← Retour à l’accueil

Politique de confidentialité

Comment Conformaze recueille, utilise et protège vos renseignements personnels conformément à la Loi 25 (LPRPSP) et au RGPD.

Version 2.0.0En vigueur depuis le 28 avril 2026

La présente politique de confidentialité décrit comment Conformaze (ci-après « Conformaze », « nous », « notre ») recueille, utilise, communique et protège les renseignements personnels que vous nous confiez lorsque vous visitez notre site public ou utilisez la plateforme.

Conformaze est conçu pour aider les organisations québécoises et canadiennes à documenter leur conformité à la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1, dite « Loi 25 ») et, le cas échéant, au Règlement général sur la protection des données (Règlement (UE) 2016/679, « RGPD »). Nous nous appliquons à nous-mêmes les exigences que la plateforme aide nos clients à respecter.

1. Identité du responsable du traitement

Le responsable du traitement de vos renseignements personnels est :

  • Conformaze, exploitant la plateforme du même nom, ayant son siège à Montréal, Québec, Canada.
  • Coordonnées du Responsable de la protection des renseignements personnels (RPRP) : dpo@conformaze.com.

Le RPRP — qui agit également comme délégué à la protection des données (DPO) au sens de l’article 37 RGPD pour nos utilisateurs européens — est la personne à contacter pour toute question relative au traitement de vos renseignements personnels ou à l’exercice de vos droits.

2. Renseignements personnels que nous recueillons

Nous recueillons uniquement les renseignements nécessaires à nos finalités :

2.1 Renseignements que vous nous fournissez directement

  • Compte utilisateur : nom, prénom, courriel, mot de passe (haché), langue préférée, organisation, fonction, numéro de téléphone (facultatif).
  • Profil d’entreprise : raison sociale, NEQ, secteur d’activité, taille, adresse, coordonnées du contact principal.
  • Contenu produit dans la plateforme : registres des activités de traitement, EFVP, documents, demandes DSAR, incidents, contrats, actifs informationnels, communications associées.
  • Communications : messages envoyés via le formulaire de contact, le support, ou les courriels transactionnels.

2.2 Renseignements collectés automatiquement

  • Journaux d’accès et d’audit : adresse IP, identifiant de session, type de navigateur, horodatage, actions effectuées dans la plateforme. Ces journaux sont conservés à des fins de sécurité et d’audit (preuve d’opposabilité).
  • Cookies et témoins : voir notre politique de cookies.
  • Télémétrie applicative : métriques techniques pseudonymisées (latence, erreurs) collectées via Application Insights pour assurer la disponibilité et la performance du service.

2.3 Renseignements obtenus de tiers

  • Authentification fédérée : si vous vous connectez via Google ou Microsoft, nous recevons votre courriel et votre nom selon votre consentement auprès de ces fournisseurs.
  • Paiements : Stripe nous transmet les métadonnées de transaction (statut, identifiant) sans nous communiquer le numéro complet de votre carte.

3. Finalités du traitement et bases juridiques

Conformément à l’article 8 LPRPSP et à l’article 6 RGPD, chaque traitement poursuit une finalité explicite et repose sur une base juridique précise.

FinalitéBase juridiqueDurée
Création et gestion de votre compteExécution du contrat (CGU)Durée du compte + 13 mois
Fourniture des fonctionnalités de la plateformeExécution du contratDurée du compte
Traitement des paiements et facturationObligation légale (fiscale)7 ans (loi fiscale)
Sécurité, détection de fraude, journalisation d’auditIntérêt légitime + obligation légale3 ans (sécurité) / 13 mois (accès)
Réponse aux demandes de droits (DSAR)Obligation légale3 ans après clôture
Communications transactionnellesExécution du contratDurée du compte + 30 jours
Communications marketingConsentement (révocable)Jusqu’au retrait du consentement

4. Communication des renseignements

Nous ne vendons jamais vos renseignements personnels. Nous les communiquons uniquement :

  • à nos sous-traitants (hébergement, paiement, courriel, IA), tous encadrés par une entente écrite conforme à l’article 18.3 LPRPSP / article 28 RGPD. Voir la liste détaillée sur la page Sous-traitants ;
  • à votre organisation (administrateurs du compte tenant) lorsque vous agissez en son nom dans la plateforme ;
  • à une autorité publique lorsqu’une loi ou une ordonnance judiciaire l’exige (CAI, tribunaux, autorités fiscales).

5. Transferts hors Québec / hors Canada

La majorité de vos renseignements sont hébergés au Canada (régions Azure Canada Central et Canada East). Certains sous-traitants peuvent traiter des renseignements à l’extérieur du Québec ou du Canada (notamment Stripe et Mailgun aux États-Unis). Conformément à l’article 17 LPRPSP, ces communications font l’objet d’une évaluation des facteurs relatifs à la vie privée documentée et sont encadrées par des clauses contractuelles assurant un niveau de protection adéquat. La liste de ces transferts est disponible sur la page Sous-traitants.

6. Conservation et destruction des renseignements

Nous conservons vos renseignements personnels uniquement pendant la durée nécessaire aux finalités décrites ci-dessus, conformément à notre politique interne de gestion documentaire. Au terme de la durée de conservation, les renseignements sont :

  • détruits de manière sécuritaire ; ou
  • anonymisés selon les meilleures pratiques de l’industrie afin qu’ils ne puissent plus, de façon irréversible, identifier une personne physique (article 23 LPRPSP).

7. Mesures de sécurité

Nous mettons en œuvre des mesures de sécurité raisonnables, organisationnelles et techniques, proportionnelles à la sensibilité des données, notamment :

  • chiffrement en transit (TLS 1.2+) et au repos (AES-256) ;
  • authentification multifacteur (TOTP, courriel) pour les comptes ;
  • contrôle d’accès basé sur les rôles (RBAC) et isolation multi-tenant ;
  • journalisation d’audit immuable signée par chaîne de hachage ;
  • tests de restauration périodiques (PITR) et plan de continuité ;
  • audits de sécurité et revue de dépendances en continu.

8. Vos droits

Conformément à la Loi 25 et au RGPD, vous disposez des droits suivants :

  • Accès aux renseignements personnels que nous détenons à votre sujet ;
  • Rectification des renseignements inexacts ou incomplets ;
  • Suppression (« droit à l’oubli ») dans les conditions prévues ;
  • Portabilité de vos renseignements dans un format structuré ;
  • Désindexation et cessation de la diffusion (art. 28.1 LPRPSP) ;
  • Retrait du consentement en tout temps, sans que cela affecte la licéité des traitements antérieurs ;
  • Information sur le traitement automatisé exclusivement automatisé ayant un effet juridique sur vous (art. 12.1 LPRPSP).

Pour exercer vos droits, écrivez à dpo@conformaze.com. Nous vous répondrons dans les 30 jours conformément à la Loi 25.

Si la réponse ne vous satisfait pas, vous pouvez porter plainte auprès de la Commission d’accès à l’information du Québec (CAI) ou, pour les utilisateurs européens, auprès de l’autorité de contrôle de votre pays de résidence.

9. Notification d’incident de confidentialité

En cas d’incident de confidentialité présentant un risque de préjudice sérieux, Conformaze notifie la CAI et les personnes concernées dans les meilleurs délais, conformément à l’article 3.5 LPRPSP. Les organisations clientes disposent dans la plateforme d’un module dédié pour gérer leurs propres obligations de notification.

10. Modifications de la présente politique

Toute modification substantielle est annoncée via un avis dans l’application et par courriel aux titulaires de compte. La version applicable est toujours la dernière publiée sur cette page, identifiée par son numéro de version et sa date d’entrée en vigueur (en haut de page). L’historique des versions est conservé sur demande au RPRP.

11. Nous joindre

Pour toute question, demande d’accès ou plainte concernant le traitement de vos renseignements personnels :