Comment on protège les données de vos clients

Quand vous confiez à LogicSupplies les courriels, numéros de téléphone et historiques d'achat de vos clients, vous nous confiez une responsabilité légale et morale. Voici ce qu'on fait avec — et tout ce qu'on ne fait pas.

1. Hébergement 100 % canadien

Toutes les données collectées via nos applications sont stockées sur Supabase, une infrastructure cloud avec serveurs en Amérique du Nord, dont des régions canadiennes. Aucune donnée n'est transférée hors-Canada sauf pour des intégrations explicitement nécessaires (par exemple, l'envoi de courriels via un service tiers, où seule l'adresse courriel est partagée).

2. Conformité Loi 25 du Québec

Le 22 septembre 2022, le Québec a adopté la Loi 25 (modernisation des dispositions sur la protection des renseignements personnels). Tous les commerces québécois sont maintenant tenus de :

• Obtenir le consentement explicite avant de collecter des renseignements personnels
• Permettre aux clients d'accéder à leurs données et de les supprimer sur demande
• Notifier la Commission d'accès à l'information (CAI) en cas de fuite
• Effectuer une évaluation des facteurs relatifs à la vie privée pour les transferts hors-Québec

Nos applications intègrent par défaut :

• Une case à cocher de consentement explicite à l'inscription
• Un lien vers la politique de confidentialité visible et permanent
• Un bouton « Exporter mes données » dans le profil client
• Un bouton « Supprimer mon compte » qui efface l'historique sous 30 jours
• Un journal d'audit des accès admin aux données client

3. Chiffrement

• Au repos : AES-256 via Supabase (chiffrement de la base de données complète)
• En transit : TLS 1.3 sur tous les endpoints API et les connexions web
• Mots de passe clients : hashés avec bcrypt + sel unique par compte (jamais stockés en clair)
• Apple Wallet : passes signés cryptographiquement avec certificat Apple PassKit (Team ID D8SXYV7QXP)

4. Propriété de vos données

Les données collectées via votre app appartiennent à VOUS, pas à LogicSupplies. Concrètement :

• Vous pouvez exporter la base complète de vos clients en CSV en tout temps depuis le tableau de bord admin
• Vous pouvez résilier l'abonnement et garder votre export comme archive permanente
• LogicSupplies n'utilise jamais vos données client pour faire du marketing ou de la vente à des tiers
• Aucune donnée client ne sera jamais utilisée pour entraîner des modèles d'IA
• En cas de fermeture de LogicSupplies, vous obtenez automatiquement votre export complet 60 jours avant la fin du service

5. Données collectées par défaut

Pour le programme de fidélité de base, nos applications collectent :

• Nom et courriel du client (obligatoire à l'inscription)
• Numéro de téléphone (optionnel — requis seulement si SMS activés)
• Date d'anniversaire (optionnel — pour les bonus anniversaire)
• Historique de transactions (montant et date — pas les détails de paiement, qui restent chez votre POS)
• Solde de points et historique de récompenses débloquées

Nous ne collectons jamais :

• Numéros de carte de crédit ou détails bancaires (zéro stockage côté nous)
• Adresse domiciliaire (sauf si le commerce l'active explicitement pour livraison)
• Données biométriques
• Géolocalisation continue (seulement à l'ouverture de l'app si l'utilisateur consent à recevoir des notifications de proximité)

6. Accès aux données

• Vous (commerce admin) : accès complet via le tableau de bord
• Vos employés : accès limité au scanner QR (peuvent ajouter des points, voir le solde d'un client, échanger une récompense — pas exporter ni voir l'historique global)
• LogicSupplies : accès admin pour le support technique et les déploiements, journalisé. Aucun employé de LogicSupplies ne consulte vos données sauf à votre demande explicite
• Tiers : aucun

7. Notification de fuite

Si une fuite de données se produit, nous nous engageons à :

• Notifier le commerce affecté sous 24 heures
• Notifier la Commission d'accès à l'information (CAI) dans les délais prescrits par la Loi 25
• Aider le commerce à notifier ses clients selon les exigences légales
• Documenter la cause, l'étendue et les mesures correctives

8. Sous-traitants

Pour livrer notre service, nous utilisons les sous-traitants suivants. Tous ont des engagements contractuels de confidentialité :

• Supabase (base de données + auth) — données stockées en région nord-américaine
• Twilio (envoi de SMS, optionnel) — numéros de téléphone seulement
• Resend (envoi de courriels, optionnel) — adresses courriel seulement
• Apple (Wallet pass certificate authority) — métadonnées de carte seulement
• GitHub Pages (hébergement statique de la démo) — aucune donnée client
• Cloudflare (CDN + protection DDoS) — aucune donnée client persistée

9. Demande d'accès / suppression

Tout client final peut demander :

• Une copie complète de ses données personnelles dans son profil de l'app
• La suppression complète de son compte et de son historique
• La rectification d'une information erronée

Le commerce peut aussi initier ces actions depuis son tableau de bord admin. Toutes les demandes sont traitées sous 30 jours conformément à la Loi 25.

10. Mises à jour de cette politique

Cette politique évolue avec nos pratiques et la législation. Toute modification matérielle est annoncée par courriel à l'admin du commerce avec au moins 30 jours d'avis avant l'entrée en vigueur. La version actuelle a été mise à jour le 26 avril 2026.

Contact pour questions sur la confidentialité

Email : olivier@logiccsupplies.ca (mentionner « Confidentialité » dans l'objet)

Adresse postale : disponible sur demande via courriel.

Pour les plaintes formelles : Commission d'accès à l'information du Québec — cai.gouv.qc.ca