Politique de confidentialité

Date d'entrée en vigueur : 23 février 2026  ·  Entreprise : Infra Info

Cette politique de confidentialité est publiée en conformité avec la Loi sur la protection des renseignements personnels dans le secteur privé (R.L.R.Q. c. P-39.1), telle que modifiée par la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, L.Q. 2021, c. 25).

1. Personne responsable de la protection des renseignements personnels

Conformément à l'article 3.1 de la Loi, Infra Info a désigné une personne responsable de la protection des renseignements personnels :

Nom Carl Boyer — PDG
Courriel cboyer@infrainfo.ca
Téléphone +1450-543-1516
Adresse 13405 Rue Claude,
Mirabel, QC J7J 1A4
Canada

2. Renseignements personnels que nous collectons

Nous collectons uniquement les renseignements personnels strictement nécessaires à l'exploitation de ce service :

  • Identifiants de compte : adresse courriel et nom affiché des opérateurs, utilisateurs du portail et contacts.
  • Données d'authentification : mots de passe hachés (bcrypt). Nous ne stockons jamais les mots de passe en clair.
  • Horodatages d'activité : date de dernière connexion, date de dernière activité et entrées du journal d'audit (type d'action, acteur, cible, horodatage) à des fins de sécurité et de conformité.
  • Journaux d'accès au serveur : adresses IP, méthode de requête HTTP, URL, code de réponse et horodatage. Ces journaux sont conservés par le serveur web à des fins de surveillance de la sécurité.

Nous ne collectons pas le contenu des fichiers. Tous les fichiers transférés via cette plateforme sont chiffrés de bout en bout avec AES-256-GCM à l'aide d'une clé dérivée d'un mot de passe connu uniquement de l'expéditeur et du destinataire. Le serveur ne stocke que du texte chiffré — il nous est techniquement impossible de lire vos fichiers.

3. Fins de collecte

Les renseignements personnels sont collectés exclusivement aux fins suivantes :

  1. Créer, gérer et authentifier les comptes d'utilisateurs.
  2. Envoyer des notifications liées aux transferts de fichiers (téléversement reçu, téléchargement prêt, avertissements d'expiration).
  3. Détecter, enquêter et répondre aux incidents de sécurité, aux abus ou aux accès non autorisés.
  4. Respecter les obligations légales et réglementaires applicables.

Les renseignements personnels ne sont jamais utilisés à des fins publicitaires, de profilage, de marketing, ni vendus à des tiers.

4. Base légale de la collecte

Collection is based on the consent implicit in the voluntary creation of an account (s. 14 of the Act), or on legitimate and serious business reasons (s. 12 of the Act) in the context of a contractual relationship with the enterprise administering this service.

5. Communication aux tiers

Nous ne vendons pas, ne louons pas et n'échangeons pas de renseignements personnels à des tiers. Des informations peuvent être divulguées :

  • À notre fournisseur de service d'envoi de courriels (seul tiers), limité à l'adresse courriel du destinataire et au contenu nécessaire à l'envoi des notifications. Ce fournisseur est contractuellement tenu d'utiliser les informations uniquement à des fins de livraison.
  • Aux autorités policières ou réglementaires lorsque la loi l'exige, en vertu d'une ordonnance judiciaire ou d'une loi applicable.

6. Transferts transfrontaliers

Si des renseignements personnels sont transférés hors du Québec (p. ex. à un fournisseur d'infrastructure infonuagique situé hors de la province), ce transfert est effectué en conformité avec les articles 17 et 70.1 de la Loi : une évaluation des facteurs relatifs à la vie privée est réalisée et une entente assurant une protection équivalente est en place avant tout transfert. Communiquez avec la personne responsable identifiée à la section 1 pour tout renseignement sur un transfert précis.

7. Conservation et destruction

  • Fichiers transférés : supprimés automatiquement et de manière permanente après 7 jour(s) à compter de la date de transfert (ou plus tôt si le destinataire confirme le téléchargement).
  • Dossiers de compte : conservés pendant la durée de la relation d'affaires, puis supprimés dans les 90 jours suivant la fermeture du compte.
  • Journaux d'audit : conservés jusqu'à 1 an à des fins de sécurité et de conformité.
  • Journaux d'accès au serveur : conservés jusqu'à 90 jours, puis écrasés automatiquement.

La destruction est permanente et irrécupérable. Les morceaux de fichiers chiffrés de bout en bout sont écrasés avant la suppression.

8. Mesures de sécurité

Nous mettons en œuvre les mesures de protection techniques et organisationnelles suivantes :

  • Chiffrement de bout en bout (AES-256-GCM) — le serveur ne peut pas accéder au contenu des fichiers.
  • Dérivation de clé (PBKDF2-SHA-256, 600 000 itérations) pour toutes les clés de compte et les mots de passe de chiffrement de fichiers.
  • Sécurité du transport (TLS 1.2+) pour toutes les connexions.
  • Hachage des mots de passe (bcrypt) — les mots de passe ne sont jamais stockés ni transmis en clair.
  • Protection CSRF, témoins SameSite et en-têtes de sécurité HTTP sur toutes les pages.
  • Limitation du débit sur tous les points de terminaison d'authentification et de soumission.
  • Journalisation d'audit de toutes les actions privilégiées avec l'acteur, la cible et l'horodatage.

9. Témoins et technologies de pistage

Ce site web utilise uniquement des témoins strictement nécessaires au fonctionnement sécurisé de la plateforme. Aucun témoin de pistage, publicitaire, analytique ou tiers n'est utilisé.

Nom du témoin Finalité Type Durée
_csrf-frontend Jeton de protection contre les attaques CSRF (falsification de requête intersites). Requis pour valider que les soumissions de formulaires proviennent de ce site et non d'une page tierce malveillante. Strictement nécessaire (sécurité) Session du navigateur
e2ee-frontend Identifiant de session de l'utilisateur du portail authentifié. Requis pour maintenir votre état de connexion lors de la navigation dans le portail. Ne contient aucun renseignement personnel — seulement un jeton de session aléatoire associé côté serveur à vos données de session. Strictement nécessaire (fonctionnalité) Session du navigateur (délai d'inactivité de 30 min)

Because these cookies are strictly necessary for security and basic functionality, they are set regardless of cookie preference. No consent is required under s. 8.1 of the Act or the Regulation respecting the confidentiality of communications made by means of information technology (chapter P-39.1, r. 1).

10. Vos droits en vertu de la Loi 25

Sous réserve des exceptions applicables, vous disposez des droits suivants à l'égard des renseignements personnels que nous détenons vous concernant :

Droit d'accès
Obtain a copy of the personal information we hold about you, in plain language and in a commonly used technological format (s. 27–28 of the Act).
Droit de rectification
Request correction of inaccurate, incomplete, or ambiguous information (s. 28 of the Act).
Droit à l'effacement
Request deletion of personal information collected without legal justification, or where retention is no longer necessary for the purpose stated (s. 28 of the Act).
Droit à la désindexation
Request that personal information published online be de-indexed (s. 28.1 of the Act).
Droit à la portabilité
Receive personal information you provided to us in a structured, commonly used, machine-readable format (s. 27 of the Act, in force September 2024).
Droit de porter plainte
Déposer une plainte auprès de la Commission d'accès à l'information du Québec (CAI) :
www.cai.gouv.qc.ca  · 1-888-528-7741

Pour exercer l'un ou l'autre de ces droits, veuillez communiquer avec la personne responsable de la protection des renseignements personnels identifiée à la section 1. Nous répondrons dans les 30 jours conformément à la Loi.

11. Confidentialité par défaut

Conformément à l'article 9.1 de la Loi, nos systèmes sont configurés pour appliquer les paramètres les plus protecteurs de la vie privée par défaut :

  • Les nouveaux comptes ne partagent aucune information publiquement.
  • Les transferts de fichiers utilisent la période de conservation la plus courte configurée par défaut.
  • Les notifications de téléchargement sont limitées au destinataire prévu par défaut.
  • Aucune collecte de données optionnelle ni analytique n'est activée.

12. Modifications à cette politique

Nous pouvons mettre à jour cette politique pour refléter des changements dans nos pratiques ou les exigences légales. Le cas échéant, nous mettrons à jour la date d'entrée en vigueur en haut de cette page. Pour les changements importants, nous aviserons les utilisateurs par courriel au moins 15 jours avant que le changement prenne effet. Votre utilisation continue de la plateforme après la date d'entrée en vigueur constitue une acceptation de la politique mise à jour.

Infra Info · Politique de confidentialité · En vigueur 23 février 2026
Pour les demandes de confidentialité : contactez Carl Boyer à cboyer@infrainfo.ca