Hurbin (« nous ») accorde une grande importance à la protection des renseignements personnels. La présente politique décrit comment nous recueillons, utilisons, communiquons et protégeons les renseignements personnels dans le cadre de la plateforme Hurbin, conformément à la Loi sur la protection des renseignements personnels dans le secteur privé et à la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) du Québec.
1. Responsable de la protection des renseignements personnels (RPRP)
Conformément à la Loi 25, nous avons désigné un responsable de la protection des renseignements personnels :
- Nom : [À DÉSIGNER — nom du RPRP]
- Courriel : [email protected]
Toute question ou demande relative à vos renseignements personnels peut être adressée à ce responsable.
2. Renseignements personnels que nous recueillons
- Identité et compte : nom, adresse courriel, rôle, municipalité de rattachement, téléphone (facultatif).
- Données de connexion : adresse IP, type d'appareil, navigateur, horodatage des connexions.
- Données municipales : données importées par votre municipalité (budgets, voirie, etc.) — celles-ci appartiennent à la municipalité.
- Journaux d'activité : actions sensibles (connexion, import, modification de permissions) à des fins de sécurité et d'audit.
3. Finalités de la collecte
- Fournir et sécuriser l'accès à la plateforme.
- Authentifier les utilisateurs (incluant la vérification à deux facteurs).
- Détecter et prévenir les accès non autorisés.
- Respecter nos obligations légales et contractuelles.
4. Consentement
En créant un compte, vous consentez à la collecte et à l'utilisation de vos renseignements aux fins décrites ci-dessus. Vous pouvez retirer votre consentement en tout temps en supprimant votre compte (voir section 8), sous réserve de nos obligations légales de conservation.
5. Communication à des tiers (sous-traitants)
Nous faisons appel à des fournisseurs qui peuvent traiter certains renseignements pour notre compte :
- Resend (envoi de courriels transactionnels) — adresse courriel.
- Leaseweb (hébergement, datacenter au Québec/Canada) — ensemble des données hébergées.
- OpenAI (suggestion de correspondance lors d'import, le cas échéant) — en-têtes de colonnes et échantillons de données, jamais de données nominatives.
Nous ne vendons jamais vos renseignements personnels.
6. Hébergement et lieu de conservation
Les données sont hébergées sur une infrastructure dédiée chez Leaseweb, avec conservation au Canada. Aucun transfert des données municipales hors du Canada n'est effectué sans évaluation préalable, conformément à la Loi 25.
7. Durée de conservation
- Données de compte : conservées tant que le compte est actif, puis jusqu'à 12 mois après la fermeture.
- Codes de vérification (OTP) : supprimés après 7 jours.
- Journaux d'audit de sécurité : conservés jusqu'à 24 mois (obligation de sécurité).
- Données municipales : conservées selon le contrat avec la municipalité.
8. Vos droits
Conformément à la Loi 25, vous disposez des droits suivants, exerçables depuis la section Mon compte → Mes données personnelles :
- Droit d'accès et de portabilité : télécharger l'ensemble de vos données en format structuré (JSON).
- Droit de rectification : corriger vos renseignements depuis votre profil.
- Droit à l'effacement : demander la suppression/anonymisation de votre compte.
- Droit de retrait du consentement : à tout moment.
9. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles : chiffrement TLS, authentification à deux facteurs, contrôle d'accès par rôles, journalisation, pare-feu, détection d'intrusion et sauvegardes régulières.
10. Témoins (cookies)
Nous utilisons uniquement des témoins strictement nécessaires au fonctionnement (session d'authentification). Aucun témoin publicitaire ou de pistage tiers n'est utilisé.
11. Incidents de confidentialité
En cas d'incident de confidentialité présentant un risque de préjudice sérieux, nous en aviserons la Commission d'accès à l'information (CAI) et les personnes concernées, et tiendrons un registre des incidents conformément à la Loi 25.
12. Modifications
Cette politique peut être mise à jour. La version et la date en tête de page indiquent la dernière révision. Les modifications importantes seront communiquées aux utilisateurs.
13. Plaintes
Si vous estimez que vos droits ne sont pas respectés, vous pouvez communiquer avec notre RPRP (section 1) ou déposer une plainte auprès de la Commission d'accès à l'information du Québec.