La présente Politique de confidentialité (la « Politique ») décrit la manière dont le Fondateur de Hadalos (le « Responsable traitement ») collecte, utilise, conserve et protège les renseignements personnels des participants au programme alpha (les « Utilisateurs »).
Cette Politique est rédigée en conformité avec la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (ci-après « Loi 25 », RLRQ, c. P-39.1) et la Loi sur la protection des renseignements personnels et les documents électroniques (ci-après « LPRPDE », L.C. 2000, ch. 5).
En vertu de la Loi 25, le Responsable du traitement assume la fonction de Responsable de la protection des renseignements personnels (RPRP) et est l'interlocuteur désigné pour toute demande relative aux droits des personnes concernées.
Hadalos applique le principe de minimisation des données : seuls renseignements strictement nécessaires au fonctionnement de l'application sont collectés. Aucune donnée n'est collectée à des fins publicitaires ou de monétisation et ce, de manière structurelle, non pas seulement contractuelle.
| Catégorie | Données collectées | Finalité |
|---|---|---|
| Identité | Prénom, nom de famille | Identification dans les groupes et invitations |
| Contact | Adresse courriel | Authentification, notifications, invitations |
| Sécurité | Mot de passe (haché Argon2id) | Authentification sécurisée |
| Session | Empreinte (hash SHA-256) d'un jeton de session | Maintien de session authentifiée (le JWT n'est pas stocké) |
| Identifiant social (optionnel) | socialId — identifiant OAuth (Google / Facebook / Apple) | Authentification via fournisseur tiers (si utilisé) |
| Données financières | Comptes, transactions, écritures comptables | Service principal de gestion financière |
| Groupes | Appartenance aux groupes, rôle RBAC | Gestion des droits d'accès |
| Rétroaction | Commentaires et signalements (si transmis) | Amélioration du produit |
extractSessionMetadata) et stockés dans la collection sessions pour la gestion multi-appareils et la détection d'activité suspecte.Hadalos ne collecte pas et n'a pas accès aux données suivantes :
| Finalité | Base juridique (Loi 25) | Détail |
|---|---|---|
| Authentification et sécurité du compte | Consentement / Exécution du service | Gestion des sessions, JWT, vérification courriel |
| Fourniture du service comptable | Exécution du service | Gestion des comptes, transactions, grand livre |
| Communications transactionnelles | Exécution du service | Invitations, transfert de propriété, réinitialisation |
| Journal d'audit immuable | Intérêt légitime (sécurité) | Intégrité et traçabilité des opérations |
| Amélioration du produit | Consentement | Uniquement via rétroaction volontaire |
Aucun traitement de données à des fins de marketing, de profilage ou de publicité n'est effectué en phase alpha ou dans les phases subséquentes.
L'Utilisateur consent expressément au traitement de ses renseignements personnels en cochant la case d'acceptation lors de l'inscription. L'horodatage exact de cette acceptation est enregistré au moment du clic (champ policyAcceptedAt), constituant une preuve électronique du consentement. Ce consentement est spécifique (finalités définies), éclairé (informations claires fournies) et librement donné (aucune pression commerciale).
L'Utilisateur peut retirer son consentement à tout moment en adressant une demande écrite au RPRP à l'adresse : privacy@hadalos.com. Le retrait du consentement entraîne la cessation du service et la suppression des données selon les modalités décrites à l'Article 7.
La base de données est hébergée au Canada (Azure Canada Central, Toronto). Le backend applicatif est hébergé aux États-Unis (Google Cloud Run, région us-east1 — Caroline du Sud). Ce transfert de données en dehors du territoire canadien est divulgué conformément aux exigences de la Loi 25 et de la LPRPDE. Les fournisseurs concernés sont soumis à des engagements contractuels de protection des données conformes à ces exigences.
| Composante | Fournisseur | Région / Localisation |
|---|---|---|
| Application (backend) | Google Cloud Run | us-east1 (Caroline du Sud, États-Unis) |
| Base de données | MongoDB Atlas | Azure Canada Central (Toronto) |
| Courriels transactionnels | SMTP via NestJS | Fournisseur à préciser selon config. déploiement |
| Site vitrine | Cloudflare Pages | CDN mondial contenu statique uniquement |
Hadalos fait appel aux fournisseurs d'infrastructure listés ci-dessus. Ces tiers agissent à titre de sous-traitants techniques et n'ont pas accès aux données financières de l'Utilisateur. Ils sont sélectionnés sur la base de leur conformité aux standards de sécurité (ISO 27001, SOC 2) et de leur engagement contractuel envers la protection des données. Hadalos ne vend, ne loue ni ne partage les renseignements personnels des Utilisateurs avec des tiers à des fins commerciales ou publicitaires.
Hadalos applique des principes de sécurité par conception : les réponses API ne révèlent pas l'existence ou la non-existence d'un compte ou d'un groupe à un tiers non autorisé.
En phase alpha, certaines mesures de sécurité destinées à l'environnement de production (pentest, audit externe, SOC 2, surveillance continue) ne sont pas encore en place. L'Utilisateur en est informé et assume ce risque en participant au programme.
| Droit | Délai de réponse | Modalités |
|---|---|---|
| Accès à ses données | 30 jours calendriers | Demande écrite par courriel au RPRP |
| Rectification | 30 jours calendriers | Directement dans le profil ou par demande |
| Suppression (droit à l'effacement) | 30 jours calendriers | Demande écrite de suppression totale des données |
| Portabilité | Délai raisonnable | Export en format structuré (CSV/JSON) |
| Opposition / Retrait du consentement | Immédiat | Suspension de l'accès et suppression |
| Information sur les incidents | 72 heures (Loi 25) | Notification par courriel si incident grave |
Pour exercer l'un de ces droits, adressez une demande écrite au RPRP à privacy@hadalos.com avec l'objet : « Demande | Droits vie privée | Hadalos ». Le Responsable accusera réception dans cinq (5) jours ouvrables et apportera une réponse complète dans trente (30) jours calendriers.
Si vous estimez que vos droits n'ont pas été respectés, vous pouvez déposer une plainte auprès de la Commission d'accès à l'information du Québec (CAI) ou du Commissariat à la protection de la vie privée du Canada (CPVP).
| Type de donnée | Durée de conservation | Justification |
|---|---|---|
| Transactions et données financières | 7 ans | Obligation fiscale et comptable (LIR, art. 230) |
| Groupes, comptes, membres | 3 ans après fermeture | Prescription civile générale (CCQ, art. 2925) |
| Journaux d'audit (audit trail) | 2 ans | Détection de fraude et forensics |
| Statistiques agrégées de sessions | 90 jours | Analyse de performance — données non personnelles |
| Données après suppression du compte | Maximum 30 jours | Suppression complète garantie |
| Registre d'incidents de sécurité | Durée requise par Loi 25 | Obligation réglementaire (art. 90.3) |
À la clôture du programme alpha ou sur demande de suppression, les données personnelles de l'Utilisateur sont effacées de manière sécurisée de l'ensemble des systèmes, incluant les sauvegardes actives, dans un délai maximal de trente (30) jours. Les journaux d'incidents de sécurité peuvent être conservés dans la mesure requise par la loi, sous forme anonymisée.
En cas d'incident de confidentialité présentant un risque sérieux de préjudice, le Responsable du traitement :
Un registre des incidents est maintenu conformément à l'article 90.3 de la Loi sur l'accès (Loi 25). Il contient la description de l'incident, les renseignements touchés, les causes, les mesures correctives et les personnes concernées.
Hadalos n'utilise pas de cookies pour l'authentification. Les jetons d'accès (JWT) sont transmis exclusivement via l'en-tête HTTP Authorization: Bearer et stockés côté client uniquement. Seul le hash SHA-256 du jeton de session est conservé en base de données à des fins de gestion multi-appareils.
Hadalos n'intègre aucun réseau publicitaire, outil d'analyse comportementale ni technologie de suivi tiers.
Hadalos n'est pas destiné aux personnes mineures (moins de 18 ans). Le Développeur ne collecte pas sciemment de renseignements personnels auprès de mineurs. Si un mineur venait à participer au programme alpha, ses données seront supprimées dès que cette situation sera portée à la connaissance du Responsable.
Le Développeur se réserve le droit de modifier la présente Politique à tout moment. Toute modification substantielle fera l'objet d'une notification par courriel aux Utilisateurs avec un préavis de cinq (5) jours ouvrables. La version en vigueur est toujours accessible à l'adresse : hadalos.com/privacy-policy.
La présente Politique est régie par les lois de la province de Québec et les lois fédérales du Canada, notamment :
En cas de divergence entre les versions française et anglaise (si applicable), la version française prévaut.
Pour toute question, demande ou plainte relative à la protection des renseignements personnels :
Autorités réglementaires compétentes :
© 2026 Hadalos. Tous droits réservés.
Document confidentiel | Programme Alpha interne fermé | Loi 25 / LPRPDE