Politique de Confidentialité
Dernière mise à jour : 2026-07-01
1. Introduction
La présente Politique de Confidentialité décrit la manière dont AZWAUL LP, société en commandite (LP) enregistrée en Ontario, Canada, dont le siège social est situé au 1025 King Street East, Unit 107 #1697, Cambridge, ON N3H 3P5 (ci-après l’« Éditeur », « nous », « notre »), collecte, utilise, stocke et protège les données personnelles des utilisateurs (ci-après « vous », l’« Utilisateur ») du service CloudDesk (ci-après le « Service »).
Cette politique s’applique à toutes les interactions avec le Service, y compris la navigation sur le site, la création de compte, l’utilisation des fonctionnalités et les communications avec notre équipe.
En utilisant le Service, vous acceptez les pratiques décrites dans la présente Politique. Si vous n’acceptez pas cette Politique, veuillez ne pas utiliser le Service.
2. Cadre juridique applicable
La présente Politique est rédigée conformément aux lois suivantes :
- LPRPDE (Loi sur la protection des renseignements personnels et les documents électroniques) — législation fédérale canadienne ;
- RGPD (Règlement Général sur la Protection des Données, UE 2016/679) — applicable aux Utilisateurs situés dans l’Espace économique européen (EEE) ;
- Consumer Protection Act, 2002 de l’Ontario — protection des consommateurs ontariens.
En cas de conflit entre ces réglementations, la norme offrant la protection la plus élevée à l’Utilisateur prévaut.
3. Données collectées
3.1 Données fournies directement par l’Utilisateur
| Catégorie | Données | Moment de la collecte |
|---|---|---|
| Identification | Prénom, nom, adresse e-mail | Inscription |
| Authentification | Mot de passe (haché avec bcrypt) | Inscription |
| Profil | Avatar (image) | Paramètres du profil |
| Paiement | Informations de facturation (via Stripe) | Souscription d’un abonnement |
| Contenu | Fichiers téléversés, messages de chat | Utilisation du Service |
Note : aucune donnée de carte bancaire n’est stockée sur nos serveurs. Les paiements sont intégralement traités par Stripe.
3.2 Données collectées automatiquement
| Catégorie | Données | Finalité |
|---|---|---|
| Connexion | Adresse IP, agent utilisateur (user-agent) | Sécurité, détection de fraude |
| Session | Horodatage des connexions | Journaux d’audit |
| Audit | Actions effectuées (création, modification, suppression, téléversement, connexion), entité concernée, méthode HTTP, chemin | Traçabilité, sécurité |
| Technique | Type de navigateur, système d’exploitation | Compatibilité, diagnostic |
3.3 Données dérivées de l’authentification tierce
Lorsque l’Utilisateur s’authentifie via un fournisseur tiers (Google, GitHub, Microsoft, Facebook, Apple), nous recevons les données suivantes selon le fournisseur :
- adresse e-mail ;
- nom et prénom ;
- identifiant unique du fournisseur ;
- avatar (le cas échéant).
Nous ne recevons jamais le mot de passe du compte tiers.
3.4 Données sensibles
Nous ne collectons pas intentionnellement de données sensibles (origine raciale ou ethnique, opinions politiques, convictions religieuses, données de santé, orientation sexuelle). Si de telles données sont incluses dans le Contenu Utilisateur, la responsabilité incombe à l’Utilisateur.
4. Finalités et bases juridiques du traitement
| Finalité | Base juridique (LPRPDE) | Base juridique (RGPD) |
|---|---|---|
| Fourniture du Service (compte, fonctionnalités) | Consentement implicite (relation contractuelle) | Exécution du contrat (art. 6.1.b) |
| Gestion des abonnements et paiements | Consentement implicite (relation contractuelle) | Exécution du contrat (art. 6.1.b) |
| Sécurité et prévention de la fraude | Fins acceptables (sécurité) | Intérêt légitime (art. 6.1.f) |
| Journaux d’audit et traçabilité | Fins acceptables (sécurité) | Intérêt légitime (art. 6.1.f) |
| Communications transactionnelles (e-mails) | Consentement implicite (relation contractuelle) | Exécution du contrat (art. 6.1.b) |
| Respect des obligations légales | Obligation légale | Obligation légale (art. 6.1.c) |
| Amélioration du Service | Consentement | Intérêt légitime (art. 6.1.f) |
5. Partage et sous-traitants
5.1 Principe
Nous ne vendons, ne louons et ne partageons pas vos données personnelles avec des tiers à des fins commerciales ou publicitaires.
5.2 Sous-traitants
Nous faisons appel aux sous-traitants suivants, nécessaires au fonctionnement du Service :
| Sous-traitant | Pays | Fonction | Données concernées |
|---|---|---|---|
| Stripe | États-Unis | Traitement des paiements | Identifiants de paiement, montants, devises |
| Backblaze (S3) | Variable (selon la région configurée) | Stockage de fichiers et avatars | Fichiers téléversés, avatars |
| Brevo (ex-Sendinblue) | France | Envoi d’e-mails transactionnels | Adresse e-mail, prénom, nom |
Chaque sous-traitant est lié par un accord de traitement des données (DPA) garantissant un niveau de protection conforme aux lois applicables.
5.3 Transferts internationaux
Certains sous-traitants sont situés en dehors du Canada (notamment aux États-Unis et en France). Ces transferts sont encadrés par :
- les clauses contractuelles types (CCT) de la Commission européenne pour les Utilisateurs de l’EEE ;
- les garanties contractuelles conformes à la LPRPDE pour les transferts depuis le Canada.
5.4 Divulgation légale
Nous pouvons divulguer des données personnelles si la loi l’exige, notamment en réponse à une ordonnance judiciaire, une assignation ou une demande d’une autorité compétente.
6. Cookies et technologies de suivi
6.1 Cookies essentiels
Le Service utilise des cookies strictement nécessaires au fonctionnement :
- Cookies d’authentification : jetons JWT (access token et refresh token) stockés dans des cookies httpOnly pour maintenir la session ;
- Cookies de préférences : langue, thème d’affichage.
Ces cookies ne nécessitent pas de consentement car ils sont indispensables à la fourniture du Service.
6.2 Cookies analytiques et tiers
Le Service n’utilise aucun cookie de suivi publicitaire ou analytique tiers par défaut. Si de tels cookies sont ajoutés à l’avenir, un mécanisme de consentement sera mis en place conformément aux réglementations applicables.
7. Conservation des données
| Type de données | Durée de conservation | Justification |
|---|---|---|
| Données de compte (profil, e-mail) | Durée de vie du compte | Exécution du contrat |
| Mot de passe (haché) | Durée de vie du compte | Exécution du contrat |
| Messages de chat | Configurable selon le plan (par défaut : 90 jours) | Exécution du contrat |
| Fichiers téléversés | Durée de vie du compte | Exécution du contrat |
| Journaux d’audit | 2 ans après la création | Intérêt légitime (sécurité, conformité) |
| Données de connexion (IP, user-agent) | 1 an | Intérêt légitime (sécurité) |
| Données de paiement (références Stripe) | 7 ans après la dernière transaction | Obligation légale (comptabilité) |
| Exports de données | 7 jours après génération | Durée limitée pour sécurité |
Après suppression d’un compte :
- les données personnelles sont anonymisées (prénom, nom, e-mail remplacés par des valeurs génériques) ;
- les fichiers stockés sont supprimés du stockage S3 ;
- les journaux d’audit sont conservés sous forme anonymisée.
8. Sécurité des données
Nous mettons en oeuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :
8.1 Mesures techniques
- Chiffrement en transit : toutes les communications sont chiffrées via HTTPS/TLS ;
- Chiffrement des mots de passe : hachage avec bcrypt (avec salage) ;
- Authentification renforcée : prise en charge de l’authentification à deux facteurs (TOTP) avec codes de récupération ;
- Isolation des données : architecture multi-tenant avec isolation stricte entre les Comptes ;
- Limitation de débit : protection contre les attaques par force brute (5 tentatives de connexion par minute, 3 inscriptions par minute) ;
- URLs pré-signées : accès temporaire et sécurisé aux fichiers stockés ;
- Suppression logique : les données sensibles sont d’abord archivées avant suppression définitive.
8.2 Mesures organisationnelles
- Accès aux données limité au personnel autorisé ;
- Journalisation complète des accès et actions (audit trail) ;
- Revue régulière des permissions et des accès.
8.3 Notification en cas de violation
En cas de violation de données personnelles, nous nous engageons à :
- notifier l’autorité de contrôle compétente dans un délai de 72 heures (conformément au RGPD, si applicable) ;
- informer les Utilisateurs concernés sans délai injustifié si la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés ;
- notifier le Commissariat à la protection de la vie privée du Canada conformément à la LPRPDE.
9. Droits des Utilisateurs
9.1 Droits applicables
Selon votre lieu de résidence, vous disposez des droits suivants :
| Droit | LPRPDE | RGPD | Comment l’exercer |
|---|---|---|---|
| Accès | Oui | Oui (art. 15) | Export de données dans les paramètres du compte |
| Rectification | Oui | Oui (art. 16) | Modifier le profil dans les paramètres du compte |
| Effacement | Oui | Oui (art. 17) | Supprimer le compte (anonymisation) |
| Portabilité | — | Oui (art. 20) | Export JSON via les paramètres du compte |
| Opposition | Oui | Oui (art. 21) | Contacter legal@azwaul.com |
| Limitation du traitement | — | Oui (art. 18) | Contacter legal@azwaul.com |
| Retrait du consentement | Oui | Oui (art. 7) | Paramètres du compte ou legal@azwaul.com |
9.2 Export de données
Le Service propose une fonctionnalité intégrée d’export de données :
- accessible depuis les paramètres du compte (section « Confidentialité ») ;
- les données sont exportées au format JSON ;
- le lien de téléchargement est valide pendant 7 jours ;
- limité à un export par jour pour des raisons de sécurité.
9.3 Suppression de compte
L’Utilisateur peut supprimer son compte à tout moment :
- la suppression nécessite une confirmation d’identité (mot de passe) ;
- les données personnelles sont anonymisées (et non simplement supprimées, afin de préserver l’intégrité des données liées) ;
- les fichiers sont définitivement supprimés du stockage ;
- cette action est irréversible.
9.4 Délais de réponse
Nous nous engageons à répondre aux demandes d’exercice de droits dans un délai de trente (30) jours. Ce délai peut être prolongé de deux mois en cas de demande complexe, auquel cas nous vous en informerons.
10. Données des mineurs
Le Service n’est pas destiné aux personnes de moins de 16 ans (ou l’âge minimum requis par la législation locale). Nous ne collectons pas sciemment de données personnelles de mineurs. Si nous apprenons qu’un mineur a fourni des données personnelles, nous prendrons les mesures nécessaires pour les supprimer rapidement.
11. Communications
11.1 E-mails transactionnels
Nous envoyons des e-mails nécessaires au fonctionnement du Service :
- activation de compte ;
- réinitialisation de mot de passe ;
- invitations à rejoindre une Organisation ;
- notifications de paiement (échec, fin de période d’essai, impayé) ;
- notifications liées à la sécurité du compte.
Ces communications ne sont pas soumises au consentement marketing car elles sont liées à l’exécution du contrat.
11.2 Communications marketing
Nous n’envoyons aucune communication marketing sans consentement explicite préalable. Si de telles communications sont introduites à l’avenir, un mécanisme de consentement (opt-in) et de désinscription sera mis en place.
12. Modifications de la Politique
Nous nous réservons le droit de modifier la présente Politique à tout moment. En cas de modification substantielle :
- les Utilisateurs seront notifiés par e-mail ou via le Service au moins trente (30) jours à l’avance ;
- la date de « Dernière mise à jour » en haut du document sera actualisée ;
- la poursuite de l’utilisation du Service après la date d’effet vaut acceptation.
L’historique des versions est consultable sur demande.
13. Autorités de contrôle
Si vous estimez que le traitement de vos données personnelles n’est pas conforme à la réglementation applicable, vous pouvez déposer une plainte auprès de :
- Canada : Commissariat à la protection de la vie privée du Canada — www.priv.gc.ca
- Ontario : Commissaire à l’information et à la protection de la vie privée de l’Ontario — www.ipc.on.ca
- Union européenne : l’autorité de protection des données de votre pays de résidence (par exemple, la CNIL en France)
Nous vous encourageons toutefois à nous contacter en premier lieu afin de résoudre toute préoccupation.
14. Contact
Pour toute question relative à la présente Politique de Confidentialité ou pour exercer vos droits, vous pouvez nous contacter :
- E-mail : legal@azwaul.com
- Délégué à la protection des données (si applicable) : privacy@azwaul.com
- Téléphone : (226) 473-0144
- BIN : 1001668734
- Adresse postale : AZWAUL LP, 1025 King Street East, Unit 107 #1697, Cambridge, ON N3H 3P5, Ontario, Canada
AZWAUL LP — BIN 1001668734 — 1025 King Street East, Unit 107 #1697, Cambridge, ON N3H 3P5 — Ontario, Canada — Tél : (226) 473-0144