Confidentialité des données et conformité
Guide complet sur la conformité LPRPDE de Cothon, les pratiques de collecte de données, les politiques de conservation, la résidence des données au Canada et l'engagement en matière de confidentialité pour l'intelligence d'approvisionnement
Confidentialité des données et conformité
La confidentialité est fondamentale pour la mission de Cothon. Nous comprenons que les professionnels de l'approvisionnement traitent quotidiennement des soumissions confidentielles, des renseignements concurrentiels et des informations tarifaires sensibles. Notre cadre de confidentialité est conçu pour protéger ces données tout en respectant les réglementations canadiennes en matière de confidentialité et vos droits en tant que personnes concernées.
Ce guide offre une transparence complète sur la façon dont nous recueillons, utilisons, conservons et protégeons vos données personnelles et organisationnelles. Nous avons conçu nos pratiques de confidentialité pour dépasser les exigences de la LPRPDE et s'aligner sur les meilleures pratiques internationales.
Notre engagement en matière de confidentialité
La philosophie de confidentialité de Cothon repose sur trois principes fondamentaux :
Transparence : Nous communiquons clairement quelles données nous recueillons, pourquoi nous les recueillons et comment nous les utilisons. Aucune pratique de données cachée ou utilisation inattendue.
Contrôle : Vous conservez le contrôle de vos données grâce à des outils robustes pour accéder, exporter, corriger et supprimer vos informations. Vos données vous appartiennent, pas à nous.
Minimisation : Nous ne recueillons que les données nécessaires au fonctionnement de la plateforme d'intelligence d'approvisionnement. Nous ne recueillons pas de données « au cas où » ou à des fins non liées comme la publicité.
Conception axée sur la confidentialité
La confidentialité est intégrée dans chaque fonctionnalité que nous développons :
- Minimisation des données : Nous recueillons le minimum de données nécessaires pour chaque fonctionnalité
- Limitation des finalités : Les données ne sont utilisées que pour les fins divulguées
- Anonymisation : Les analyses et les informations agrégées sont anonymisées
- Chiffrement : Toutes les données personnelles et organisationnelles sont chiffrées au repos et en transit
- Contrôles d'accès : La sécurité au niveau des lignes garantit que les utilisateurs ne peuvent accéder qu'aux données autorisées
- Limites de conservation : Les données sont automatiquement supprimées lorsqu'elles ne sont plus nécessaires
Succès
Souveraineté des données canadiennes : Toutes les données clients de Cothon sont stockées exclusivement dans des centres de données canadiens (Montréal et Toronto). Vos données d'approvisionnement ne quittent jamais le Canada sauf si vous utilisez explicitement les fonctions d'exportation. Cela garantit la conformité avec les lois canadiennes sur la confidentialité et vous offre des protections juridiques en vertu de la juridiction canadienne.
Conformité à la LPRPDE
La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est la loi fédérale canadienne sur la confidentialité régissant la façon dont les organisations du secteur privé recueillent, utilisent et divulguent des renseignements personnels.
Cothon est entièrement conforme aux dix principes d'équité en matière d'information de la LPRPDE.
1. Responsabilité
Principe : Les organisations sont responsables des renseignements personnels sous leur contrôle et doivent désigner des personnes responsables de la conformité.
Notre mise en œuvre :
2. Détermination des fins
Principe : Les organisations doivent déterminer les fins de la collecte de renseignements personnels avant ou au moment de la collecte.
Notre mise en œuvre :
Nous recueillons des renseignements personnels à des fins précises et légitimes et communiquons clairement ces fins :
| Type de données | Finalité | Point de collecte |
|---|---|---|
| Informations de compte | Création de compte, authentification, support | Page d'inscription, paramètres de profil |
| Adresse courriel | Identifiant de connexion, notifications, réinitialisation du mot de passe | Page d'inscription |
| Nom | Personnalisation, collaboration (affichage de qui a créé les analyses) | Page d'inscription, paramètres de profil |
| Nom de l'organisation | Isolation des données multi-locataires, facturation | Configuration de l'organisation |
| Données d'utilisation | Amélioration de la plateforme, correction de bogues, analyses | Partout sur la plateforme (anonymisées) |
| Informations de paiement | Facturation d'abonnement, génération de factures | Caisse d'abonnement (traité par Stripe) |
| Contenu de document | Analyse de soumission, génération de proposition, recherche sémantique | Téléversement de document, création d'analyse |
| Adresse IP et emplacement | Surveillance de sécurité, prévention de fraude, gestion de session | Chaque demande API (conservée 90 jours) |
Note
Divulgation des fins : Lorsque vous téléversez un document pour une analyse d'appel d'offres, nous indiquons clairement : « Ce document sera traité pour extraire les exigences, évaluer vos capacités par rapport à ces exigences et générer une analyse de conformité. Le texte du document peut être envoyé à l'API d'OpenAI pour une analyse alimentée par l'IA (vous pouvez désactiver cela dans les Paramètres). »
Nous ne réutilisons jamais vos données sans obtenir un nouveau consentement.
3. Consentement
Principe : Les organisations doivent obtenir un consentement significatif pour la collecte, l'utilisation ou la divulgation de renseignements personnels, sauf lorsque cela est inapproprié.
Notre mise en œuvre :
Cothon obtient un consentement explicite pour la collecte de renseignements personnels :
Consentement significatif : Nous veillons à ce que le consentement soit significatif en :
- Rédigeant les avis de confidentialité en langage clair et simple (pas de jargon juridique)
- Séparant les demandes de consentement (ne pas tout regrouper dans une seule case)
- Offrant un véritable choix (vous pouvez utiliser Cothon sans fonctionnalités IA si vous préférez)
- Rendant le retrait aussi facile que l'octroi du consentement
Avertissement
Consentement pour les mineurs : Cothon est une plateforme professionnelle non destinée aux personnes de moins de 16 ans. Nous ne recueillons pas sciemment de renseignements personnels auprès d'enfants. Si nous découvrons qu'un utilisateur a moins de 16 ans, nous supprimons immédiatement son compte et ses données.
Les organisations sont responsables de s'assurer que les membres de leur équipe sont en âge légal.
4. Limitation de la collecte
Principe : Les organisations doivent limiter la collecte de renseignements personnels à ce qui est nécessaire pour les fins déterminées.
Notre mise en œuvre :
Cothon ne recueille que les données minimales nécessaires pour la fonctionnalité de la plateforme :
Nous NE recueillons PAS :
- Date de naissance ou âge (sauf pour vérifier que vous avez 16 ans et plus)
- Genre ou informations démographiques
- Adresse domiciliaire physique (sauf si nécessaire pour la facturation dans certaines juridictions)
- Numéro de téléphone (sauf pour l'A2F par SMS optionnel)
- Numéro d'assurance sociale ou pièce d'identité gouvernementale
- Informations financières au-delà du mode de paiement (traité par Stripe, non stocké par nous)
- Historique de navigation Web en dehors de Cothon
- Données de localisation au-delà de l'emplacement approximatif à partir de l'adresse IP
- Courriels personnels, fichiers ou documents non liés à l'approvisionnement
Nous recueillons :
- Adresse courriel (requise pour l'authentification)
- Nom (requis pour la personnalisation du compte)
- Nom de l'organisation (requis pour l'isolation multi-locataire)
- Documents que vous téléversez (requis pour l'analyse d'appel d'offres)
- Données d'utilisation (requises pour l'amélioration de la plateforme, anonymisées)
- Informations de paiement (requises pour les abonnements payants, traitées par Stripe)
Minimisation des données en pratique :
Exemple : Lorsque vous créez une analyse d'appel d'offres, nous pourrions recueillir :
- ❌ Le nom de votre gestionnaire (non nécessaire)
- ❌ Votre emplacement de bureau (non nécessaire)
- ❌ Votre budget de projet (non nécessaire)
- ✓ Fichier de document (nécessaire pour l'analyse)
- ✓ Paramètres d'analyse (seuil de complexité, niveau de confiance)
- ✓ ID d'organisation (nécessaire pour le contrôle d'accès)
Nous ne recueillons que les trois derniers éléments.
5. Limitation de l'utilisation, de la communication et de la conservation
Principe : Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles pour lesquelles ils ont été recueillis, sauf avec le consentement ou selon la loi. Les renseignements personnels ne doivent être conservés que le temps nécessaire.
Notre mise en œuvre :
Note
Blocages juridiques : Dans de rares cas, nous pouvons avoir besoin de conserver des données au-delà des périodes de conservation normales en raison de blocages juridiques (par ex. litiges en cours, enquêtes gouvernementales). Si vos données font l'objet d'un blocage juridique, nous vous en informons et expliquons la raison de la conservation prolongée.
6. Exactitude
Principe : Les renseignements personnels doivent être aussi exacts, complets et à jour que nécessaire pour les fins auxquelles ils sont utilisés.
Notre mise en œuvre :
7. Mesures de protection
Principe : Les renseignements personnels doivent être protégés par des mesures de sécurité adaptées à la sensibilité des informations.
Notre mise en œuvre :
Cothon met en œuvre des mesures de protection complètes proportionnelles à la sensibilité des données. Voir Aperçu de la sécurité pour des détails techniques complets.
Mesures de protection administratives :
- Vérifications d'antécédents pour les employés ayant accès à la base de données
- Formation obligatoire sur la confidentialité et la sécurité
- Contrôles d'accès au moindre privilège (les employés n'accèdent qu'aux données nécessaires pour leur rôle)
- Audits de sécurité réguliers et tests de pénétration
Mesures de protection techniques :
- Chiffrement au repos (AES-256) et en transit (TLS 1.3)
- Authentification multifacteur requise pour l'accès administratif
- Analyse automatisée des vulnérabilités
- Systèmes de détection et de prévention des intrusions
- Correctifs et mises à jour de sécurité réguliers
Mesures de protection physiques :
- Centres de données avec sécurité 24/7, contrôles d'accès biométriques, vidéosurveillance
- Alimentation et connexions réseau redondantes
- Contrôles environnementaux (suppression d'incendie, contrôle climatique)
- Récupération après sinistre avec sauvegardes géographiquement distribuées
Classification des données :
Nous classons les données par sensibilité et appliquons une protection appropriée :
| Classification | Exemples | Niveau de protection |
|---|---|---|
| Critique | Mots de passe, clés API, clés de chiffrement | Hachés/chiffrés, jamais journalisés, accès strict |
| Confidentiel | Soumissions, tarification, énoncés de capacités | Chiffrés, politiques RLS, journalisation d'audit, accès limité |
| Interne | Paramètres d'organisation, métadonnées d'opportunités | Chiffrés, politiques RLS, accès standard |
| Public | Liens d'analyse partagés, avis d'approvisionnement publics | Chiffré en transit, accès par jeton |
8. Transparence
Principe : Les organisations doivent rendre facilement accessibles aux personnes des renseignements précis sur leurs politiques et pratiques concernant la gestion des renseignements personnels.
Notre mise en œuvre :
9. Accès individuel
Principe : Sur demande, les personnes doivent être informées de l'existence, de l'utilisation et de la communication de leurs renseignements personnels et avoir accès à ces renseignements.
Notre mise en œuvre :
Avertissement
Vérification de la demande d'accès : Pour protéger votre confidentialité, nous vérifions votre identité avant de fournir l'accès aux renseignements personnels. Il vous sera demandé de :
- Envoyer la demande depuis votre adresse courriel enregistrée, ou
- Fournir une pièce d'identité gouvernementale si la demande est faite via une méthode de contact alternative
Cela empêche les personnes non autorisées d'accéder à vos données en usurpant votre identité.
10. Contestation de la conformité
Principe : Les personnes doivent pouvoir contester la conformité d'une organisation aux principes de la LPRPDE auprès de la personne désignée responsable de la conformité de l'organisation.
Notre mise en œuvre :
Succès
Interdiction de représailles : Cothon n'exercera pas de représailles contre les personnes qui soumettent des plaintes relatives à la vie privée de bonne foi. La soumission d'une plainte n'affectera pas l'état de votre compte, votre abonnement ou votre relation avec Cothon.
Nous considérons les plaintes comme des opportunités d'améliorer nos pratiques de confidentialité et apprécions les utilisateurs qui prennent le temps de soulever des préoccupations.
Détails de la collecte de données
Renseignements personnels que nous recueillons
Répartition complète de toute collecte de renseignements personnels :
Données de compte et de profil
Ce que nous recueillons :
- Adresse courriel (requis)
- Nom complet (requis)
- Photo de profil (optionnel, depuis OAuth ou téléversé)
- Titre du poste (optionnel)
- Numéro de téléphone (optionnel, pour l'A2F par SMS uniquement)
Pourquoi nous le recueillons :
- Courriel : Identifiant de compte, authentification, réinitialisation du mot de passe, notifications
- Nom : Personnalisation, attribution (affichage de qui a créé les analyses), collaboration
- Photo de profil : Identification visuelle dans les fonctionnalités de collaboration
- Titre du poste : Personnalisation de l'interface utilisateur basée sur le rôle (fonctionnalité future)
- Téléphone : Authentification à deux facteurs optionnelle par SMS
D'où cela provient :
- Directement de vous lors de l'inscription ou des mises à jour de profil
- De fournisseurs OAuth (Google, Microsoft) si vous utilisez la connexion sociale
- De fournisseurs SSO si votre organisation utilise le SSO d'entreprise
Combien de temps nous le conservons :
- Pendant que votre compte est actif
- 90 jours après la fermeture du compte (période de récupération)
- Puis supprimé définitivement
Données d'organisation
Ce que nous recueillons :
- Nom de l'organisation (requis)
- Secteur d'activité (optionnel)
- Taille de l'entreprise (optionnel)
- Logo de l'organisation (optionnel)
- Adresse de facturation (requis pour les abonnements payants)
- Numéro de TVA/fiscalité (si applicable)
Pourquoi nous le recueillons :
- Nom de l'organisation : Isolation des données multi-locataires, factures de facturation
- Secteur d'activité : Personnaliser les recommandations d'opportunités
- Taille de l'entreprise : Recommandations de fonctionnalités, segmentation de la clientèle
- Logo : Image de marque sur les propositions générées
- Adresse de facturation : Génération de factures, conformité fiscale
- Numéro fiscal : Conformité aux déclarations fiscales
Combien de temps nous le conservons :
- Pendant que l'organisation est active
- 90 jours après la suppression de l'organisation (période de récupération)
- Dossiers de facturation : 7 ans (exigence légale pour la conformité fiscale)
Données d'utilisation et d'analyse
Ce que nous recueillons :
- Pages vues et fonctionnalités utilisées (anonymisées)
- Clics de boutons et interactions d'interface utilisateur (anonymisées)
- Temps passé sur différentes sections
- Messages d'erreur et problèmes techniques
- Métriques de performance (temps de chargement des pages, temps de réponse de l'API)
Pourquoi nous le recueillons :
- Améliorer la convivialité et la performance de la plateforme
- Identifier et corriger les bogues
- Prioriser le développement de fonctionnalités basé sur l'utilisation réelle
- Surveiller la santé et la fiabilité du système
Comment nous l'anonymisons :
- Les ID utilisateur sont hachés avant le stockage
- Les adresses IP sont tronquées (dernier octet supprimé)
- Les horodatages exacts sont arrondis à l'heure la plus proche
- Aucun lien avec les informations de compte identifiables
Combien de temps nous le conservons :
- Données agrégées anonymisées : Indéfiniment (aucun risque pour la vie privée)
- Journaux d'utilisation bruts : 90 jours, puis supprimés
Note
Désactivation des analyses : Vous pouvez vous désinscrire de la collecte d'analyses dans Paramètres → Confidentialité → Analyses. Cela désactive tout suivi d'utilisation tout en permettant la fonctionnalité principale de la plateforme. Nous respectons également les signaux Do Not Track du navigateur.
Données de documents et de contenu
Ce que nous recueillons :
- Fichiers PDF que vous téléversez pour l'analyse d'appel d'offres
- Fichiers DOCX que vous créez ou importez
- Résultats d'analyse d'appels d'offres et extractions d'exigences
- Propositions générées
- Commentaires et annotations
- Organisations de dossiers et étiquettes
Pourquoi nous le recueillons :
- Fichiers de documents : Requis pour l'analyse d'appel d'offres, la génération de proposition, la recherche sémantique
- Résultats d'analyse : Fournir des évaluations de capacités et des recommandations de conformité
- Propositions : Contenu de proposition généré par IA basé sur vos capacités
- Commentaires : Collaboration et rétroaction d'équipe
- Organisation : Vous aider à gérer plusieurs opportunités
Sécurité :
- Tous les documents chiffrés au repos (AES-256)
- Accès contrôlé via la sécurité au niveau des lignes (seule votre organisation peut accéder)
- Traitement IA optionnel (peut être désactivé pour garder tout le traitement en interne)
Combien de temps nous le conservons :
- Pendant que votre compte est actif (vous contrôlez la suppression)
- 30 jours après avoir supprimé un document (période de récupération)
- 90 jours après la fermeture du compte
- Puis supprimé définitivement de tous les systèmes y compris les sauvegardes
Données techniques et de sécurité
Ce que nous recueillons :
- Adresse IP (chaque demande API)
- Agent utilisateur du navigateur (chaque demande API)
- Emplacement géographique approximatif (dérivé de l'IP)
- Horodatages de connexion
- Informations de session (jetons d'accès, jetons de rafraîchissement)
- Tentatives de connexion échouées
- Événements de changement de mot de passe
- Événements d'inscription et d'authentification A2F
Pourquoi nous le recueillons :
- Surveillance de sécurité et prévention de fraude
- Détecter les modèles d'accès inhabituels (connexions depuis de nouveaux pays)
- Enquêter sur les incidents de sécurité
- Se conformer à la limitation de débit et à la prévention d'abus
Combien de temps nous le conservons :
- Journaux de session : 90 jours
- Événements d'authentification (connexion/déconnexion) : 2 ans (enquêtes de sécurité)
- Incidents de sécurité : 3 ans (exigences de conformité)
Données de paiement
Ce que nous recueillons :
- Nom et adresse de facturation
- Mode de paiement (4 derniers chiffres de carte, date d'expiration)
- Plan d'abonnement et tarification
- Historique de factures
- Événements de succès/échec de paiement
Important : Nous ne stockons pas les numéros de carte de paiement complets. Le traitement des paiements est géré par Stripe (certifié PCI DSS Niveau 1). Nous recevons uniquement des références tokenisées aux modes de paiement.
Pourquoi nous le recueillons :
- Traiter les paiements d'abonnement
- Générer des factures
- Conformité aux déclarations fiscales
- Prévenir la fraude de paiement
Combien de temps nous le conservons :
- Données d'abonnement : Pendant que l'abonnement est actif + 90 jours
- Dossiers de factures : 7 ans (exigence légale)
- Jetons de mode de paiement : Jusqu'à ce que vous supprimiez le mode de paiement
Témoins et technologies de suivi
Cothon utilise des témoins et des technologies similaires pour l'authentification, les préférences et les analyses.
Types de témoins
| Type de témoin | Finalité | Durée | Essentiel ? |
|---|---|---|---|
| Authentification | Maintenir la session de connexion, stocker les jetons de rafraîchissement | 30 jours | Oui |
| Préférences | Mémoriser les paramètres d'interface utilisateur, la langue, le thème | 1 an | Non |
| Analyses | Suivre les modèles d'utilisation (anonymisés) | 1 an | Non |
| Sécurité | Protection CSRF, limitation de débit | Session | Oui |
Témoins essentiels : Requis pour la fonctionnalité de la plateforme. Ne peut pas être désactivé.
Témoins non essentiels : Utilisés pour l'analyse et la personnalisation. Peuvent être désactivés dans Paramètres → Confidentialité → Préférences de témoins ou via la bannière de consentement aux témoins.
Témoins tiers
Nous utilisons un minimum de témoins tiers :
- Stripe (traitement des paiements) : Témoins de session pour une caisse sécurisée
- Sentry (surveillance des erreurs) : Identifiant de session pour la corrélation des erreurs
Nous n'utilisons pas :
- Témoins publicitaires
- Pixels de suivi des médias sociaux
- Témoins de suivi intersites
- Analyses tierces (Google Analytics, Facebook Pixel, etc.)
Gestion des témoins
Contrôlez les témoins via :
- Bannière de consentement aux témoins : Apparaît lors de la première visite ; cliquez sur « Personnaliser » pour activer/désactiver les catégories de témoins
- Paramètres → Confidentialité → Préférences de témoins : Contrôle granulaire sur les types de témoins
- Paramètres du navigateur : Utilisez les contrôles du navigateur pour bloquer tous les témoins (peut affecter l'authentification)
Conseil
Navigateurs axés sur la confidentialité : Cothon fonctionne bien avec des navigateurs axés sur la confidentialité comme Brave, Firefox avec protection contre le suivi, ou Safari avec Intelligent Tracking Prevention. Ces navigateurs bloquent les témoins de suivi tiers tout en permettant les témoins essentiels de première partie.
Partage et divulgation de données
Fournisseurs de services (sous-traitants)
Nous partageons des renseignements personnels avec des fournisseurs de services tiers pour exploiter la plateforme. Tous les fournisseurs de services :
- Signent des accords de traitement des données s'engageant à une protection équivalente à la LPRPDE
- Traitent les données uniquement selon nos instructions
- Mettent en œuvre des mesures de sécurité appropriées
- Nous informent des violations de données dans les 24 heures
| Fournisseur de services | Finalité | Données partagées | Emplacement | Conformité |
|---|---|---|---|---|
| Supabase | Base de données, authentification | Toutes les données clients (chiffrées) | Canada (Montréal) | SOC 2, ISO 27001, RGPD |
| Vercel | Hébergement frontend | Aucune donnée client (actifs statiques uniquement) | CDN global | SOC 2, ISO 27001 |
| Railway | Hébergement backend | Données chiffrées en transit | Canada | ISO 27001 |
| Stripe | Traitement des paiements | Nom de facturation, adresse, courriel, mode de paiement | Global (option de résidence des données au Canada) | PCI DSS Niveau 1 |
| OpenAI | Analyse IA (optionnel) | Texte de document (temporaire, non stocké) | États-Unis | SOC 2, RGPD, DPA disponible |
| Sentry | Surveillance des erreurs | Journaux d'erreur (assainis, pas de RPI) | États-Unis | SOC 2, RGPD, ISO 27001 |
Résidence des données : Dans la mesure du possible, nous utilisons les régions canadiennes des fournisseurs de services (Supabase CA-CENTRAL-1, Railway Canada). Pour les fournisseurs sans présence canadienne (Stripe, OpenAI, Sentry), nous utilisons des accords de traitement des données assurant une protection équivalente à la LPRPDE.
Note spéciale OpenAI : Si vous activez l'analyse alimentée par IA, le texte du document est envoyé à l'API d'OpenAI. En vertu de notre accord d'entreprise :
- OpenAI ne stocke pas vos données au-delà du traitement de la demande (~30 secondes)
- OpenAI n'entraîne pas de modèles sur vos données
- Les demandes ne sont pas utilisées pour améliorer les services d'OpenAI
- Les données sont chiffrées en transit (TLS 1.3)
Vous pouvez désactiver entièrement les fonctionnalités IA dans Paramètres → Fonctionnalités IA → Utiliser l'analyse alimentée par l'IA.
Modifications des sous-traitants : Nous informons les clients d'entreprise 30 jours avant d'ajouter de nouveaux sous-traitants. Vous pouvez vous opposer aux nouveaux sous-traitants, et nous travaillerons avec vous pour trouver des alternatives ou permettre la résiliation du contrat si les objections ne peuvent être résolues.
Consultez notre Liste complète des sous-traitants (mise à jour mensuelle).
Divulgations légales
Nous pouvons divulguer des renseignements personnels sans consentement dans des circonstances juridiques limitées :
Procédure légale valide :
- Ordonnances judiciaires ou assignations
- Mandats de perquisition
- Ordonnances de communication en vertu de la loi canadienne
- Demandes valides des forces de l'ordre avec autorité légale appropriée
Situations d'urgence :
- Pour prévenir un préjudice imminent aux personnes
- Pour protéger la vie, la santé ou la sécurité dans des situations d'urgence
- Pour enquêter sur une fraude présumée ou une activité illégale
Transferts d'entreprise :
- Si Cothon est acquis, fusionné ou vendu, les renseignements personnels peuvent être transférés à l'entité acquéreuse
- Nous exigeons que les acquéreurs honorent nos engagements en matière de confidentialité
- Vous serez informé 30 jours avant tout transfert
Notre processus de divulgation légale :
Succès
Engagement en matière de transparence : Nous croyons en la transparence maximale compatible avec les exigences légales. Notre Rapport de transparence fournit des statistiques détaillées sur les demandes gouvernementales, les incidents de sécurité et les violations de données. Nous ne nous conformerons jamais silencieusement à de vastes programmes de surveillance ni ne fournirons d'accès « porte dérobée » aux données des utilisateurs.
Résidence des données au Canada
Toutes les données clients de Cothon sont hébergées exclusivement dans des centres de données canadiens, offrant la souveraineté des données et la conformité avec les lois canadiennes sur la confidentialité.
Emplacement de l'infrastructure
| Composant | Fournisseur | Région | Emplacement du centre de données |
|---|---|---|---|
| Base de données (Principale) | Supabase | CA-CENTRAL-1 | Montréal, Québec |
| Base de données (Sauvegarde) | Supabase | CA-CENTRAL-2 | Toronto, Ontario |
| API Backend | Railway | Canada | Montréal, Québec |
| CDN Frontend | Vercel | Global | Mis en cache globalement, origine au Canada |
| Stockage de fichiers | Supabase Storage | CA-CENTRAL-1 | Montréal, Québec |
| Cache (Redis) | Railway | Canada | Montréal, Québec |
Pourquoi la résidence des données est importante :
-
Protections juridiques : Les données stockées au Canada sont soumises aux lois canadiennes sur la confidentialité (LPRPDE) et protégées par les tribunaux canadiens. Les gouvernements étrangers ne peuvent pas contraindre l'accès sans passer par la procédure légale canadienne.
-
Conformité à l'approvisionnement : De nombreuses politiques d'approvisionnement gouvernemental exigent que les données soient stockées au Canada. Notre résidence des données au Canada assure la conformité avec ces exigences.
-
Performance : Les données stockées au Canada offrent un accès à faible latence pour les utilisateurs canadiens (temps de réponse API typiques : 50-150ms depuis les emplacements canadiens).
-
Souveraineté : Vous conservez le contrôle de vos données dans la juridiction canadienne, évitant les complications des lois étrangères sur la protection des données.
Flux de données transfrontaliers
Vos données d'approvisionnement ne quittent jamais le Canada sauf dans ces situations limitées :
Exportation initiée par l'utilisateur : Lorsque vous exportez des données (Paramètres → Gestion des données → Exporter les données), le fichier téléchargé va à votre appareil local (qui peut être hors du Canada si vous voyagez). Ceci est sous votre contrôle.
Traitement IA optionnel : Si vous activez l'analyse alimentée par IA, le texte du document est temporairement envoyé à l'API d'OpenAI (serveurs États-Unis). Le traitement se termine en quelques secondes, et OpenAI ne stocke pas les données. Vous pouvez désactiver cette fonctionnalité pour garder tout le traitement au Canada.
Accès au support : Si vous accordez à l'équipe de support de Cothon l'accès pour dépanner des problèmes, le personnel de support peut accéder à vos données à distance. Nous exigeons que le personnel de support utilise des connexions VPN qui transitent par des serveurs canadiens à des fins de piste d'audit.
Aucun autre transfert : Nous ne transférons pas de données vers des serveurs américains pour l'analyse, les sauvegardes ou toute autre fin. Toutes les sauvegardes restent dans les centres de données canadiens (Montréal et Toronto).
Note
Conformité à l'approvisionnement gouvernemental : Si votre organisation participe à l'approvisionnement gouvernemental exigeant le stockage de données au Canada, demandez un Certificat de résidence des données à enterprise@cothon.ca.
Ce document officiel certifie que toutes les données de votre organisation sont stockées exclusivement dans des centres de données canadiens, répondant aux exigences d'approvisionnement pour la souveraineté des données.
Confidentialité des enfants
Cothon est une plateforme interentreprises conçue pour les professionnels de l'approvisionnement. Elle n'est pas destinée aux enfants de moins de 16 ans.
Vérification de l'âge : Nous exigeons que les utilisateurs confirment qu'ils ont 16 ans ou plus lors de l'inscription.
Aucune collecte délibérée : Nous ne recueillons pas sciemment de renseignements personnels auprès d'enfants de moins de 16 ans.
Suppression lors de la découverte : Si nous découvrons qu'un utilisateur a moins de 16 ans, nous :
- Suspendons immédiatement le compte
- Supprimons définitivement tous les renseignements personnels
- Informons l'adresse courriel au dossier de la fermeture du compte
Notification parentale : Si vous croyez que votre enfant a créé un compte Cothon sans permission, contactez immédiatement privacy@cothon.ca. Nous supprimerons le compte et toutes les données associées dans les 48 heures.
Utilisateurs internationaux
Bien que les serveurs de Cothon soient situés au Canada, nous accueillons des utilisateurs d'autres pays.
Utilisateurs non canadiens : Si vous accédez à Cothon depuis l'extérieur du Canada, vos données sont toujours stockées dans des centres de données canadiens et protégées par les lois canadiennes sur la confidentialité (LPRPDE).
Conformité au RGPD (pour les utilisateurs de l'UE) : Cothon est conforme à la LPRPDE, qui offre des protections largement similaires au Règlement général sur la protection des données (RGPD) de l'UE. Principaux droits du RGPD pris en charge :
- Droit d'accès (Article 15)
- Droit de rectification (Article 16)
- Droit à l'effacement / « droit à l'oubli » (Article 17)
- Droit à la portabilité des données (Article 20)
- Droit d'opposition au traitement (Article 21)
Si vous êtes résident de l'UE et avez des questions spécifiques au RGPD, contactez privacy@cothon.ca.
Conformité au CCPA (pour les utilisateurs de Californie) : Pour les résidents de Californie, Cothon se conforme au California Consumer Privacy Act (CCPA). Principaux droits du CCPA :
- Droit de savoir quels renseignements personnels nous recueillons
- Droit de supprimer les renseignements personnels
- Droit de refuser la vente de renseignements personnels (note : nous ne vendons jamais de renseignements personnels)
- Droit à la non-discrimination pour l'exercice des droits à la vie privée
Les résidents de Californie peuvent soumettre des demandes CCPA à privacy@cothon.ca.
Confidentialité dès la conception
Cothon intègre la confidentialité dans notre processus de développement dès le départ.
Évaluations des facteurs relatifs à la vie privée
Avant de lancer de nouvelles fonctionnalités impliquant des renseignements personnels, nous effectuons des évaluations des facteurs relatifs à la vie privée (EFVP) pour :
- Identifier les risques pour la vie privée
- Évaluer les alternatives avec de meilleures propriétés de confidentialité
- Mettre en œuvre des mesures d'atténuation
- Documenter la conformité aux principes de la LPRPDE
EFVP récentes :
- Analyse d'appels d'offres alimentée par IA (mars 2026) : Évaluation des risques d'envoi de texte de document à OpenAI, mise en œuvre de contrôles de désinscription
- Liens de partage public (février 2026) : Évaluation des risques de partage d'analyses en externe, mise en œuvre d'expiration et de révocation
- Extraction d'opportunités d'appels d'offres (janvier 2026) : Évaluation de la collecte de données d'approvisionnement public, assurance qu'aucune information personnelle n'est extraite
Paramètres de confidentialité par défaut
Les nouveaux comptes ont par défaut des paramètres protégeant la confidentialité :
| Paramètre | Par défaut | Avantage pour la confidentialité |
|---|---|---|
| Analyse alimentée par IA | Désactivé | Le texte du document reste au Canada sauf si vous optez pour |
| Notifications par courriel | Essentielles uniquement | Aucun courriel marketing sans consentement explicite |
| Témoins d'analyse | Nécessite le consentement | Aucun suivi jusqu'à ce que vous acceptiez les témoins |
| Profil public | Privé | Informations d'organisation non visibles publiquement |
| Partage d'activité | Organisation uniquement | Votre activité n'est pas partagée avec des utilisateurs externes |
Vous pouvez activer les fonctionnalités au besoin, mais nous commençons avec une confidentialité maximale.
Exemples de minimisation des données
Nous minimisons activement la collecte de données :
Analyse d'appel d'offres :
- ❌ Pourrait recueillir : Votre stratégie de tarification de l'entreprise, taux de réussite des soumissions passées, concurrents que vous suivez
- ✓ Recueille réellement : Uniquement l'opportunité spécifique que vous analysez et vos capacités déclarées
Navigateur d'opportunités :
- ❌ Pourrait recueillir : Chaque opportunité que vous consultez, combien de temps vous passez sur chacune, lesquelles vous sautez
- ✓ Recueille réellement : Uniquement les opportunités que vous sauvegardez ou analysez explicitement
Collaboration d'équipe :
- ❌ Pourrait recueillir : Chaque frappe au clavier, combien de temps les membres de l'équipe passent sur chaque analyse, qui consulte le travail de qui
- ✓ Recueille réellement : Uniquement les commentaires publiés et l'activité explicite (création/modification d'analyses)
Foire aux questions
Ressources supplémentaires
- Gestion et portabilité des données - Exporter, supprimer et gérer vos données
- Aperçu de la sécurité - Architecture de sécurité complète
- Authentification et contrôle d'accès - A2F, SSO et gestion de session
Demandes de renseignements sur la confidentialité :
- Courriel : privacy@cothon.ca
- Politique de confidentialité : https://cothon.ca/legal/privacy
- Rapport de transparence : https://cothon.ca/legal/transparency
Commissariat à la protection de la vie privée du Canada :
- Site Web : https://www.priv.gc.ca
- Sans frais : 1-800-282-1376
- Déposer une plainte : https://www.priv.gc.ca/fr/signaler-un-probleme/
Dernière mise à jour : 30 mars 2026
Prochaine révision : 30 juin 2026
Ce guide de confidentialité est examiné trimestriellement et mis à jour chaque fois que les pratiques de confidentialité changent de manière importante.
Related Articles
Was this page helpful?