Politique de confidentialité
Dernière mise à jour : [date de lancement]
Version : 2.0 — Entrée en vigueur : [date de lancement] — Conforme à la Loi sur la protection des renseignements personnels dans le secteur privé (Loi 25, L.Q. 2021, c. 25) et à la LPRPDE (L.C. 2000, c. 5).
1. Identité du responsable et coordonnées
Organisme responsable : Groupe Riferr inc. (exploitant la plateforme Riferr) — Montréal (Québec) Canada
Responsable de la protection des renseignements personnels (RPRP) : Louis Anglaret, cofondateur
Courriel dédié : confidentialite@riferr.ca
Ce courriel est réservé exclusivement aux demandes relatives à la protection des renseignements personnels. En vertu de l'article 3.1 de la Loi sur la protection des renseignements personnels dans le secteur privé, tout organisme doit désigner une personne responsable de la protection des renseignements personnels. Cette désignation est publiquement accessible via la présente politique.
2. Portée de la présente politique
La présente politique s'applique à l'ensemble des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits par Riferr dans le cadre de l'exploitation de la plateforme, qu'il s'agisse de renseignements fournis directement par les Utilisateurs ou collectés automatiquement. Elle s'applique aux Clients, aux Prestataires, aux visiteurs non inscrits du site web, ainsi qu'aux personnes ayant soumis une candidature au programme Membre fondateur ou toute autre demande pré-lancement.
3. Renseignements personnels collectés
3.1 Renseignements fournis directement
a) Informations de compte (tous Utilisateurs) — Prénom, nom de famille, adresse courriel, numéro de téléphone, adresse postale, date de naissance (aux fins de vérification de l'âge légal), photo de profil.
b) Informations d'identité professionnelle (Prestataires uniquement) — Pièce d'identité officielle (passeport, permis de conduire, carte d'identité), numéro d'entreprise (NEQ) le cas échéant, numéro de TPS/TVQ, documents professionnels pertinents (licences RBQ, CCQ ou autres), résultats de vérification d'antécédents judiciaires fournis par notre partenaire accrédité.
Note : Riferr ne collecte le numéro d'assurance sociale (NAS) qu'aux fins de production de feuillets de renseignements fiscaux (T4A) lorsque la législation fiscale l'exige et uniquement pour les Prestataires dont les revenus annuels via la plateforme atteignent le seuil légal applicable. Cette collecte est soumise à un consentement exprès et séparé.
c) Informations transactionnelles — Historique des missions, montants des transactions, évaluations soumises et reçues, litiges ouverts et leur résolution.
d) Communications — Messages échangés via la messagerie intégrée, signalements de comportements abusifs, demandes de support adressées à l'équipe Riferr, soumissions de litige.
e) Formulaires de pré-inscription — Prénom, adresse courriel, statut (Client ou Prestataire), spécialité déclarée (Prestataires).
3.2 Renseignements collectés automatiquement
a) Données de localisation — Position géographique approximative (issue de l'adresse IP) pour tous les visiteurs. Position GPS précise pour les Utilisateurs de l'application mobile, uniquement avec leur consentement explicite et révocable, aux fins de géolocalisation des Prestataires disponibles et de suivi en temps réel de la mission.
b) Données techniques et d'utilisation — Adresse IP, type et version de navigateur, système d'exploitation, type et identifiant d'appareil (IDFA/GAID), pages visitées, fonctionnalités utilisées, durée et fréquence des sessions, liens cliqués, horodatages des connexions, données de performance (temps de chargement, erreurs).
c) Cookies et traceurs — Voir l'article 10 de la présente politique.
3.3 Renseignements reçus de tiers
a) Stripe : données de confirmation de transaction, statut du moyen de paiement, alertes de fraude. Riferr ne reçoit jamais de numéros de carte complets.
b) Stripe Identity : résultat de la vérification (approuvé/refusé) et niveau de risque associé.
c) Partenaire de vérification d'antécédents : résultat agrégé de la vérification, sans transmission du rapport détaillé à Riferr sauf dans les cas expressément prévus par la loi.
d) HUB International Québec limitée : informations relatives à la gestion des sinistres, dans la limite strictement nécessaire au traitement de chaque dossier.
4. Finalités et bases légales du traitement
| Finalité du traitement | Base légale | Obligatoire ? |
|---|---|---|
| Création et gestion de votre compte | Exécution du contrat — art. 12 Loi 25 | Oui |
| Vérification d'identité et d'antécédents (Prestataires) | Exécution du contrat / Intérêt légitime | Oui |
| Mise en relation Client-Prestataire et algorithme de matching | Exécution du contrat | Oui |
| Traitement des paiements et gestion financière | Exécution du contrat | Oui |
| Géolocalisation en temps réel (app mobile) | Consentement explicite — art. 12 Loi 25 | Non (opt-in) |
| Gestion des litiges et activation de Riferr Protect™ | Exécution du contrat / Intérêt légitime | Oui |
| Notifications transactionnelles de service | Exécution du contrat | Oui |
| Communications marketing et promotionnelles | Consentement explicite (opt-in) | Non |
| Analyse d'utilisation et amélioration du service | Intérêt légitime — art. 12 Loi 25 | Non (opt-out) |
| Production de feuillets fiscaux (T4A) | Obligation légale | Oui (si seuil atteint) |
| Prévention de la fraude et sécurité de la plateforme | Intérêt légitime | Oui |
| Conformité aux obligations légales et judiciaires | Obligation légale | Oui |
5. Décisions automatisées
Riferr utilise des algorithmes pour : (i) apparier les Clients avec des Prestataires disponibles selon des critères de proximité, de disponibilité, de spécialité et d'évaluation ; (ii) évaluer la conformité des profils Prestataires lors de l'inscription ; (iii) détecter les comportements potentiellement frauduleux.
Ces traitements peuvent avoir des effets significatifs sur les Utilisateurs (ex. : refus d'accès au statut de Prestataire, modulation de la visibilité dans les résultats). Tout Utilisateur concerné peut demander une révision humaine de toute décision fondée exclusivement sur un traitement automatisé en contactant notre RPRP à confidentialite@riferr.ca.
6. Communication de renseignements à des tiers
Riferr ne vend, ne loue ni ne cède à titre commercial les renseignements personnels de ses Utilisateurs à des tiers. Nous pouvons communiquer vos renseignements dans les cas suivants :
a) Partenaires de service (sous-traitants)
Les tiers auxquels Riferr fait appel pour traiter des renseignements personnels pour son compte (hébergement, paiements, vérification d'identité, analyse d'audience) sont liés par des ententes de traitement des données conformes à la Loi 25, limitant leur usage aux finalités strictement nécessaires.
| Prestataire | Finalité | Pays d'hébergement |
|---|---|---|
| Stripe Payments Canada | Traitement des paiements | Canada / États-Unis |
| HUB International Québec limitée | Couverture Riferr Protect™ | Canada |
| Certn | Vérification d'antécédents judiciaires | Canada |
| Stripe Identity | Vérification d'identité (KYC) | Canada / États-Unis |
| Google Cloud (northamerica-northeast1) | Infrastructure et authentification | Canada |
| Plausible Analytics | Analyse d'audience | Union européenne |
b) Transferts hors Québec
Avant de communiquer des renseignements personnels à un tiers situé à l'extérieur du Québec, Riferr procède à une évaluation des facteurs relatifs à la vie privée (EFVP) conformément à l'article 17 de la Loi 25, afin de s'assurer que le tiers offre un niveau de protection adéquat. Des clauses contractuelles types sont intégrées aux contrats avec les sous-traitants établis aux États-Unis ou dans tout autre pays n'offrant pas un niveau de protection équivalent à celui du Québec.
c) Autorités légales
Riferr peut communiquer des renseignements personnels aux autorités compétentes lorsqu'elle y est légalement contrainte par une loi, une ordonnance judiciaire ou une injonction. Dans toute la mesure permise par la loi, Riferr s'efforce d'informer l'Utilisateur concerné avant de procéder à une telle communication.
d) Acquisition ou restructuration d'entreprise
En cas de fusion, acquisition, cession d'actifs ou restructuration de Riferr, les renseignements personnels peuvent être transférés à l'entité successeure, sous réserve que celle-ci s'engage à respecter la présente politique de confidentialité. Les Utilisateurs seront informés de tout tel transfert.
7. Durées de conservation
Riferr conserve les renseignements personnels aussi longtemps que nécessaire aux finalités pour lesquelles ils ont été collectés, ou selon les délais imposés par la loi :
| Catégorie de renseignements | Durée de conservation | Justification légale |
|---|---|---|
| Données de compte actif | Durée de la relation + 1 an | Clôture et contestation du compte |
| Données transactionnelles et financières | 7 ans après la transaction | Loi sur les impôts, L.R.Q. c. I-3 |
| Données de localisation GPS | 90 jours après la mission | Litiges et réclamations |
| Pièces d'identité et antécédents (Prestataires) | Durée du compte + 3 ans | Litiges et réclamations |
| Communications (messagerie, support) | 3 ans après la dernière interaction | Litiges |
| Données de pré-inscription (formulaire) | 2 ans ou jusqu'à conversion | Consentement |
| Journaux d'audit et de sécurité | 12 mois | Sécurité de la plateforme |
| Données de navigation et cookies analytiques | 13 mois | Recommandation CNIL / CAI |
À l'expiration de ces délais, les renseignements sont détruits de manière sécuritaire (suppression irréversible) ou anonymisés de façon à ne plus permettre l'identification des personnes concernées.
8. Vos droits
Conformément à la Loi sur la protection des renseignements personnels dans le secteur privé (Loi 25) et à la LPRPDE, vous bénéficiez des droits suivants :
a) Droit d'accès (art. 27 Loi 25)
Vous pouvez obtenir une copie des renseignements personnels que nous détenons à votre sujet, ainsi que des informations sur leur origine, les fins auxquelles ils servent et les tiers à qui ils ont été communiqués.
b) Droit de rectification (art. 28 Loi 25)
Vous pouvez exiger la correction de tout renseignement inexact, incomplet ou équivoque, ou la suppression d'un renseignement qui n'aurait pas dû être collecté.
c) Droit de retrait du consentement
Vous pouvez retirer votre consentement à tout traitement fondé sur le consentement à tout moment, sans que cela n'affecte la légalité des traitements effectués avant le retrait. Le retrait peut rendre certaines fonctionnalités de la plateforme indisponibles.
d) Droit à l'effacement (désindexation)
Sous réserve des obligations légales de conservation, vous pouvez demander la suppression de vos renseignements lorsque ceux-ci ne sont plus nécessaires aux fins pour lesquelles ils ont été collectés.
e) Droit à la portabilité (art. 27 Loi 25, depuis sept. 2023)
Vous pouvez demander la communication de vos renseignements personnels informatisés que vous nous avez fournis dans un format technologique structuré et couramment utilisé, ou leur transfert direct à un autre responsable de traitement.
f) Droit d'opposition et de limitation
Vous pouvez vous opposer au traitement de vos renseignements fondé sur l'intérêt légitime de Riferr ou demander la limitation de leur utilisation dans certaines circonstances.
g) Droit à la révision des décisions automatisées
Voir article 5.
Exercice de vos droits
Adressez votre demande écrite, accompagnée d'une pièce justificative d'identité, à : confidentialite@riferr.ca
Riferr accusera réception dans les 5 jours ouvrables et répondra à votre demande dans un délai de 30 jours conformément à la Loi 25. Ce délai peut être prolongé de 30 jours supplémentaires pour les demandes complexes, moyennant notification préalable.
En cas de refus total ou partiel, nous vous transmettrons les motifs par écrit. Vous conservez le droit de contester notre décision auprès de la Commission d'accès à l'information du Québec (CAI).
9. Sécurité des renseignements
Riferr met en œuvre des mesures de sécurité techniques, administratives et physiques appropriées au niveau de risque associé au traitement, incluant notamment :
- Chiffrement des données en transit via le protocole TLS 1.2 ou supérieur ;
- Chiffrement des données sensibles au repos (AES-256 ou équivalent) ;
- Contrôle d'accès fondé sur le principe du moindre privilège ;
- Authentification à deux facteurs (2FA) pour tous les accès administratifs ;
- Journalisation des accès aux données sensibles et surveillance des anomalies ;
- Tests de pénétration réguliers et revue périodique des politiques de sécurité ;
- Procédures de réponse aux incidents documentées.
Incidents de confidentialité
En cas d'incident susceptible de causer un préjudice sérieux à une ou plusieurs personnes, Riferr s'engage à : (i) informer la Commission d'accès à l'information (CAI) dans les délais prévus à l'article 3.5 de la Loi 25 ; (ii) notifier les personnes concernées avec toute la diligence requise en leur communiquant la nature de l'incident, les renseignements touchés, les mesures prises et les démarches qu'elles peuvent entreprendre pour se protéger.
10. Cookies et technologies similaires
10.1 Catégories de cookies
a) Cookies strictement nécessaires — Indispensables au fonctionnement technique de la plateforme (gestion de session, authentification, panier de réservation). Leur désactivation rend la plateforme inutilisable. Ne requièrent pas de consentement.
b) Cookies analytiques et de mesure d'audience — Riferr utilise Plausible Analytics, un outil d'analyse d'audience sans cookie et sans collecte de données personnelles. Aucun consentement n'est requis pour cette analyse. Aucune donnée identifiable n'est transmise à Plausible Analytics.
c) Cookies de personnalisation et préférences — Mémorisent vos choix (langue, ville préférée, paramètres d'affichage). Activés avec votre consentement.
d) Cookies marketing et de retargeting — Le cas échéant, permettent l'affichage de publicités personnalisées sur des plateformes tierces. Activés uniquement avec votre consentement exprès et distinct.
10.2 Gestion de vos préférences
Un bandeau de gestion des consentements est affiché lors de votre première visite sur le site. Vous pouvez modifier vos préférences à tout moment via l'icône de gestion des cookies accessible dans le pied de page. Les cookies de personnalisation et marketing sont désactivés par défaut jusqu'à votre consentement actif.
11. Mineurs
La plateforme Riferr est strictement réservée aux personnes âgées de 18 ans et plus. Riferr ne collecte pas sciemment de renseignements personnels concernant des mineurs. Si un parent ou tuteur légal constate qu'un mineur a fourni des renseignements personnels à Riferr, il doit nous contacter sans délai à confidentialite@riferr.ca afin que ces renseignements soient supprimés.
12. Modifications de la présente politique
Riferr se réserve le droit de modifier la présente politique à tout moment. Toute modification substantielle — notamment celle affectant vos droits, les finalités du traitement ou les tiers à qui vos renseignements sont communiqués — fera l'objet d'une notification par courriel au moins 30 jours avant son entrée en vigueur. La version en vigueur est toujours accessible à l'adresse riferr.ca/politique-confidentialite avec sa date de mise à jour.
13. Contact et recours
Pour exercer vos droits ou toute question :
Responsable de la protection des renseignements personnels
Courriel : confidentialite@riferr.ca
Pour déposer une plainte :
Si vous estimez que Riferr n'a pas traité votre demande de manière satisfaisante, vous pouvez saisir :
- Commission d'accès à l'information du Québec (CAI) — Site : cai.gouv.qc.ca — Téléphone : 1-888-528-7741
- Commissariat à la protection de la vie privée du Canada (CPVP) (pour les matières de compétence fédérale) — Site : priv.gc.ca