Les Affranchis

Politique de confidentialité et de protection des données

 

1. Objet et champ d’application

La présente politique de confidentialité constitue un énoncé des principes de Productions Les affranchis inc. concernant la collecte, l’utilisation et la communication des renseignements des utilisateurs de ses applications mobiles et sites web.

2. Renseignements collectés

2.1 Renseignements personnels

Dans le cadre de certaines fonctionnalités (création de compte, formulaires de contact ou d’inscription), nous pouvons collecter les renseignements personnels suivants :

  •  Prénom et nom
  •  Adresse courriel
  •  Mot de passe (stocké sous forme chiffrée)
  • Tout autre renseignement fourni volontairement via un formulaire

La collecte de ces renseignements est limitée à ce qui est nécessaire aux finalités décrites ci-après. Nous n’exigeons ni ne colelctons de renseignements superflus, à moins que cela ne soit strictement requis par une fonctionnalité spécifique, auquel cas le consentement explicite sera obtenu. 

 

2.2 Renseignements non personnels

Nous collectons également des renseignements non personnels qui ne permettent pas de vous identifier en tant qu’individu, notamment :

  •  Pages et contenus consultés
  •  Géolocalisation approximative par ville ou région
  •  Type, modèle et taille d’écran de l’appareil mobile utilisé
  •  Système d’exploitation et version
  •  Fournisseur de service Internet ou téléphonique
  •  Durée et fréquence des sessions d’utilisation

Ces renseignements sont collectés par l’intermédiaire de l’App Store (Apple), du Google Play Store, de Google Analytics et de tout autre outil analytique que nous pourrions utiliser à des fins de suivi statistique.

3. Finalités de la collecte

Les renseignements personnels collectés sont utilisés exclusivement aux fins suivantes :

  • Création et gestion de votre compte utilisateur

  • Personnalisation de votre expérience au sein de l’application

  • Réponse à vos demandes d’information ou de soutien technique

  • Envoi de communications liées à l’application, avec votre consentement

  • Respect de nos obligations légales

Les renseignements non personnels sont utilisés à des fins statistiques et d’amélioration de l’application uniquement. Ils ne sont pas utilisés à des fins publicitaires.

4. Protection des mineurs

Productions Les affranchis inc. accorde une attention particulière à la protection des renseignements personnels des mineurs. Pour tout projet ou application destiné en tout ou en partie à un public de moins de 14 ans :

  • Le consentement du parent ou tuteur légal est obligatoire avant toute collecte de renseignements personnels.
  • Les renseignements collectés sur les mineurs sont limités au strict minimum nécessaire.

5. Communication à des tiers

Nous ne vendons, ne louons ni ne cédons vos renseignements personnels à des tiers à des fins commerciales ou publicitaires.

Nous pouvons partager des renseignements non personnels à des fins analytiques avec les partenaires suivants, dans la mesure nécessaire à l’amélioration de nos services :

  • Google LLC (Firebase Analytics, Google Play Console)
  • Apple Inc. (App Store Connect Analytics)

Vos renseignements personnels pourront être communiqués sans votre consentement uniquement dans les cas prévus par la loi, notamment dans le cadre d’une obligation légale ou d’une décision judiciaire.

6. Conservation et destruction

La suppression de l’application entraînera un arrêt de la collecte de données via les outils analytiques intégrés. Sur demande, nous procedérons à la destruction sécurisée ou à l’anonymisation de vos renseignements personnels dans un délai raisonnable.

7. Droits des utilisateurs

Conformément à la Loi 25, vous disposez des droits suivants à l’égard de vos renseignements personnels :

  • Droit d’accès : connaître les renseignements que nous détenons à votre sujet.
  • Droit de rectification : faire corriger des renseignements inexacts ou incomplets.
  • Droit à l’effacement : demander la suppression de vos renseignements sous réserve des obligations légales.
  • Droit à la portabilité : recevoir vos renseignements dans un format technologique structuré et couramment utilisé.
  • Droit de retirer votre consentement : en tout temps, sans préjudice de la légalité du traitement effectué avant le retrait.

Pour exercer l’un de ces droits, veuillez contacter notre responsable de la protection des renseignements personnels dont les coordonnées figurent à la section 8 de la Politique de protection des données.

8. Droits d’accès et de rectification — Procédure

Toute personne souhaitant exercer ses droits (accès, rectification, effacement, portabilité, retrait du consentement) doit adresser une demande écrite au Responsable de la protection des renseignements personnels. La Société s’engage à :

  • Accuser réception de la demande dans les meilleurs délais.
  • Répondre à la demande dans un délai de trente (30) jours suivant sa réception.
  • Informer le demandeur des motifs de tout refus, le cas échéant.

En cas d’insatisfaction, la personne concernée peut déposer une plainte auprès de la Commission d’accès à l’information du Québec.

9. Responsable de la protection des renseignements personnels

Conformément à l’article 3.1 de la Loi sur la protection des renseignements personnels dans le secteur privé, Productions Les affranchis inc. a désigné un responsable de la protection des renseignements personnels (ci-après le « Responsable »).

Pour joindre le Responsable :

  • Courriel : martin@lesaffranchis.ca

10. Témoins de connexion (cookies) et technologies similaires

Nos applications mobiles peuvent utiliser des technologies similaires aux témoins de connexion (identifiants de session, balises analytiques) afin d’améliorer votre expérience. Ces technologies ne collectent pas de renseignements personnels identificatoires sans votre consentement. Vous pouvez désactiver certaines de ces fonctionnalités dans les paramètres de votre appareil.

11. Modification de la politique

Nous nous réservons le droit de modifier la présente politique en tout temps. Il vous appartient de consulter périodiquement la politique en vigueur. 

12. Protocole de réponse aux incidents de confidentialité

Un incident de confidentialité désigne tout accès, utilisation, communication, modification ou destruction non autorisé de renseignements personnels, ainsi que toute perte de contrôle sur de tels renseignements. Le présent protocole s’applique autant aux données des applications en exploitation propre qu’aux données de clients auxquelles nous avons accès dans le cadre d’un mandat.

12.1 Détection et signalement interne

Tout employé, sous-traitant ou fournisseur qui constate ou soupçonne un incident de confidentialité doit le signaler immédiatement au responsable de la protection des renseignements personnels (le « Responsable »), par courriel ou verbalement selon l’urgence. Aucun incident présumé ne doit demeurer non signalé, même en cas de doute.

12.2 Évaluation initiale de la gravité

Dès réception du signalement, le Responsable évalue la gravité de l’incident en considérant :

  • La sensibilité des données touchées (données médicales, financières, relatives à des mineurs, données d’authentification, etc.)
  • Le nombre de personnes concernées
  • La probabilité d’un préjudice réel pour les personnes (usurpation d’identité, préjudice financier, atteinte à la réputation, risque physique, détresse psychologique)
  • La nature de l’incident : accès non autorisé, vol, perte, divulgation accidentelle, cyberattaque
  • La réversibilité : les données ont-elles été récupérées ou restent-elles exposées ?

Cette évaluation détermine si l’incident présente un risque sérieux de préjudice, seuil à partir duquel les obligations légales d’avis s’activent.

12.3 Mesures de confinement immédiates

Dès la confirmation de l’incident, le Responsable coordonne les actions suivantes selon la nature de l’incident :

  • Révocation immédiate des accès compromis (comptes, clés API, tokens)
  • Isolation des systèmes affectés pour limiter la propagation
  • Préservation des journaux et preuves numériques à des fins d’analyse
  • Changement des mots de passe et des identifiants compromis
  • Notification aux fournisseurs d’infrastructure concernés (hébergeur, Firebase, etc.)
  • Activation d’un canal de communication sécurisé pour la gestion de l’incident

12.4 Délais d’avis obligatoires

Lorsque l’incident présente un risque sérieux de préjudice :

  • Commission d’accès à l’information (CAI) : avis transmis avec diligence, dans les meilleurs délais suivant la confirmation de l’incident. Productions Les affranchis inc. vise un délai maximal de 72 heures pour les incidents graves. L’avis contient : la description de l’incident, les catégories de renseignements touchés, le nombre approximatif de personnes concernées, et les mesures prises.
  • Personnes concernées : avis transmis dans les meilleurs délais, de manière directe (courriel, notification dans l’application) lorsque possible. L’avis décrit l’incident, les renseignements touchés, les mesures prises et les ressources disponibles.
  • Client donneur d’ouvrage (lorsque les données lui appartiennent) : avis transmis sans délai, avant ou simultanément à l’avis à la CAI, afin qu’il puisse exercer ses propres responsabilités à titre de responsable du traitement.

Note : Si l’incident survient chez un de nos fournisseurs ou sous-traitants, ce dernier a l’obligation contractuelle de nous aviser immédiatement. Productions Les affranchis inc. prend alors en charge la coordination des avis conformément au présent protocole.

12.5 Registre des incidents

Productions Les affranchis inc. tient un registre des incidents de confidentialité, qu’ils aient ou non requis un avis à la CAI. Chaque entrée comprend :

  • La date et l’heure de détection et de signalement
  • La description de l’incident et des renseignements touchés
  • Le nombre de personnes concernées (réel ou estimé)
  • L’évaluation du risque de préjudice
  • Les mesures de confinement et correctrices prises
  • Les dates et destinataires des avis transmis
  • Le suivi post-incident et les améliorations apportées

Ce registre est conservé pendant un minimum de cinq (5) ans et est mis à la disposition de la CAI sur demande.

12.6 Analyse post-incident et amélioration continue

Dans les 30 jours suivant la résolution de tout incident significatif, le Responsable procède à une analyse post-mortem afin d’identifier les causes, les lacunes ayant permis l’incident, et les mesures correctives à mettre en place. Les conclusions sont documentées et les améliorations intégrées aux pratiques de l’entreprise.

13. Gestion des fournisseurs et sous-traitants

Tout fournisseur ou sous-traitant appelé à traiter des renseignements personnels pour le compte de Productions Les affranchis inc. doit :

  • S’engager contractuellement à respecter les exigences de la Loi 25 et les pratiques de la Société en matière de protection des données.
  • Mettre en place des mesures de sécurité équivalentes ou supérieures à celles de la Société.
  • Aviser immédiatement la Société de tout incident de confidentialité le concernant.
  • Ne pas communiquer les renseignements à des tiers sans autorisation expresse.

 

Version 1.0
En vigueur à compter du : 13 mars 2026