← Retour à l’accueil

Transparence — Loi 25

Informations publiques sur la gouvernance des renseignements personnels chez Conformaze, conformément aux articles 3.2 et 8.1 LPRPSP.

Version 1.0.0En vigueur depuis le 28 avril 2026

La présente page rassemble les informations que la Loi sur la protection des renseignements personnels dans le secteur privé (Loi 25) impose à toute organisation québécoise de rendre publiques : désignation du responsable, politiques de gouvernance, modalités d’exercice des droits et procédure de plainte.

1. Responsable de la protection des renseignements personnels (RPRP)

Conformément à l’article 8.1 LPRPSP, Conformaze a désigné un Responsable de la protection des renseignements personnels (RPRP). Cette personne agit également comme délégué à la protection des données (DPO) au sens de l’article 37 RGPD pour nos utilisateurs européens.

  • Fonction : Responsable de la protection des renseignements personnels (RPRP / DPO).
  • Organisation : Conformaze.
  • Courriel : dpo@conformaze.com.
  • Adresse postale : Conformaze, À l’attention du RPRP / DPO, Montréal (Québec), Canada.
  • Délai de réponse engagé : 30 jours calendaires.

2. Politique de gouvernance des renseignements personnels

Notre cadre interne s’articule autour des principes suivants :

  • Minimisation : nous ne collectons que les renseignements nécessaires à des finalités explicites (article 5 LPRPSP).
  • EFVP : tout nouveau projet impliquant des renseignements personnels donne lieu à une évaluation des facteurs relatifs à la vie privée, documentée et révisée à chaque changement significatif (article 3.3 LPRPSP).
  • Sécurité par conception : chiffrement par défaut, contrôle d’accès basé sur les rôles, journalisation immuable, tests de restauration périodiques.
  • Confidentialité par défaut : témoins non essentiels refusés par défaut, fonctionnalités de partage activées explicitement, profils privés par défaut.
  • Conservation maîtrisée : durées de conservation documentées dans la politique de confidentialité, purges automatisées et anonymisation en fin de vie utile.
  • Formation : sensibilisation périodique des équipes ayant accès aux données.

3. Vos droits et comment les exercer

La Loi 25 vous reconnaît plusieurs droits que Conformaze s’engage à respecter dans les délais légaux (généralement 30 jours) :

  • Droit d’accès à vos renseignements personnels (art. 27 LPRPSP).
  • Droit de rectification des renseignements inexacts ou incomplets (art. 28 LPRPSP).
  • Droit à la portabilité dans un format structuré et couramment utilisé (art. 27 LPRPSP).
  • Droit à la désindexation et à la cessation de la diffusion (art. 28.1 LPRPSP).
  • Droit au retrait du consentement en tout temps.
  • Droit à l’information sur le traitement automatisé exclusivement automatisé ayant un effet juridique (art. 12.1 LPRPSP).

Pour exercer un droit, écrivez à dpo@conformaze.com. Vous pouvez aussi utiliser le formulaire de contact. Nous accusons réception sans délai et répondons dans un maximum de 30 jours.

4. Procédure de plainte

Si vous n’êtes pas satisfait de notre réponse, ou si vous estimez que vos droits n’ont pas été respectés, vous pouvez porter plainte auprès de la Commission d’accès à l’information du Québec (CAI) :

5. Notification d’incident de confidentialité (72h)

En cas d’incident de confidentialité présentant un risque qu’un préjudice sérieux soit causé à une personne concernée, Conformaze :

  • évalue l’incident sans délai et active son runbook interne ;
  • notifie la CAI et les personnes concernées dans les meilleurs délais (article 3.5 LPRPSP) ;
  • informe les organisations clientes touchées et leur fournit les éléments nécessaires à leur propre obligation de notification.

Pour signaler un incident à Conformaze, écrivez immédiatement à dpo@conformaze.com avec l’objet « INCIDENT CONFIDENTIALITÉ ».

6. Registre des incidents

Conformément à l’article 3.8 LPRPSP, Conformaze tient un registre interne des incidents de confidentialité. Une copie anonymisée peut être obtenue sur demande motivée auprès du RPRP.

7. Décisions automatisées

Conformaze peut proposer des suggestions générées par intelligence artificielle (Azure OpenAI hébergé au Canada) pour faciliter la rédaction de registres ou d’évaluations. Ces suggestions ne constituent jamais une décision automatisée ayant un effet juridique sur une personne : un humain valide toujours le contenu avant son enregistrement.

8. Localisation des données et souveraineté

La majorité des renseignements personnels sont hébergés au Canada (régions Azure Canada Central et Canada East). Les transferts hors Canada sont strictement encadrés et listés sur la page Sous-traitants.

9. Mises à jour de la politique

Cette page est révisée au moins annuellement. La version applicable est indiquée en haut de page. L’historique complet peut être obtenu sur demande à dpo@conformaze.com.