1. Introduction
PRPscore propose une plateforme d’évaluation et de certification « sur preuves » en protection des renseignements personnels, incluant la réservation d’auditeurs, la gestion d’un dossier de preuves et, le cas échéant, le paiement en ligne. Nous appliquons le principe de minimisation : ne traiter que ce qui est nécessaire au fonctionnement du service.
La certification sur preuves se fait via réservation d’un auditeur. Les réservations, statuts et échanges sont stockés dans Firebase. Les documents déposés (Evidence Vault) sont stockés dans Firebase Storage. Les paiements sont traités par Stripe (PRPscore ne stocke pas vos numéros de carte).
2. Données traitées
2.1 Données de compte
- Adresse courriel et informations de profil (ex. nom affiché/organisation), si vous créez un compte
- Code de vérification à six chiffres envoyé par courriel pour créer un compte ou vous connecter. Le code est temporaire, limité dans le temps et stocké sous forme technique hachée pendant la vérification.
- Ancien accès par pseudo : les comptes déjà créés avec un pseudo peuvent conserver un mode de connexion hérité. Pour ces comptes uniquement, le mot de passe est géré par Firebase Authentication et PRPscore n’a pas accès au mot de passe en clair.
- Identifiants techniques :
uidFirebase, jetons de session, jetons personnalisés et données techniques de maintien de session - Rôle plateforme : client/organisation, auditeur/expert, administrateur
2.2 Données liées aux réservations & missions
- Réservations : auditeur choisi, date/heure, durée, statut (hold/confirmé/terminé…)
- Informations de cadrage : périmètre, systèmes, contexte (selon ce que vous saisissez)
- Messagerie : messages échangés dans le cadre d’une mission
2.3 Dossier de preuves (Evidence Vault)
- Documents téléversés (politiques, registres, procédures, clauses, preuves de mise en œuvre, etc.)
- Métadonnées : titre, tags, statut (“reçu / à revoir / accepté / rejeté”), commentaires d’audit, horodatages
2.4 Données de l’outil (questionnaire / plan d’actions)
- Questionnaire : réponses, scores, états de complétion (si vous utilisez l’auto-diagnostic)
- Plan d’actions (ex. Kanban) : tâches, statuts, priorités, commentaires liés à la remédiation
- EFVP : enregistrée uniquement dans votre navigateur et non sur les serveurs PRPscore (voir section 10)
2.5 Données techniques (logs)
- Adresse IP et informations de connexion (ex. date/heure, user-agent) pouvant apparaître dans les journaux techniques des services utilisés
- Traces techniques liées à l’authentification par courriel : demande de code, vérification du code, nombre d’essais, expiration et résultat technique de la tentative
- Données de diagnostic nécessaires à la sécurité et au bon fonctionnement (erreurs applicatives, métriques techniques)
Évitez d’envoyer des renseignements personnels sensibles non nécessaires dans les champs libres ou fichiers. Déposez uniquement ce qui est utile à l’audit/certification.
3. Finalités
Nous traitons les données pour :
- Créer et gérer votre compte (authentification par courriel, envoi et vérification du code, maintien de session)
- Permettre la réservation d’un auditeur et le suivi des missions (statuts, calendrier, messagerie)
- Gérer le dossier de preuves (Evidence Vault) et produire des résultats (rapports, commentaires, statuts)
- Fournir, si applicable, l’auto-diagnostic (questionnaire) et un plan d’actions
- Assurer la sécurité, prévenir la fraude et protéger l’intégrité de la plateforme
- Fournir l’assistance et répondre à vos demandes (support)
4. Base légale
- Exécution du service : compte, réservations, missions, dossier de preuves, livrables
- Intérêt légitime : sécurité, prévention de la fraude, amélioration et qualité de service
- Obligations légales : comptabilité, gestion des litiges, conformité applicable
- Consentement : lorsque requis pour certains stockages locaux non essentiels (le cas échéant)
Remarque : selon votre juridiction (ex. Québec – Loi 25 / UE – RGPD), l’articulation exacte des bases juridiques peut varier, mais les finalités restent celles décrites ci-dessus.
5. Hébergement & sous-traitants
Nous utilisons notamment les prestataires suivants :
- Hostinger : hébergement web (infrastructure, journaux techniques associés)
- Firebase (Google) : authentification, base de données (Firestore), hébergement et stockage (Storage)
- SendGrid : envoi des courriels transactionnels, notamment les codes de vérification à six chiffres
- Stripe : paiement en ligne (et versements aux auditeurs via Stripe Connect)
La localisation des données (région/centres de données) dépend de la configuration du projet et des services utilisés. Pour toute question sur la région d’hébergement, contactez-nous (section 12).
6. Paiements & versements
6.1 Paiements clients
Les paiements sont traités par Stripe. PRPscore ne stocke pas vos numéros de carte. Nous pouvons conserver des informations de transaction nécessaires à la preuve et au suivi (montant, devise, statut, identifiants techniques Stripe).
6.2 Versements aux auditeurs (Stripe Connect)
Les auditeurs peuvent être amenés à activer un compte Stripe Connect pour recevoir des versements. Les informations d’identification requises (KYC) sont collectées et traitées par Stripe, conformément à ses obligations.
PRPscore applique une commission sur les prestations réalisées via la plateforme. Le versement à l’auditeur est effectué après validation de la prestation, conformément aux règles du service.
7. Durées de conservation
- Données de compte : conservées tant que votre compte est actif. En cas de suppression, suppression/anonymisation dans un délai raisonnable, sauf obligation légale contraire.
- Codes de vérification par courriel : conservés uniquement le temps nécessaire à la vérification. Les codes expirent rapidement et les traces associées sont supprimées ou remplacées lorsqu’un nouveau code est demandé, sous réserve des journaux techniques de sécurité.
- Réservations & transactions : conservées le temps nécessaire au suivi, à la preuve et aux obligations légales.
- Dossier de preuves : conservé tant que votre organisation le conserve dans la plateforme, ou jusqu’à suppression demandée (selon vos droits et obligations applicables).
- Logs techniques : conservés pour une durée limitée, nécessaire à la sécurité et au diagnostic.
8. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles raisonnables pour protéger les données contre l’accès non autorisé, la modification, la divulgation ou la destruction.
- Contrôles d’accès et règles de sécurité côté Firebase (rôles client/auditeur/admin)
- Connexion par code temporaire envoyé à l’adresse courriel déclarée, avec expiration et limitation du nombre d’essais
- Chiffrement en transit (HTTPS) entre votre navigateur et les services
- Journalisation technique et mécanismes anti-fraude (dans les limites nécessaires)
- Stockage des fichiers de preuves via Storage avec permissions contrôlées
9. Vos droits
Selon la loi applicable, vous pouvez notamment :
- Demander l’accès à vos données et leur rectification
- Demander la suppression de vos données (compte, contenus, fichiers) sous réserve d’obligations légales
- Vous opposer à certains traitements et/ou demander une limitation
- Demander la portabilité lorsque applicable
Pour exercer vos droits, écrivez-nous (section 12) en précisant l’adresse courriel de votre compte et l’objet de la demande. Pour les données de paiement, certaines informations sont gérées par Stripe.
10. Cookies & stockage local
PRPscore utilise des mécanismes de stockage local nécessaires au fonctionnement (ex. session, préférences), notamment dans le cadre de l’authentification Firebase. Le module EFVP enregistre ses données uniquement dans votre navigateur.
PRPscore n’utilise pas de cookies publicitaires ou de mesure d’audience non essentiels à ce stade.
10.1 EFVP enregistrée uniquement dans votre navigateur
- L’EFVP est stockée localement sur votre appareil (ex.
localStorage,IndexedDBou mécanisme équivalent selon l’implémentation). - Elle n’est pas enregistrée sur les serveurs PRPscore.
- Vous pouvez la supprimer en effaçant les données du site dans votre navigateur.
10.2 Sessions et fonctionnement
- Des jetons techniques peuvent être stockés localement pour maintenir votre session (authentification Firebase).
- Le code de vérification reçu par courriel n’est pas destiné à être conservé dans votre navigateur au-delà de la saisie nécessaire à la connexion.
11. Modifications de cette politique
Nous pouvons mettre à jour cette politique pour refléter des évolutions du service ou des exigences légales. La date de dernière mise à jour en haut de page indique la version en vigueur.
12. Contact
Pour toute question relative à la présente politique de confidentialité, à l’exercice de vos droits ou au traitement de vos renseignements personnels, vous pouvez communiquer avec le responsable de la protection des renseignements personnels de PRPScore Inc. à l’adresse suivante : contact@prpscore.com For any questions regarding this Privacy Policy, the exercise of your rights, or the processing of your personal information, you may contact the person responsible for the protection of personal information at PRPScore Inc. at the following address: contact@prpscore.com