable, où qu'ils soient traités.

7. Témoins (cookies)

Nous n'utilisons que des témoins strictement nécessaires. Lorsque vous vous connectez à un compte client ou administrateur, notre fournisseur d'authentification (Supabase) dépose un témoin de session sécurisé qui vous garde connecté, ainsi qu'un témoin de sécurité à courte durée utilisé pendant la connexion et supprimé une fois celle-ci terminée. C'est tout.

Nous n'utilisons aucun témoin de publicité, de marketing, intersite, d'analyse ou de profilage, et nous ne vous suivons pas d'un site à l'autre. Votre préférence de langue est déterminée par votre navigateur et l'adresse de la page — elle n'est pas stockée dans un témoin de suivi. Comme nous n'utilisons que des témoins strictement nécessaires, aucune bannière de consentement n'est requise par la loi; nous affichons un bref avis par souci de transparence. Si nous introduisions un jour des technologies non essentielles (p. ex. d'analyse), nous mettrions à jour la politique et solliciterions votre consentement là où la loi l'exige.

8. Durée de conservation

Nous ne conservons les renseignements que le temps raisonnablement nécessaire. Les demandes des formulaires publics sont conservées le temps de répondre et pour des registres d'affaires ordinaires. Les données de compte, de projet et de messagerie sont conservées pendant le mandat et une période raisonnable par la suite. Les factures et registres de paiement sont conservés selon les exigences fiscales et comptables (souvent plusieurs années). Les fichiers téléversés sont conservés pour le mandat et une période définie ensuite.

Lorsqu'ils ne sont plus nécessaires et que la loi ne nous oblige pas à les conserver, nous les supprimons ou les rendons anonymes. Certains registres — par exemple les données de paiement détenues par Stripe — sont aussi conservés par ce fournisseur en vertu de ses propres obligations.

9. Comment nous protégeons vos renseignements et avis d'incident

Nous appliquons des mesures adaptées à la sensibilité des renseignements : chiffrement en transit (HTTPS); sécurité au niveau des lignes dans la base de données, qui isole les données de chaque client de sorte qu'un client ne peut accéder à celles d'un autre; stockage de fichiers privé accessible uniquement par des liens signés à durée limitée; accès interne restreint; et fournisseurs réputés dotés de leurs propres programmes de sécurité. Les données de carte sont traitées par Stripe, conforme à la norme PCI-DSS.

Aucune méthode n'est parfaitement sûre, mais nous prenons des mesures techniques et organisationnelles raisonnables. Nous maintenons un processus de gestion des incidents de confidentialité : si une atteinte présente un risque réel de préjudice sérieux, nous aviserons les personnes touchées et les autorités compétentes — le Commissariat à la protection de la vie privée du Canada et, pour les résidents du Québec, la Commission d'accès à l'information — conformément à la LPRPDE et à la Loi 25.

10. Vos droits

Vous pouvez demander si nous détenons des renseignements à votre sujet, y accéder, demander leur correction et (sous réserve des limites légales ou contractuelles) demander leur suppression ou retirer votre consentement. Lorsque la Loi 25 l'exige, nous pouvons aussi aider à la portabilité de certains renseignements.

Pour exercer ces droits, écrivez à privacy@getpassproof.com. Nous pourrions confirmer votre identité, et nous coordonnons la demande entre nos systèmes et nos fournisseurs (Supabase et Stripe). Certains renseignements — comme les factures — peuvent être conservés si la loi l'exige. L'accès à vos propres renseignements est normalement gratuit; nous vous informerons à l'avance de tout frais minime.

11. Comment soulever une préoccupation

Si vous n'êtes pas satisfait du traitement de vos renseignements, écrivez-nous d'abord à privacy@getpassproof.com afin que nous puissions corriger la situation.

Vous pouvez aussi déposer une plainte auprès du Commissariat à la protection de la vie privée du Canada (CPVP). Si vous résidez au Québec, ou si votre dossier est régi par le droit québécois, vous pouvez vous adresser à la Commission d'accès à l'information du Québec (CAI). D'autres provinces ont leurs propres autorités.

12. Enfants et modifications

Nos services s'adressent aux entreprises et organisations. Ce site et ce portail ne visent pas les enfants et nous ne recueillons pas sciemment leurs renseignements. Si vous croyez qu'un enfant nous a fourni des renseignements, communiquez avec nous et nous les supprimerons.

Nous pouvons mettre à jour la présente politique pour refléter l'évolution de nos pratiques ou de la loi. Nous modifierons la date de « Dernière mise à jour » ci-dessus, et les changements importants prendront effet dès leur publication. Consultez cette page périodiquement.