Conformité à la Loi 25

Les Entreprises SecuAAS Inc. s'engage à respecter la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (L.Q. 2021, c. 25), ci-après « Loi 25 », incluant les modifications apportées à la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1).

Gouvernance : - Responsable de la protection des renseignements personnels (RPRP) : Olivier, Président Fondateur — dpo@secuaas.com - Publication de l'identité et des coordonnées du RPRP sur le site web de SecuAAS - Politiques et pratiques de gouvernance documentées et accessibles Consentement : - Obtention d'un consentement manifeste, libre, éclairé et donné à des fins spécifiques - Consentement granulaire (par finalité) pour les cookies et les communications - Mécanisme simple et accessible de retrait du consentement - Consentement distinct pour chaque finalité de traitement Évaluations des facteurs relatifs à la vie privée (EFVP) : Des EFVP ont été réalisées pour tout traitement impliquant : - Un transfert de renseignements personnels hors du Québec (art. 17) - L'acquisition, le développement ou la refonte d'un système d'information (art. 3.3) - La communication de renseignements personnels à des tiers Les EFVP réalisées couvrent les sous-traitants suivants : - Anthropic (Claude API) — États-Unis - Google (Vertex AI / Gemini / Analytics) — États-Unis - OpenAI — États-Unis - Stripe — États-Unis - Microsoft (Exchange / SharePoint) — États-Unis / Canada Données de balayage et renseignements personnels incidents : Scanyze traite principalement des données d'infrastructure technique. Toutefois, certaines données de balayage peuvent contenir de manière incidente des renseignements personnels (noms dans des certificats, adresses courriel dans des enregistrements WHOIS). Ces données sont traitées avec les mêmes garanties que les renseignements personnels explicites. Registre des incidents de confidentialité : - Tenue d'un registre des incidents conformément à l'article 3.5 - Processus de notification à la CAI et aux personnes concernées en cas de risque de préjudice sérieux Droit à la portabilité : - Les renseignements personnels peuvent être communiqués dans un format technologique structuré et couramment utilisé sur demande Transparence : - Politique de confidentialité rédigée en termes simples et clairs - Information sur les sous-traitants et les transferts hors-Québec - Identification des finalités spécifiques de chaque collecte

L'ensemble de l'infrastructure de Scanyze est hébergée au Québec (OVH Beauharnois). Les seuls transferts hors-Québec concernent des traitements transitoires via les API de sous-traitants technologiques, pour lesquels des EFVP ont été réalisées et des mesures d'atténuation appliquées.

- Accès à vos renseignements personnels - Rectification de renseignements inexacts, incomplets ou équivoques - Retrait du consentement - Droit à l'effacement (droit à l'oubli, sous réserve des exceptions légales) - Droit à la portabilité - Droit de déposer une plainte auprès de la CAI Contact : dpo@secuaas.com — Délai de réponse : 30 jours.