Politique de confidentialitéPrivacy Policy

1. Qui nous sommes1. Who we are

La présente politique s'applique au service Alinova, exploité par Alinova Inc. (« nous », « notre »), société par actions constituée selon les lois du Québec, ayant un établissement à Brossard (Québec), Canada (adresse postale complète disponible sur demande écrite), immatriculée au Registre des entreprises du Québec sous le NEQ 1181341117. This policy applies to the Alinova service, operated by Alinova Inc. ("we", "our"), a corporation incorporated under the laws of Quebec, with a place of business in Brossard (Quebec), Canada (full mailing address available upon written request), registered with the Quebec Enterprise Register under NEQ 1181341117.

2. Renseignements collectés2. Information we collect

2.1 Données de compte2.1 Account data

Lors de la création de votre compte ou du lancement d'un audit : nom, courriel professionnel, nom de l'organisation, langue de préférence, pays. Ces renseignements sont fournis directement par vous. When you create an account or run an audit: name, work email, organization name, preferred language, country. You provide this data directly.

2.2 Données techniques d'audit Microsoft 3652.2 Microsoft 365 audit technical data

Avec votre consentement administrateur, nous récupérons via l'API Microsoft Graph : With your admin consent, we retrieve via the Microsoft Graph API:

• Les politiques de sécurité, le score Microsoft Secure Score, les paramètres d'accès conditionnelSecurity policies, Microsoft Secure Score, Conditional Access settings
• La liste des utilisateurs (identifiants, dates de connexion, statut MFA) — jamais le contenu de leurs courriels ou fichiersUser list (IDs, sign-in dates, MFA status) — never the content of their emails or files
• Les licences attribuées et leur utilisation agrégéeAssigned licenses and aggregate usage
• Les métadonnées de partage (qui partage avec qui, type d'accès) — pas les fichiers eux-mêmesSharing metadata (who shares with whom, access type) — not the files themselves
• La configuration DNS publique du domainePublic DNS configuration of the domain
• La liste des applications OAuth tierces ayant un consentementList of consented third-party OAuth apps

2.3 Données techniques de navigation2.3 Browsing data

Adresse IP (anonymisée dans les 30 jours), type de navigateur, pages visitées, durée de session, source de la visite. Voir la section Témoins. IP address (anonymized within 30 days), browser type, pages visited, session duration, traffic source. See Cookies section.

2.4 Données de facturation2.4 Billing data

Si vous achetez un rapport ou un abonnement, les données de paiement sont traitées par Stripe Inc. — nous ne stockons pas votre numéro de carte. Nous conservons uniquement les informations de facturation requises par la loi (nom, adresse, montant, date, numéro de transaction). If you purchase a report or subscription, payment data is processed by Stripe Inc. — we do not store your card number. We retain only the billing information required by law (name, address, amount, date, transaction ID).

3. Finalités d'utilisation3. How we use it

DonnéeData	FinalitéPurpose
Compte + auditAccount + audit	Fournir le service (générer le rapport, vous l'envoyer)Deliver the service (generate the report, send it to you)
CourrielEmail	Vous transmettre votre rapport et alertes de sécurité ; communications sur votre abonnementSend your report and security alerts; subscription communications
Données techniques de navigationBrowsing data	Mesurer l'usage du site, détecter les abus, améliorer l'expérienceMeasure site usage, detect abuse, improve UX
FacturationBilling	Émettre les factures, respecter nos obligations fiscalesIssue invoices, meet tax obligations

Nous ne vendons jamais vos renseignements personnels à des tiers. Nous ne les utilisons pas pour faire de la publicité comportementale. We never sell your personal information to third parties. We do not use it for behavioral advertising.

4. Bases légales du traitement4. Legal basis

Selon votre juridiction, nous traitons vos données sur la base de : Depending on your jurisdiction, we process data on the basis of:

• Exécution du contratPerformance of contract — pour fournir le service souscritto deliver the requested service
• ConsentementConsent — pour l'audit Microsoft 365 (consentement admin) et les communications marketingfor the Microsoft 365 audit (admin consent) and marketing communications
• Intérêt légitimeLegitimate interest — pour la sécurité du service et l'amélioration produitfor service security and product improvement
• Obligation légaleLegal obligation — pour la facturation et la comptabilitéfor billing and accounting

5. Sous-traitants5. Sub-processors

Nous faisons appel à des prestataires soigneusement sélectionnés. Tous sont liés par un accord de traitement des données : We rely on carefully selected providers, each bound by a data processing agreement:

PrestataireProvider	RôleRole	LocalisationLocation
Microsoft	API Graph (lecture du tenant)Graph API (tenant read)	Choix client : Canada/UE/USCustomer choice: Canada/EU/US
Supabase	Base de données, authentificationDatabase, authentication	Canada (Montréal)
Vercel	Hébergement application webWeb app hosting	Canada / US
Stripe	Traitement des paiementsPayment processing	Canada / US / EU
Resend	Envoi de courriels transactionnelsTransactional emails	US (chiffrement TLS)

6. Communication hors Québec6. Transfers outside Quebec

Conformément à l'article 17 de la Loi 25, nous évaluons chaque transfert hors du Québec et exigeons des protections équivalentes par contrat (clauses contractuelles types pour les transferts vers les États-Unis et l'Union européenne). Per Quebec Law 25 section 17, we assess each transfer outside Quebec and require equivalent protections by contract (standard contractual clauses for US and EU transfers).

Vous pouvez nous demander, via notre formulaire de contact (catégorie « Vie privée / Loi 25 »), l'évaluation de tout transfert spécifique vous concernant. You can request an evaluation of any specific transfer concerning you via our contact form (category "Privacy / Law 25").

7. Durées de conservation7. Retention

• Données brutes d'audit : non conservées. Détruites en mémoire après génération du rapport.Raw audit data: not retained. Destroyed in memory after report generation.
• Indicateurs agrégés et rapports : 24 mois après le dernier audit, puis suppression automatique.Aggregated indicators and reports: 24 months after the last audit, then automatically deleted.
• Données de compte : conservées tant que le compte est actif, puis 30 jours après fermeture.Account data: kept while active, then 30 days after closure.
• Factures : 6 ans (obligation fiscale au Canada).Invoices: 6 years (Canadian tax obligation).
• Journaux techniques : 90 jours.Technical logs: 90 days.

8. Sécurité des données8. Data security

• Chiffrement TLS 1.3 pour toutes les communicationsTLS 1.3 encryption for all communications
• Chiffrement au repos AES-256 sur les bases de donnéesAES-256 encryption at rest on databases
• Authentification à deux facteurs obligatoire pour tout accès employéTwo-factor authentication required for all employee access
• Principe du moindre privilège pour les accès internesPrinciple of least privilege for internal access
• Journalisation et audits trimestriels des accèsLogging and quarterly access audits
• Procédure de notification d'incident sous 72 h (Loi 25, RGPD)72-hour breach notification procedure (Law 25, GDPR)

9. Vos droits9. Your rights

Que vous soyez au Québec (Loi 25), ailleurs au Canada (LPRPDE) ou dans l'UE (RGPD), vous disposez des droits suivants : Whether you are in Quebec (Law 25), elsewhere in Canada (PIPEDA), or in the EU (GDPR), you have the following rights:

• AccèsAccess — obtenir une copie de vos renseignementsget a copy of your data
• RectificationRectification — corriger des données inexactes ou incomplètescorrect inaccurate or incomplete data
• Désindexation / suppressionErasure — demander l'effacement (sous réserve de nos obligations légales)request deletion (subject to our legal obligations)
• PortabilitéPortability — recevoir vos données dans un format structuréreceive your data in a structured format
• Retrait du consentementWithdraw consent — à tout moment, sans affecter la licéité du traitement antérieurat any time, without affecting the lawfulness of prior processing
• Limitation et oppositionRestriction & objection — vous opposer à certains traitementsobject to certain processing

Pour exercer ces droits : utilisez notre formulaire de contact en sélectionnant « Vie privée / Loi 25 ». Nous répondons sous 30 jours. To exercise these rights: use our contact form and select "Privacy / Law 25". We respond within 30 days.

10. Témoins (cookies)10. Cookies

Nous utilisons un nombre minimal de témoins, gérés via notre bannière de consentement affichée à votre première visite : We use a minimal set of cookies, managed via the consent banner shown on your first visit:

• Témoins strictement nécessaires : préférence de langue et de devise, choix de consentement aux témoins (stockés localement dans votre navigateur, jamais envoyés à des tiers)Strictly necessary: language and currency preference, cookie consent choice (stored locally in your browser, never sent to third parties)
• Mesure d'audience anonyme : Plausible Analytics — sans suivi inter-sites, sans empreinte numérique, sans cookie de pistage. Bien que Plausible ne requière pas techniquement de consentement, nous demandons votre choix par transparence.Anonymous analytics: Plausible Analytics — no cross-site tracking, no fingerprinting, no tracking cookies. Although Plausible technically does not require consent, we ask for your choice out of transparency.

Votre choix de consentement est conservé localement avec la date de la décision. Vous pouvez modifier votre choix à tout moment en vidant le stockage local de votre navigateur pour notre site, ou via notre formulaire de contact. Your consent choice is stored locally along with the decision date. You can update your choice at any time by clearing your browser's local storage for our site, or via our contact form.

11. Décisions automatisées11. Automated decisions

Le score de sécurité et les recommandations sont générés automatiquement à partir de règles documentées. Aucune décision juridiquement opposable n'est prise par notre système sur la base de ce score. Vous pouvez demander une explication détaillée de la méthodologie via notre formulaire de contact. The security score and recommendations are generated automatically from documented rules. No legally binding decision is made by our system based on this score. You can request a detailed methodology via our contact form.

12. Mineurs12. Minors

Le service est destiné exclusivement aux organisations. Nous ne collectons sciemment aucune donnée concernant des personnes de moins de 14 ans (Québec) ou de moins de 16 ans (UE). The service is intended for organizations only. We do not knowingly collect data about individuals under 14 (Quebec) or under 16 (EU).

13. Modifications13. Changes

Toute modification substantielle de cette politique vous sera notifiée par courriel au moins 30 jours avant son entrée en vigueur. La version en vigueur est toujours datée en haut de cette page. Any substantial change to this policy will be emailed to you at least 30 days before taking effect. The current version is always dated at the top of this page.

14. Comment porter plainte14. How to file a complaint

Si nous n'avons pas répondu de manière satisfaisante : If we have not responded satisfactorily:

• Au QuébecIn Quebec : Commission d'accès à l'information du Québec (CAI)
• Ailleurs au CanadaElsewhere in Canada : Commissariat à la protection de la vie privée du Canada
• Union européenneEuropean Union : l'autorité de contrôle de votre pays (CNIL en France)the supervisory authority of your country (CNIL in France)