VaultLedger

Politique de confidentialité

Version Alpha | Programme de test fermé
Conforme à la Loi 25 (Québec) et à la LPRPDE (Canada)
Date d'entrée en vigueur : 2026-04-29

Préambule

Contexte alpha : Le programme de test alpha de VaultLedger est un environnement de test interne fermé. La présente politique décrit les pratiques de traitement des renseignements personnels applicables exclusivement dans ce cadre.

La présente Politique de confidentialité (la « Politique ») décrit la manière dont Hans Bherer, fondateur de VaultLedger (le « Responsable traitement »), collecte, utilise, conserve et protège les renseignements personnels des participants au programme alpha (les « Utilisateurs »).

Cette Politique est rédigée en conformité avec la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (ci-après « Loi 25 », RLRQ, c. P-39.1) et la Loi sur la protection des renseignements personnels et les documents électroniques (ci-après « LPRPDE », L.C. 2000, ch. 5).

Article 1 — Identité du responsable du traitement

Responsable du traitement : Hans Bherer
Titre : Responsable de la protection des renseignements personnels (RPRP) — Fondateur
Adresse : Québec, Canada
Courriel RPRP : hbherer@vaultledger.ca
État juridique : Personne physique en attente d'incorporation

En vertu de la Loi 25, le Responsable du traitement assume la fonction de Responsable de la protection des renseignements personnels (RPRP) et est l'interlocuteur désigné pour toute demande relative aux droits des personnes concernées.

Article 2 — Renseignements personnels collectés

2.1 Principe de minimisation

VaultLedger applique le principe de minimisation des données : seuls renseignements strictement nécessaires au fonctionnement de l'application sont collectés. Aucune donnée n'est collectée à des fins publicitaires ou de monétisation et ce, de manière structurelle, non pas seulement contractuelle.

2.2 Données collectées directement

Catégorie	Données collectées	Finalité
Identité	Prénom, nom de famille	Identification dans les groupes et invitations
Contact	Adresse courriel	Authentification, notifications, invitations
Sécurité	Mot de passe (haché Argon2id)	Authentification sécurisée
Session	Jetons JWT + jeton de rafraîchissement	Maintien de session authentifiée
Données financières	Comptes, transactions, écritures comptables	Service principal de gestion financière
Groupes	Appartenance aux groupes, rôle RBAC	Gestion des droits d'accès
Rétroaction	Commentaires et signalements (si transmis)	Amélioration du produit

2.3 Données collectées automatiquement

Journaux d'audit (audit trail) : actions effectuées, horodatage, identifiant de session requis pour l'intégrité du grand livre
Adresse IP et agent utilisateur (User-Agent) : collectés par Cloudflare Zero Trust pour le contrôle d'accès
Journaux applicatifs : erreurs techniques et événements de sécurité

2.4 Données NON collectées

VaultLedger ne collecte pas et n'a pas accès aux données suivantes :

Numéros de carte de crédit ou de débit
Numéros d'assurance sociale (NAS)
Pièces d'identité gouvernementales
Données biométriques
Données de localisation GPS
Informations issues de réseaux sociaux

Article 3 — Finalités et bases juridiques du traitement

Finalité	Base juridique (Loi 25)	Détail
Authentification et sécurité du compte	Consentement / Exécution du service	Gestion des sessions, JWT, vérification courriel
Fourniture du service comptable	Exécution du service	Gestion des comptes, transactions, grand livre
Communications transactionnelles	Exécution du service	Invitations, transfert de propriété, réinitialisation
Journal d'audit immuable	Intérêt légitime (sécurité)	Intégrité et traçabilité des opérations
Contrôle d'accès (Cloudflare)	Intérêt légitime (sécurité)	Accès restreint au programme alpha
Amélioration du produit	Consentement	Uniquement via rétroaction volontaire

Aucun traitement de données à des fins de marketing, de profilage ou de publicité n'est effectué en phase alpha ou dans les phases subséquentes.

Article 4 — Consentement

4.1 Consentement explicite

L'Utilisateur consent expressément au traitement de ses renseignements personnels en acceptant les présentes Conditions au moment de l'inscription. Ce consentement est spécifique (finalités définies), éclairé (informations claires fournies) et librement donné (aucune pression commerciale).

4.2 Retrait du consentement

L'Utilisateur peut retirer son consentement à tout moment en adressant une demande écrite au RPRP à l'adresse : hbherer@vaultledger.ca. Le retrait du consentement entraîne la cessation du service et la suppression des données selon les modalités décrites à l'Article 7.

Article 5 — Infrastructure et localisation des données

5.1 Données au Canada

Conformément aux exigences de la Loi 25 du Québec et de la LPRPDE, l'ensemble des données personnelles des Utilisateurs est hébergé exclusivement au Canada. Aucune donnée ne quitte le territoire canadien.

Composante	Fournisseur	Région / Localisation
Application (backend)	Google Cloud Run	Canada (north-america-northeast)
Base de données	MongoDB Atlas	Azure Canada Central (Toronto)
Contrôle d'accès	Cloudflare Zero Trust	Proxy mondial données app. au Canada
Courriels transactionnels	SMTP via NestJS	Fournisseur à préciser selon config. déploiement
Site vitrine	Cloudflare Pages	CDN mondial contenu statique uniquement

5.2 Fournisseurs tiers

VaultLedger fait appel aux fournisseurs d'infrastructure listés ci-dessus. Ces tiers agissent à titre de sous-traitants techniques et n'ont pas accès aux données financières de l'Utilisateur. Ils sont sélectionnés sur la base de leur conformité aux standards de sécurité (ISO 27001, SOC 2) et de leur engagement contractuel envers la protection des données. VaultLedger ne vend, ne loue ni ne partage les renseignements personnels des Utilisateurs avec des tiers à des fins commerciales ou publicitaires.

Article 6 — Mesures de sécurité

6.1 Mesures techniques implémentées

Chiffrement en transit : TLS 1.3 sur toutes les communications
Chiffrement au repos : AES-256 via MongoDB Atlas
Hachage des mots de passe : Argon2id avec paramètres de durcissement élevés
Authentification par jeton JWT (access token + refresh token) avec rotation de session
Journal d'audit immuable : chaînage cryptographique SHA-256 par groupe
Contrôle d'accès granulaire (RBAC) : Propriétaire / Administrateur / Éditeur / Observateur
Vérification de courriel obligatoire à l'inscription
Protection contre les injections (NoSQL) : validation stricte des entrées via NestJS Pipes
Accès alpha protégé par Cloudflare Zero Trust (OTP courriel)

6.2 Prévention de la fuite d'information

VaultLedger applique des principes de sécurité par conception : les réponses API ne révèlent pas l'existence ou la non-existence d'un compte ou d'un groupe à un tiers non autorisé.

6.3 Limitations de sécurité — Phase Alpha

En phase alpha, certaines mesures de sécurité destinées à l'environnement de production (pentest, audit externe, SOC 2, surveillance continue) ne sont pas encore en place. L'Utilisateur en est informé et assume ce risque en participant au programme.

Article 7 — Droits de l'Utilisateur

7.1 Droits garantis par la Loi 25 et la LPRPDE

Droit	Délai de réponse	Modalités
Accès à ses données	30 jours calendriers	Demande écrite par courriel au RPRP
Rectification	30 jours calendriers	Directement dans le profil ou par demande
Suppression (droit à l'effacement)	30 jours calendriers	Demande écrite de suppression totale des données
Portabilité	Délai raisonnable	Export en format structuré (CSV/JSON)
Opposition / Retrait du consentement	Immédiat	Suspension de l'accès et suppression
Information sur les incidents	72 heures (Loi 25)	Notification par courriel si incident grave

7.2 Exercice des droits

Pour exercer l'un de ces droits, adressez une demande écrite au RPRP à hbherer@vaultledger.ca avec l'objet : « Demande | Droits vie privée | VaultLedger ». Le Responsable accusera réception dans cinq (5) jours ouvrables et apportera une réponse complète dans trente (30) jours calendriers.

7.3 Droit de recours

Si vous estimez que vos droits n'ont pas été respectés, vous pouvez déposer une plainte auprès de la Commission d'accès à l'information du Québec (CAI) ou du Commissariat à la protection de la vie privée du Canada (CPVP).

Article 8 — Conservation et suppression des données

8.1 Durées de conservation

Type de donnée	Durée de conservation	Justification
Journaux de session et d'audit	90 jours (phase alpha)	Sécurité et forensics
Données de compte actif	Durée du programme alpha	Exécution du service
Données après suppression du compte	Maximum 30 jours	Suppression complète garantie
Données d'incidents de sécurité	Registre requis par Loi 25	Obligation réglementaire

8.2 Procédure de suppression

À la clôture du programme alpha ou sur demande de suppression, les données personnelles de l'Utilisateur sont effacées de manière sécurisée de l'ensemble des systèmes, incluant les sauvegardes actives, dans un délai maximal de trente (30) jours. Les journaux d'incidents de sécurité peuvent être conservés dans la mesure requise par la loi, sous forme anonymisée.

Article 9 — Gestion des incidents de confidentialité

9.1 Procédure de notification

En cas d'incident de confidentialité présentant un risque sérieux de préjudice, le Responsable du traitement :

Notifie la Commission d'accès à l'information du Québec (CAI) dans un délai de 72 heures suivant la prise de connaissance, conformément à l'article 90.1 de la Loi sur l'accès
Notifie les Utilisateurs affectés dans les meilleurs délais par courriel
Tient un registre des incidents de confidentialité conformément à la réglementation applicable

9.2 Registre des incidents

Un registre des incidents est maintenu conformément à l'article 90.3 de la Loi sur l'accès (Loi 25). Il contient la description de l'incident, les renseignements touchés, les causes, les mesures correctives et les personnes concernées.

Article 10 — Témoins de connexion (cookies)

VaultLedger utilise uniquement des cookies strictement nécessaires au fonctionnement de l'application :

Cookies de session : maintien de l'authentification (JWT)
Cookies de sécurité Cloudflare : protection contre les attaques et contrôle d'accès

VaultLedger n'utilise pas de cookies de traçage, de publicité, d'analyse comportementale ni de technologies de profilage. Aucun réseau publicitaire tiers n'est intégré.

Article 11 — Mineurs

VaultLedger n'est pas destiné aux personnes mineures (moins de 18 ans). Le Développeur ne collecte pas sciemment de renseignements personnels auprès de mineurs. Si un mineur venait à participer au programme alpha, ses données seront supprimées dès que cette situation sera portée à la connaissance du Responsable.

Article 12 — Modifications de la politique

Le Développeur se réserve le droit de modifier la présente Politique à tout moment. Toute modification substantielle fera l'objet d'une notification par courriel aux Utilisateurs avec un préavis de cinq (5) jours ouvrables. La version en vigueur est toujours accessible à l'adresse : vaultledger.ca/politique-confidentialite.

Article 13 — Droit applicable

La présente Politique est régie par les lois de la province de Québec et les lois fédérales du Canada, notamment :

Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25, RLRQ, c. P-39.1)
Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE, L.C. 2000, ch. 5)
Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ, c. A-2.1)

En cas de divergence entre les versions française et anglaise (si applicable), la version française prévaut.

Article 14 — Coordonnées du RPRP

Pour toute question, demande ou plainte relative à la protection des renseignements personnels :

Responsable RPRP : Hans Bherer, Fondateur de Vault Ledger
Courriel : hbherer@vaultledger.ca
Site web : vaultledger.ca/politique-confidentialite
Province : Québec, Canada

Autorités réglementaires compétentes :

Commission d'accès à l'information (CAI) : www.cai.gouv.qc.ca / 1 888 528-7741
Commissariat à la protection de la vie privée du Canada : www.priv.gc.ca / 1 800 282-1376