← Retour à l'accueil

Confidentialité et protection des renseignements personnels

La présente page réunit notre politique de confidentialité, notre politique de gouvernance des renseignements personnels (exigée par l'article 3.2 de la Loi 25) et les moyens d'exercer vos droits.

Entité : Civelya (NEQ 2282077348) Responsable (RAPRP) : Joshua Poirier En vigueur depuis le : 2026-04-23 Dernière mise à jour : 2026-04-23

En un coup d'œil

Qui : Civelya, entreprise individuelle québécoise, opérée par Joshua Poirier.
Quoi : Principalement le nom, le courriel, le rôle professionnel et l'activité sur nos plateformes.
Pourquoi : Opérer les plateformes de gestion municipale pour nos clients (Ville de Longueuil).
Où : Serveurs en Allemagne (Union européenne) — transfert encadré par l'article 17 de la Loi 25.
Combien de temps : Durée de la relation d'emploi + 12 mois, puis suppression.
Vos droits : Accès, rectification, suppression, portabilité, retrait du consentement — gratuits.
Contact : [email protected].

1. Qui nous sommes

Civelya est une entreprise individuelle québécoise (NEQ 2282077348) qui développe et opère des plateformes numériques de gestion pour des organismes publics. Civelya agit principalement à titre de sous-traitant au sens de l'article 18 de la Loi 25 ; le responsable des renseignements personnels demeure l'organisme qui confie les données.

Notre seul client actuel est la Ville de Longueuil, pour sa plateforme de gestion des opérations aquatiques.

2. Renseignements que nous traitons

2.1 Renseignements fournis par vous ou votre employeur

Identification : prénom, nom, adresse courriel professionnelle.
Rôle et affectation : poste, installation, horaire.
Qualifications professionnelles : brevets, dates d'expiration, formations.
Téléphone professionnel (facultatif).

2.2 Renseignements collectés automatiquement

Dates et heures de connexion.
Actions effectuées dans la plateforme (vérifications, modifications, consultations).
Adresse IP (pseudonymisée après 90 jours), agent utilisateur, type d'appareil.

2.3 Ce que nous ne collectons pas

Aucune donnée de santé.
Aucune donnée sur l'origine ethnique, les opinions politiques, les croyances religieuses.
Aucune donnée de géolocalisation précise.
Aucun cookie publicitaire ou de suivi comportemental.

3. Finalités du traitement

Vos renseignements sont utilisés uniquement pour :

Vous authentifier et sécuriser votre session.
Permettre à votre employeur de gérer qualifications, vérifications, inventaires et formations.
Vous notifier des événements vous concernant (nouvelle formation, qualification expirante).
Produire des statistiques opérationnelles agrégées.
Assurer la sécurité de la plateforme (journaux d'audit, détection d'intrusion).
Respecter nos obligations légales (Loi 25, fiscalité, etc.).

Vos renseignements ne sont jamais utilisés pour du marketing, de la publicité, du profilage commercial, de la vente à des tiers ou de l'entraînement de modèles d'intelligence artificielle.

4. Base légale

Le traitement de vos renseignements repose sur :

L'exécution d'un contrat entre votre employeur (responsable) et Civelya (sous-traitant), conforme à l'art. 18 de la Loi 25.
Votre consentement pour certains traitements optionnels (notifications non critiques, par exemple).
Nos obligations légales.

5. Destinataires

5.1 Votre employeur (responsable)

Votre employeur conserve l'accès complet à vos renseignements dans le cadre normal de la relation d'emploi.

5.2 Sous-traitants techniques de Civelya

Sous-traitant	Rôle	Localisation	Encadrement
Hetzner Online GmbH	Hébergement des serveurs	Allemagne	DPA conforme RGPD
Cloudflare, Inc.	Proxy CDN, protection WAF	Points de présence mondiaux (trafic chiffré)	DPA avec clauses renforcées
Mailjet (Sinch France)	Envoi des courriels	Union européenne	DPA conforme RGPD

5.3 Autorités publiques

Uniquement si la loi l'exige, si vous y consentez explicitement, ou si votre employeur (responsable) l'instruit.

6. Transferts hors Québec (art. 17)

Vos renseignements sont stockés en Allemagne et transitent par les points de présence mondiaux de Cloudflare (toujours chiffrés en transit).

Ces transferts sont encadrés conformément à l'article 17 de la Loi 25 :

L'Union européenne offre, selon la CAI, une protection substantiellement équivalente au Québec (RGPD).
Des clauses contractuelles renforcées encadrent le recours à Cloudflare.
La sensibilité des renseignements reste modérée.

Une analyse préalable des transferts est documentée et disponible sur demande.

7. Conservation

Catégorie	Durée
Renseignements de compte (nom, courriel, rôle)	Durée de la relation d'emploi + 12 mois
Qualifications professionnelles	Durée + 12 mois
Journaux d'audit	12 mois (IP pseudonymisées après 90 jours)
Sauvegardes	30 jours glissants
Demandes de confidentialité et leurs réponses	5 ans (obligation légale)
Registre des incidents de confidentialité	5 ans (obligation légale)

8. Sécurité

Les mesures de sécurité sont détaillées dans notre Évaluation des facteurs relatifs à la vie privée (EFVP), mise à jour au moins tous les 3 ans.

Chiffrement en transit (HTTPS obligatoire, TLS 1.2+).
Chiffrement au repos des données sensibles et des sauvegardes.
Authentification à deux facteurs obligatoire pour tous les comptes administrateur et gestionnaire.
Rotation régulière des secrets d'infrastructure.
Principe du moindre privilège (gestion des accès RBAC).
Journalisation des accès conservée 12 mois.
Pseudonymisation des adresses IP après 90 jours.
Tests de restauration annuels.
Durcissement SSH et pare-feu sur les serveurs.
Formation annuelle en protection des renseignements personnels.

9. Vos droits

Vous disposez des droits suivants sur les renseignements personnels que nous détenons à votre sujet :

Droit	Article Loi 25	Délai de réponse
Accès à vos renseignements	27	30 jours
Rectification	28	30 jours
Suppression / désindexation	28.1	30 jours
Portabilité (format structuré)	28.1	30 jours
Retrait du consentement	14	Effet immédiat
Ne pas faire l'objet d'une décision entièrement automatisée	12.1	—
Être informé des technologies d'identification ou de profilage	8.1	—

Comment exercer vos droits

Formulaire en ligne (via votre espace employé) : *.civelya.com/confidentialite/demande
Courriel : [email protected]
Via votre employeur : nous coopérerons avec son RAPRP

Une preuve d'identité peut vous être demandée. Les demandes sont gratuites, sauf si manifestement abusives ou répétitives.

Recours à la CAI

Si notre réponse ne vous satisfait pas, vous pouvez porter plainte à la Commission d'accès à l'information du Québec :

Site Web : www.cai.gouv.qc.ca
Téléphone : 418 528-7741

10. Cookies et technologies d'identification

Type	Finalité	Durée
Cookie de session	Maintenir votre session après authentification	12 heures
Cookie SSO partagé	Navigation entre nos modules sans reconnexion	12 heures
Cookie CSRF	Protection contre les attaques cross-site	Session
Préférences d'affichage	Thème clair/sombre	1 an

Aucun cookie publicitaire, de suivi tiers ou d'analyse comportementale n'est utilisé. Les cookies strictement nécessaires ne requièrent pas de consentement.

11. Incidents de confidentialité

Notre Plan de réponse aux incidents est conforme aux articles 3.5 à 3.8 de la Loi 25 :

Notification sans délai au responsable (votre employeur) ;
Notification à la CAI et à vous si un risque de préjudice sérieux est identifié, au plus tard dans les 72 heures ;
Documentation dans notre registre des incidents (conservé 5 ans).

12. Gouvernance (art. 3.2 Loi 25)

Conformément à l'article 3.2 de la Loi 25, la politique de gouvernance résumée ci-dessous est rendue publique.

12.1 Rôles et responsabilités

RAPRP : Joshua Poirier, propriétaire de Civelya, joignable à [email protected].
Personnel : signature d'une entente de confidentialité et formation initiale + annuelle obligatoires.
Sous-traitants : encadrés par contrat (DPA) avec obligations de sécurité et de confidentialité équivalentes.

12.2 Cycle de vie des renseignements

Collecte minimale → usage limité aux finalités déclarées → conservation selon calendrier → destruction définitive.

12.3 Audits et contrôle

Revue annuelle complète par le RAPRP : conformité, EFVP, registres, contrats, droits d'accès.
Audits externes acceptés à la demande des clients responsables.

12.4 Formation

Formation initiale lors de l'intégration + rappel annuel d'au moins 2 heures. Registre de formation tenu par le RAPRP.

12.5 Évaluation des facteurs relatifs à la vie privée (EFVP)

Une EFVP est menée pour chaque nouveau projet, avant tout changement substantiel, et au minimum tous les 3 ans pour chaque système en exploitation.

13. Enfants et mineurs

La plateforme Civelya s'adresse exclusivement à des adultes dans un contexte professionnel. Nous ne collectons pas sciemment de renseignements concernant des personnes de moins de 14 ans. Si cela devait survenir par erreur, les renseignements seront supprimés sans délai.

14. Modifications

La présente politique peut être modifiée pour refléter des changements législatifs, techniques ou opérationnels. Toute modification sera publiée sur cette page, datée, et annoncée par courriel aux utilisateurs actifs en cas de changement substantiel. Les versions antérieures sont archivées au minimum 5 ans.

Pour nous joindre ou exercer vos droits

Joshua Poirier — Propriétaire de Civelya et responsable de la protection des renseignements personnels

Courriel : [email protected]

NEQ : 2282077348

Nous nous engageons à répondre à toute demande formelle dans les 30 jours.