Conformité à la Loi 25 du Québec

Scanyze, opéré par Les Entreprises SecuAAS Inc. (NEQ 1177504777), est une plateforme de cybersécurité conçue pour respecter intégralement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25), entrée en vigueur le 22 septembre 2022, ainsi que les modifications apportées à la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1). Notre engagement va au-delà du strict minimum réglementaire : nous avons conçu Scanyze comme une plateforme cyber souveraine québécoise, où l'ensemble du cycle de vie des données reste sous juridiction québécoise et canadienne. Cette approche traduit notre conviction que la souveraineté numérique est une condition essentielle de la confiance entre une entreprise québécoise et son fournisseur de cybersécurité.

Toutes les données de nos clients sont hébergées exclusivement au Québec, dans le centre de données OVH Beauharnois. Aucune donnée client ne transite par des juridictions tierces, notamment celles soumises au CLOUD Act (États-Unis) ou au FISA. Cette architecture garantit que les autorités étrangères ne disposent d'aucun mécanisme légal pour accéder aux données traitées par Scanyze. Caractéristiques de notre infrastructure : - Centre de données : OVH Beauharnois (Québec, Canada) - Juridiction applicable : Québec, Canada (Code civil du Québec, lois fédérales canadiennes) - Pas d'accès par autorités étrangères : aucun transfert de données hors Canada pour le stockage opérationnel - Réplication géographique : limitée au territoire canadien Les seuls traitements transitoires hors Québec concernent certaines API de sous-traitants technologiques (voir section 8 — Sous-traitants), pour lesquels des Évaluations des facteurs relatifs à la vie privée (EFVP) ont été réalisées et des mesures d'atténuation appliquées.

La Loi 25 vous accorde plusieurs droits sur vos renseignements personnels. Scanyze met en œuvre les processus nécessaires pour vous permettre de les exercer simplement. - Droit d'accès : vous pouvez obtenir copie des renseignements personnels que nous détenons à votre sujet. - Droit de rectification : vous pouvez demander la correction de renseignements inexacts, incomplets ou équivoques. - Droit au retrait du consentement : vous pouvez retirer votre consentement à tout moment, sans frais et sans pénalité. - Droit à l'effacement (droit à l'oubli) : vous pouvez demander la suppression de vos renseignements, sous réserve des exceptions prévues par la loi (obligations comptables, fiscales, etc.). - Droit à la portabilité : vous pouvez recevoir vos renseignements dans un format technologique structuré et couramment utilisé. - Droit de plainte : vous pouvez déposer une plainte auprès de la Commission d'accès à l'information du Québec (CAI) si vous estimez que vos droits ne sont pas respectés. Pour exercer l'un de ces droits, contactez notre Responsable de la protection des renseignements personnels (voir section 4). Délai de réponse : 30 jours.

Conformément à l'article 3.1 de la Loi sur la protection des renseignements personnels dans le secteur privé, Les Entreprises SecuAAS Inc. a désigné un Responsable de la protection des renseignements personnels. Responsable : Olivier Lange, Président fondateur — Les Entreprises SecuAAS Inc. Courriel : rprp@scanyze.com (alias : dpo@secuaas.com) Adresse postale : 336, rue Jeanne-d'Arc, Québec (Québec) G1S 2R7, Canada Le RPRP est joignable pour : - Toute question relative à la protection de vos renseignements personnels - L'exercice de vos droits (accès, rectification, retrait, effacement, portabilité) - Le signalement d'un incident de confidentialité - Toute préoccupation relative aux pratiques de Scanyze en matière de vie privée L'identité et les coordonnées du RPRP sont également publiées de manière permanente sur notre site web, conformément à l'obligation de transparence prévue par la Loi 25.

Conformément aux articles 3.3 et 17 de la Loi sur la protection des renseignements personnels dans le secteur privé, Scanyze réalise des Évaluations des facteurs relatifs à la vie privée (EFVP) pour tout traitement présentant un risque pour la protection des renseignements personnels. Nous procédons à une EFVP notamment dans les cas suivants : - Acquisition, développement ou refonte d'un système d'information impliquant le traitement de renseignements personnels (art. 3.3) - Communication de renseignements personnels à un tiers situé hors du Québec (art. 17) - Mise en place d'un nouveau service ou d'une nouvelle technologie susceptible d'avoir des incidences sur la vie privée Nos EFVP couvrent en particulier les transferts vers nos sous-traitants technologiques (voir section 8). Pour chaque EFVP, nous évaluons : - La sensibilité des renseignements traités - Les finalités du traitement - Les mesures de sécurité du sous-traitant ou du destinataire - Le cadre juridique applicable dans la juridiction du destinataire - Les mesures contractuelles d'atténuation Les conclusions des EFVP sont consignées dans notre registre interne et peuvent être communiquées à la CAI sur demande.

Scanyze met en œuvre un ensemble de mesures techniques et organisationnelles pour assurer la confidentialité, l'intégrité et la disponibilité des renseignements personnels : - Chiffrement en transit (TLS 1.2+ minimum, TLS 1.3 par défaut) et chiffrement au repos (AES-256) pour toutes les données sensibles. - Contrôle d'accès basé sur les rôles (RBAC) avec principe du moindre privilège ; isolation multi-tenant au niveau base de données (Row-Level Security PostgreSQL). - Authentification multi-facteurs (MFA) obligatoire pour les comptes administrateurs et disponible pour tous les utilisateurs. - Journalisation et surveillance des accès aux renseignements personnels ; conservation des journaux d'audit pendant la durée requise par la loi. - Sauvegardes chiffrées régulières conservées au Québec, avec test périodique de restauration. - Ségrégation des environnements (développement, test, production) ; aucune donnée client réelle utilisée hors production. - Processus de gestion des correctifs de sécurité et veille sur les vulnérabilités. - Formation et sensibilisation continue du personnel aux exigences de la Loi 25 et aux bonnes pratiques de sécurité.

Conformément à l'article 3.5 de la Loi sur la protection des renseignements personnels dans le secteur privé, Scanyze tient un registre des incidents de confidentialité et applique le processus suivant en cas d'incident : 1. Détection et confinement immédiat. Notre équipe sécurité analyse l'incident, en évalue la portée et limite la propagation. 2. Évaluation du risque de préjudice sérieux. Nous évaluons la nature des renseignements concernés, le nombre de personnes touchées, les conséquences raisonnablement prévisibles et les mesures prises pour réduire le risque. 3. Notification à la Commission d'accès à l'information (CAI) et aux personnes concernées si l'incident présente un risque de préjudice sérieux. La notification est effectuée avec diligence et comporte les éléments exigés par la loi (description de l'incident, mesures prises, mesures recommandées aux personnes concernées, coordonnées du RPRP). Toutes les déclarations sont consignées dans notre registre interne d'incidents, conservé conformément aux exigences de la Loi 25.

Le stockage opérationnel des données de nos clients reste hébergé au Québec (OVH Beauharnois). Toutefois, certains traitements transitoires sont confiés à des sous-traitants technologiques pour lesquels une EFVP a été réalisée et des mesures contractuelles d'atténuation ont été mises en place. Nos principaux sous-traitants technologiques : - OVHcloud Canada (Beauharnois, Québec) — hébergement principal, infrastructure cloud, conservation au Québec. - Anthropic (États-Unis) — API Claude pour l'analyse assistée par IA des résultats de scan ; transfert transitoire, aucune persistance prolongée. - Google (États-Unis) — API Vertex AI / Gemini pour analyses complémentaires ; aucune persistance. - OpenAI (États-Unis) — API LLM pour traitements ponctuels ; transfert transitoire. - Stripe Inc. via SecuCFO (États-Unis) — traitement des paiements ; renseignements limités aux données de facturation. - Microsoft 365 (Canada) — courrier d'entreprise et collaboration interne SecuAAS, données stockées au Canada. Pour chaque sous-traitant établi hors Québec, nous appliquons : - Une EFVP documentée préalable au transfert (art. 17) - Des engagements contractuels imposant des mesures de protection au moins équivalentes à celles requises par la Loi 25 - Un suivi périodique de la conformité du sous-traitant La liste détaillée et à jour des sous-traitants peut être communiquée aux clients sur demande adressée au RPRP.

Si vous estimez que Scanyze ne respecte pas vos droits en vertu de la Loi 25 ou de la Loi sur la protection des renseignements personnels dans le secteur privé, plusieurs recours s'offrent à vous : 1. Adressez-vous d'abord à notre Responsable de la protection des renseignements personnels (RPRP). Nous nous engageons à examiner votre demande avec sérieux et à vous fournir une réponse motivée dans un délai de 30 jours. 2. Si vous n'êtes pas satisfait de notre réponse, vous pouvez déposer une plainte auprès de la Commission d'accès à l'information du Québec (CAI), l'autorité de surveillance compétente : https://www.cai.gouv.qc.ca/ La CAI peut mener une enquête, formuler des recommandations et, le cas échéant, ordonner des mesures correctives ou imposer des sanctions administratives pécuniaires conformément aux pouvoirs qui lui sont conférés par la Loi 25. Les recours civils prévus par le Code civil du Québec et par la Loi sur la protection des renseignements personnels dans le secteur privé demeurent applicables, y compris en cas de préjudice résultant d'une atteinte aux droits prévus par ces lois.