Politique de confidentialité

1. Responsable du traitement

Commerce CERDIA inc. exploite C-Secur360, une plateforme SaaS de sécurité industrielle (AST, permis, inspections, planification). Pour toute question relative à vos renseignements personnels, écrivez à confidentialite@cerdia.ai.

2. Responsable de la protection des renseignements personnels

Conformément à la Loi 25, la personne responsable de la protection des renseignements personnels est Eric Dufort. Vous pouvez la joindre à confidentialite@cerdia.ai pour exercer vos droits ou signaler un incident.

3. Renseignements collectés

Compte (nom, courriel, rôle), données d'utilisation des modules (formulaires AST, permis, inspections, feuilles de temps), données de démonstration (nom et courriel fournis volontairement), et données techniques (journaux, adresse IP) nécessaires au fonctionnement et à la sécurité du service.

4. Finalités

Fourniture du service, activation et suivi des démonstrations, sécurité et prévention de la fraude, conformité légale et réglementaire, facturation, et amélioration de la plateforme. Aucune vente de renseignements personnels.

5. Cloisonnement multi-locataire

Les données de chaque organisation (tenant) sont isolées. Les assistants IA n'accèdent à aucune donnée client réelle.

6. Sous-traitants et communication hors Québec

Pour fournir le service, nous faisons appel à des fournisseurs qui peuvent traiter ou héberger des renseignements à l’extérieur du Québec (principalement aux États-Unis). Avant toute communication, nous évaluons le caractère adéquat de la protection offerte et encadrons ces communications par contrat.

7. Conservation et destruction

Les renseignements sont conservés le temps nécessaire aux finalités ci-dessus et aux obligations légales, puis détruits ou anonymisés. En particulier :

• Sessions de connexion (incluant l’adresse IP et l’appareil) : supprimées au plus tard 30 jours après leur expiration.
• Données de démonstration : la finalité d’essai étant temporaire, les renseignements (nom, courriel, téléphone) sont anonymisés au plus tard 90 jours après la fin de la démo.
• Pièces comptables et de facturation : conservées le délai légal applicable (généralement 6 ans).
• Rapports d’incident et d’accident du travail : conservés conformément aux obligations légales (notamment en matière de santé et sécurité du travail), puis détruits.

8. Vos droits et comment les exercer

Vous disposez des droits d’accès, de rectification, de retrait du consentement, de portabilité et, le cas échéant, de suppression. Si vous avez un compte, vous pouvez les exercer directement en libre-service depuis le menu « Mes renseignements (Loi 25) » : export immédiat de vos données en format structuré (JSON) et dépôt d’une demande. Sinon, écrivez à confidentialite@cerdia.ai. Nous répondons dans un délai de 30 jours. Vous pouvez aussi porter plainte auprès de la Commission d’accès à l’information du Québec.

9. Sécurité

Mots de passe chiffrés (bcrypt), sessions sécurisées (cookies httpOnly), connexions chiffrées (HTTPS/HSTS) et accès restreint par rôle.

10. Témoins (cookies)

Seuls des témoins strictement nécessaires (session, sécurité) sont utilisés. Aucun traceur publicitaire ni analytique tiers. En cas d'ajout d'outils d'analyse, un consentement préalable sera demandé.

11. Traitements par intelligence artificielle et décisions automatisées

Certaines fonctions utilisent l’IA (ex. analyse diagnostique d’huile de transformateur, assistance, classement de documents). Ces traitements produisent des recommandations revues par une personne; ils ne constituent pas une décision exclusivement automatisée ayant un effet juridique sur un individu. Nous appliquons la minimisation : aucun identifiant de client réel n’est transmis aux modèles d’IA pour l’analyse. Vous pouvez demander des renseignements sur la logique d’un traitement vous concernant et obtenir une révision humaine en écrivant à confidentialite@cerdia.ai.

12. Géolocalisation

Certains modules peuvent enregistrer une position géographique (ex. adresse d’un chantier, coordonnées GPS jointes à une photo) lorsque vous l’ajoutez ou autorisez l’accès à la localisation de votre appareil. La recherche d’adresses utilise Google Maps. La géolocalisation précise n’est captée qu’avec votre autorisation, au niveau de l’appareil, et sert uniquement aux finalités du module.

13. Incident de confidentialité

Nous tenons un registre des incidents de confidentialité. En cas d’incident présentant un risque de préjudice sérieux, nous en avisons avec diligence la Commission d’accès à l’information du Québec et les personnes concernées, conformément à la Loi 25, et prenons les mesures pour en réduire les effets et éviter la récurrence.

14. Documents et renseignements hébergés par les organisations clientes

C-Secur360 est offert à des organisations (locataires). Lorsqu’une organisation téléverse ou produit des documents et renseignements dans son espace (ex. dossiers RH, rapports d’incident, pièces jointes), cette organisation en demeure responsable à titre de responsable du traitement : licéité de la collecte, exactitude, durée de conservation, droits d’accès internes et caractère approprié des renseignements (notamment les renseignements sensibles, médicaux ou relatifs à la santé). C-Secur360 agit alors comme fournisseur (mandataire/sous-traitant) : nous hébergeons et sécurisons ces données, les traitons uniquement selon les instructions de l’organisation et aux fins de la prestation du service, sans les utiliser à d’autres fins. Il appartient à l’organisation de ne déposer que les renseignements nécessaires et légalement justifiés, et d’en restreindre l’accès aux personnes autorisées.