Politique de confidentialité
Dernière mise à jour : 25 avril 2026 · Version 3.0🇨🇦 Vos données de compte (email, mot de passe chiffré, licence) sont hébergées au Canada
🛡️ Les données personnelles des élèves ne quittent jamais votre navigateur
💳 Les paiements sont traités par Stripe — jamais de carte sur nos serveurs
📧 Les emails passent par Resend (USA) — transit uniquement, non stocké
🚫 Aucune vente ni partage de vos données à des fins commerciales
1. Responsable du traitement
| Entreprise | EDUsolutions |
| Produit | GroupeSync — groupesync.ca |
| Responsable | Le responsable de la protection des données personnelles |
| Courriel | info@groupesync.ca |
| Pays | Canada (Québec) |
2. Données personnelles collectées
2.1 Données de compte
- Adresse courriel
- Mot de passe (hachage bcrypt 10 rounds — jamais en clair)
- Prénom, nom et nom de l'école
- Clé de licence unique
- Date d'expiration de la licence
- Journal des activations (max 6 dispositifs par licence)
2.2 Données de paiement
Traitées exclusivement par Stripe Inc. (PCI-DSS Level 1). GroupeSync ne stocke aucun numéro de carte. Nous conservons uniquement : l'identifiant de session Stripe, la confirmation de paiement, le montant et la date.
2.3 Données des formulaires de contact
Courriel, prénom, nom et message transitent via Resend vers notre boîte de réception. Non stockées en base de données.
2.4 Données des listes d'élèves
🛡️ Principe fondamental
- Fichier Excel importé : analysé en mémoire — jamais transmis à nos serveurs
- Groupes générés : restent dans la RAM du navigateur
- Historique local : stocké sur l'ordinateur de l'utilisateur (localStorage)
- Sauvegarde cloud (optionnelle) : hébergée au Canada, liée à votre compte
- Export PDF : généré à la volée — jamais stocké sur nos serveurs
3. Finalités du traitement
| Finalité | Base légale |
|---|---|
| Gestion du compte et accès à l'application | Exécution du contrat |
| Traitement du paiement et émission du reçu | Exécution du contrat |
| Notifications (renouvellement, réinitialisation) | Exécution du contrat / Intérêt légitime |
| Réponse aux demandes de contact ou de démo | Intérêt légitime |
| Analytics agrégées anonymisées (Plausible) | Intérêt légitime |
| Conformité légale et sécurité | Obligation légale |
4. Hébergement et localisation des données
| Type de données | Prestataire | Pays |
|---|---|---|
| Données de compte, licences | Upstash / Vercel KV | 🇨🇦 Canada |
| Sauvegarde cloud (opt.) | Upstash / Vercel KV | 🇨🇦 Canada |
| Application et landing | Vercel Inc. | CDN mondial |
| Paiements | Stripe Inc. | 🇺🇸 USA (PCI-DSS L1) |
| Courriels transactionnels | Resend Inc. | 🇺🇸 USA |
| Analytics (opt.) | Plausible | 🇪🇺 Union européenne |
Les transferts vers les États-Unis (Stripe, Resend) sont encadrés par des clauses contractuelles conformes au PIPEDA. Ces prestataires sont contractuellement tenus de protéger vos données.
5. Mesures de sécurité
| Mesure | Description |
|---|---|
| Chiffrement des mots de passe | bcrypt 10 rounds — jamais stocké en clair |
| Chiffrement des communications | TLS 1.3 obligatoire (HTTPS) |
| Cookies de session | HttpOnly + Secure + SameSite=Lax |
| Anti-brute force | Max 5 tentatives / 15 min par IP |
| Reset de mot de passe | Token 64 caractères, expiration 1h, usage unique |
| Vérification paiements | Signature cryptographique Stripe (constructEvent) |
| En-têtes HTTP | HSTS 2 ans, X-Frame-Options, CSP, Permissions-Policy |
| Isolation des données | Chaque compte accède uniquement à ses propres données |
6. Durée de conservation
| Données | Durée |
|---|---|
| Données de compte actif | Durée de la licence + 30 jours après expiration |
| Données de compte supprimé | Suppression dans les 30 jours suivant la demande |
| Tokens de session | 30 jours (renouvellement automatique) |
| Tokens de réinitialisation | 1 heure — supprimés après usage |
| Hash temporaire pré-paiement | 2 heures — supprimé après confirmation |
| Transactions Stripe | Selon la politique Stripe (env. 7 ans, conformité fiscale) |
| Logs de connexion | 90 jours maximum |
7. Vos droits
Conformément à la Loi 25 (Québec), au PIPEDA (Canada) et au RGPD (UE), vous disposez des droits suivants. Réponse garantie dans les 30 jours.
| Droit | Description | Comment |
|---|---|---|
| Accès | Obtenir une copie de vos données | info@groupesync.ca |
| Rectification | Corriger des données inexactes | Via votre compte ou courriel |
| Suppression | Demander l'effacement de vos données | info@groupesync.ca |
| Portabilité | Recevoir vos données en format structuré | info@groupesync.ca |
| Opposition | Vous opposer à certains traitements | info@groupesync.ca |
8. Cookies et traceurs
| Cookie | Finalité | Durée | Type |
|---|---|---|---|
| gs_session | Authentification de la session | 30 jours | Strictement nécessaire |
| Plausible Analytics | Audience anonymisée (sans cookie) | Aucun cookie | Analytics — sans traçage |
| Stripe.js | Détection de fraude lors du paiement | Session | Fonctionnel (paiement) |
Aucun cookie publicitaire, aucun traceur de comportement, aucun fingerprinting.
9. Protection des données des élèves mineurs
- GroupeSync est destiné aux professionnels de l'éducation — pas aux élèves eux-mêmes
- Les données des élèves sont traitées dans le cadre professionnel légal de l'utilisateur
- GroupeSync ne collecte pas directement de données auprès d'élèves mineurs
- Les données des élèves ne sont jamais utilisées à des fins commerciales ou publicitaires
- L'utilisateur est responsable d'obtenir les autorisations de son établissement scolaire
10. Modifications de la politique
En cas de modification substantielle, vous serez informé par courriel 30 jours avant l'entrée en vigueur. La version à jour est toujours disponible à l'adresse groupesync.ca/confidentialite.
11. Contact et plaintes
EDUsolutions
📧 info@groupesync.ca
🌐 groupesync.ca
En cas de litige non résolu, vous pouvez contacter :
- Commission d'accès à l'information du Québec (CAI) — cai.gouv.qc.ca
- Commissariat à la protection de la vie privée du Canada — priv.gc.ca
- Autorité de protection des données de votre pays (pour l'UE)
Version en vigueur : 25 avril 2026