NordTraxis — Conformité
Politique de confidentialité
Version 1.0 · Entrée en vigueur : 20 juin 2026 · Dernière mise à jour : 20 juin 2026
1. Qui sommes-nous ?
NordTraxisest un produit logiciel développé par Mickaël Renard (entrepreneur individuel, Québec, Canada) et livré en mode SaaS aux entreprises clientes. Chaque client dispose d'un environnement isolé hébergé sur l'infrastructure Google Firebase.
Nous agissons en qualité de sous-traitant au sens de la Loi 25 (art. 18.3) et de processorau sens de l'article 28 du RGPD pour le compte de nos clients. Les clients restent responsables du traitement des données de leurs employés.
2. Responsable de la protection des renseignements personnels (RPRP)
Conformément à l'article 8.1 de la Loi 25, NordTraxis a désigné un RPRP :
- Nom : Mickaël Renard
- Courriel : rprp@nordtraxis.com
- Voir aussi la page dédiée RPRP.
3. Quels renseignements personnels collectons-nous ?
Nous collectons les catégories suivantes :
- Identité : prénom, nom, courriel professionnel, fonction
- Identifiants techniques : UID Firebase Auth, jetons de notification (FCM)
- Authentification 2FA : secret TOTP chiffré au repos (AES-256-GCM), codes de récupération hachés SHA-256
- Données métier : inspections, signatures électroniques, défaillances, formations, allocations EPI
- Métadonnées :horodatages, événements d'audit
Nous ne collectons aucune donnée biométrique, médicale, financière, ni aucune donnée relative aux opinions politiques, religieuses ou à l'orientation sexuelle. Le produit est exclusivement professionnel — aucune donnée de mineur.
4. Pourquoi ?
Les finalités sont strictement limitées à :
- Fournir le service contracté (inspections, ISO 9001)
- Sécuriser l'accès (authentification, 2FA, audit)
- Respecter les obligations légales de conservation (ISO 9001, droit du travail)
- Améliorer le service (analytics agrégées et anonymisées uniquement)
Aucune utilisation à des fins de marketing direct, de profilage, ni de revente à des tiers.
5. Combien de temps conservons-nous les données ?
Une politique de rétention automatisée (Cloud Function quotidienne) applique les durées suivantes :
| Donnée | Durée |
|---|---|
| Inspections approuvées | 7 ans (ISO 9001) |
| Inspections en attente (abandonnées) | 365 jours |
| Défaillances fermées | 7 ans |
| Journal d'audit | 5 ans |
| Secret 2FA d'un compte désactivé | Supprimé immédiatement |
6. À qui les données sont-elles communiquées ?
NordTraxis utilise un nombre limité de sous-traitants, chacun lié par un Data Processing Agreement (DPA) :
- Google Cloud / Firebase — hébergement BDD, authentification, notifications (États-Unis, transfert encadré par SCC)
- Resend — envoi des courriels transactionnels (États-Unis, transfert encadré)
- Vercel — hébergement de la console web (États-Unis, transfert encadré)
NordTraxis ne revend ni ne loue aucune donnée personnelle.
7. Comment sécurisons-nous les données ?
- Authentification forte avec 2FA obligatoire (TOTP RFC 6238)
- Secret TOTP chiffré au repos (AES-256-GCM) avec clé hors-BDD
- Vérification 2FA server-side — le client ne voit jamais le secret
- Isolation multi-tenant stricte (Firestore Rules vérifiant le tenant à chaque opération)
- HTTPS / TLS 1.3 partout
- Chiffrement au repos (AES-256 Google Cloud)
- Journal d'audit complet (5 ans) + rétention automatisée
- Procédure formalisée de réponse aux incidents (Loi 25 art. 3.5 à 3.8) — notification CAI obligatoire en cas de fuite à risque sérieux
8. Vos droits
- Accès & portabilité (Loi 25 art. 27 / RGPD art. 15, 20) — Téléchargez une copie complète de vos données au format JSON depuis votre page Profil.
- Rectification (Loi 25 art. 28 / RGPD art. 16) — Via votre administrateur, ou par courriel au RPRP.
- Effacement / pseudonymisation (Loi 25 art. 28 / RGPD art. 17) — Procédure de pseudonymisation qui remplace votre nom par un identifiant opaque tout en préservant les inspections signées pour la traçabilité ISO 9001.
- Opposition (RGPD art. 21) — Dans la limite des obligations contractuelles avec votre employeur.
Toute demande est traitée dans un délai maximum de 30 jours (Loi 25 art. 32). Pour exercer un droit, écrivez à rprp@nordtraxis.com.
9. Pas de décision automatisée, pas de profilage
NordTraxis n'effectue aucuneprise de décision entièrement automatisée produisant des effets juridiques à l'égard d'une personne (art. 22 RGPD / art. 12.1 Loi 25), ni aucun profilage à des fins de marketing ou d'évaluation comportementale.
10. Cookies et stockage local
La console web utilise uniquement des éléments strictement nécessairesau fonctionnement (mémorisation du nom d'utilisateur, gestion de la session Firebase Auth, état du défi 2FA). Aucun cookie tiers, aucun tracker analytics, aucune publicité.
11. Recours
En cas d'insatisfaction, vous pouvez saisir l'autorité de contrôle compétente :
- Québec : Commission d'accès à l'information (CAI)
- Canada : Commissariat à la protection de la vie privée du Canada
- UE : votre autorité de contrôle nationale (CNIL en France, etc.)
12. Modifications
Toute modification substantielle de cette politique sera notifiée par courriel aux administrateurs et par bannière dans la console web, avec un délai de 30 jours avant entrée en vigueur.
Contact
Pour toute question relative à cette politique ou à vos droits : rprp@nordtraxis.com.
Document rédigé en français — version officielle. Toute traduction est fournie à titre indicatif. Le texte canonique est conservé dans le dépôt source NordTraxis (docs/security/POLITIQUE_CONFIDENTIALITE.md).