Politique de confidentialité

Les Entreprises SecuAAS Inc. (ci-après « SecuAAS », « nous », « notre ») exploite la plateforme Scanyze (scanyze.com), un service SaaS de gestion de la surface d'attaque externe (EASM) et de balayage de vulnérabilités destiné aux entreprises. La présente politique de confidentialité décrit les renseignements personnels que nous collectons, les fins auxquelles nous les utilisons, les tiers avec lesquels nous les partageons et les droits dont vous disposez. Cette politique s'applique à tous les utilisateurs de Scanyze, qu'ils soient titulaires d'un compte ou simples visiteurs du site.

Conformément à la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, L.Q. 2021, c. 25), SecuAAS a désigné un responsable de la protection des renseignements personnels : Nom : Olivier, Président Fondateur Courriel : dpo@secuaas.com Adresse : 336, rue Jeanne d'Arc, Québec (Québec), Canada

Nous collectons les catégories suivantes de renseignements personnels : Renseignements d'identification : - Nom et prénom - Adresse courriel - Numéro de téléphone Renseignements techniques : - Adresse IP - Type de navigateur et système d'exploitation - Journaux d'accès et d'activité sur la plateforme - Identifiants de session Renseignements d'affaires : - Nom de l'organisation - Domaines et sous-domaines à analyser - Adresses IP et plages réseau associées Données de balayage : - Résultats de scans de vulnérabilités (ports ouverts, services détectés, CVE identifiés, certificats SSL/TLS, configurations DNS) - Rapports d'analyse générés - Historique des scans et tendances - Tout document fourni par le client dans le cadre de l'utilisation du service Note importante : Les données de balayage concernent l'infrastructure technique du client. Elles peuvent contenir, de manière incidente, des renseignements personnels (ex. : noms dans des certificats SSL, adresses courriel dans des enregistrements WHOIS). SecuAAS traite ces données avec les mêmes protections que les renseignements personnels explicites.

Nous utilisons vos renseignements personnels aux fins suivantes : - Fournir, maintenir et améliorer les services Scanyze - Exécuter les balayages de vulnérabilités demandés par le client - Créer et gérer votre compte utilisateur - Authentifier votre identité et sécuriser l'accès à votre compte - Traiter les paiements via notre processeur Stripe - Générer des rapports d'analyse de sécurité - Communiquer avec vous concernant votre compte ou nos services - Assurer la sécurité et l'intégrité de la plateforme - Répondre à nos obligations légales et réglementaires - Produire des statistiques d'utilisation agrégées et anonymisées

Nous partageons vos renseignements personnels avec les tiers suivants, dans le cadre strict de la fourniture de nos services : - OVH Canada (Beauharnois) — Hébergement infrastructure — Données au Québec - Stripe Inc. — Traitement des paiements — Transfert transitoire (États-Unis) - Google LLC (Analytics) — Mesure d'audience — Transfert transitoire (États-Unis) - Anthropic (Claude API) — Analyse IA des résultats de scan — Transfert transitoire (États-Unis) - Google (Vertex AI / Gemini) — Analyse IA des résultats de scan — Transfert transitoire (États-Unis) - OpenAI — Analyse IA des résultats de scan — Transfert transitoire (États-Unis) - Microsoft (Exchange / SharePoint) — Communications internes — Transfert transitoire (États-Unis / Canada) Chaque sous-traitant impliquant un transfert hors-Québec a fait l'objet d'une Évaluation des facteurs relatifs à la vie privée (EFVP) conformément à l'article 17 de la Loi sur le privé.

Certains traitements impliquent un transfert transitoire de renseignements personnels vers des serveurs situés hors du Québec, principalement aux États-Unis. Ces transferts sont effectués conformément à l'article 17 de la Loi sur le privé, tel que modifié par la Loi 25. Avant chaque transfert, nous avons réalisé une EFVP tenant compte : - De la sensibilité des renseignements transférés - De la finalité du transfert - Des mesures de protection contractuelles et techniques en place - Du cadre juridique applicable dans le territoire de destination, incluant le risque lié au CLOUD Act (18 U.S.C. § 2713) et au FISA Section 702 Mesures d'atténuation appliquées : - Minimisation des données transmises aux API tierces (aucune donnée d'identification du client final n'est transmise aux API IA ; seuls les résultats techniques de scan sont envoyés pour analyse) - Chiffrement TLS 1.3 en transit - Aucun stockage persistant de renseignements personnels chez les fournisseurs d'API IA (traitement transitoire uniquement) - Clauses contractuelles de protection des données avec chaque sous-traitant - Hébergement primaire exclusivement au Québec (OVH Beauharnois)

Nous conservons vos renseignements personnels aussi longtemps que nécessaire aux fins pour lesquelles ils ont été collectés : - Données de compte : Durée de l'abonnement + 12 mois après la fermeture du compte - Résultats de scans : Conservés pendant la durée de l'abonnement. Supprimés dans les 30 jours suivant la fermeture du compte, sauf demande contraire - Rapports d'analyse : Même durée que les résultats de scans - Journaux de sécurité : 24 mois - Données de facturation : Selon les obligations fiscales applicables (6 ans minimum) - Données de mesure d'audience : 14 mois (Google Analytics)

Conformément à la législation applicable, vous disposez des droits suivants : - Droit d'accès à vos renseignements personnels - Droit de rectification des renseignements inexacts - Droit de retrait du consentement pour les traitements fondés sur le consentement - Droit à l'effacement (droit à l'oubli) dans les limites prévues par la loi - Droit à la portabilité de vos renseignements dans un format technologique structuré et couramment utilisé - Droit de déposer une plainte auprès de la Commission d'accès à l'information du Québec (CAI) Pour exercer vos droits, contactez notre RPRP à dpo@secuaas.com. Nous répondrons dans un délai de 30 jours.

En cas d'incident de confidentialité présentant un risque de préjudice sérieux, SecuAAS : - Prendra les mesures raisonnables pour diminuer les risques de préjudice - Avisera la Commission d'accès à l'information du Québec (CAI) - Avisera les personnes concernées - Consignera l'incident dans un registre tenu à cette fin

Nous nous réservons le droit de modifier la présente politique. Toute modification substantielle sera communiquée par courriel ou via une notification sur la plateforme au moins 30 jours avant son entrée en vigueur.