Politique
Politique de confidentialité
Conforme à la Loi 25 du Québec — Mise à jour : 2026-05-16
La présente politique décrit comment Cartes Coelecoco, service édité par Canada Horizon 3000 SA (Gatineau, Québec), collecte, traite et protège les renseignements personnels que vous nous confiez. Elle est conforme à la Loi sur la protection des renseignements personnels dans le secteur privé (Loi 25) du Québec.
1. Responsable de la protection des renseignements personnels
Conformément à l'article 3.1 de la Loi 25, la personne responsable est :
Vignikin Edorh
Courriel : admin@canadahorizon3000.ca
Canada Horizon 3000 SA, Gatineau, Québec, Canada
2. Renseignements collectés
Nous collectons uniquement les renseignements strictement nécessaires au service :
- Compte organisateur : adresse courriel, prénom (optionnel), mot de passe haché.
- Événement : titre, nom de l'enfant, âge, date, heure, lieu, message, photo (optionnelle).
- Invités : nom, courriel (optionnel), allergies (optionnel), régime alimentaire (optionnel), contact d'urgence (optionnel), message à l'hôte.
- Paiement : numéro de commande, méthode, montant. Les données carte sont traitées par Stripe et ne transitent jamais par nos serveurs.
- Logs techniques : adresse IP et user-agent stockés sous forme de hash HMAC (jamais en clair) pour la sécurité et la conformité.
3. Finalités du traitement
- Permettre la création, la personnalisation et l'envoi d'invitations d'événements.
- Collecter les réponses RSVP et transmettre les informations utiles à l'organisateur·trice (allergies, accompagnants, etc.).
- Facturer et tenir la comptabilité (obligation légale fiscale).
- Détecter et prévenir la fraude.
- Assurer la sécurité des comptes (rate limiting, audit log).
Aucune utilisation à des fins de profilage publicitaire, de revente, ou de prise de décision automatisée.
4. Consentement
Votre consentement est recueilli de manière manifeste, libre, éclairée et spécifique :
- À la création de compte : case à cocher non pré-cochée acceptant la présente politique.
- À chaque réponse RSVP : case à cocher non pré-cochée acceptant la transmission chiffrée à l'organisateur.
- L'horodatage du consentement est enregistré (
consent_date).
Vous pouvez retirer votre consentement à tout moment en demandant la suppression de votre compte (section 8).
5. Durée de conservation
Conformément au principe de minimisation (Loi 25 art. 23), les données sont automatiquement effacées :
- 30 jours après la date de l'événement : tous les renseignements de l'événement et des invités.
- 7 jours après une demande de suppression : compte organisateur et événements liés.
- 10 ans pour les factures (obligation fiscale du Québec).
- 30 jours pour les tentatives de connexion (rate limiting).
6. Chiffrement et sécurité
- Toutes les colonnes contenant un renseignement personnel sont chiffrées au repos en AES-256 (bibliothèque
defuse/php-encryption). - Les mots de passe sont hachés en bcrypt coût 12.
- Les communications sont protégées par TLS 1.2+ (HSTS activé, certificat Let's Encrypt).
- Les sauvegardes sont chiffrées et conservées 30 jours.
7. Hébergement et transferts
Vos données sont hébergées au Canada (Montréal, Québec) chez Web Hosting Canada (WHC). Elles ne quittent jamais le territoire canadien, sauf pour le traitement des paiements par Stripe (États-Unis, certifié PCI-DSS niveau 1).
8. Vos droits (Loi 25, art. 27 et suivants)
- Droit d'accès : exportez l'intégralité de vos données au format JSON depuis votre page de confidentialité.
- Droit de rectification : modifiez vos informations depuis votre compte.
- Droit à l'effacement : demandez la suppression définitive (effective après 7 jours).
- Droit à la portabilité : l'export JSON est un format machine-readable standard.
- Droit à l'information : nous répondons à toute demande dans un délai maximal de 30 jours.
9. Témoins (cookies)
Nous utilisons des témoins strictement nécessaires au fonctionnement du service :
cc_session: maintien de votre session (durée 2 h, HttpOnly, Secure).cc_locale: mémorisation de votre langue préférée (1 an).
Aucun témoin publicitaire ni analytique tiers n'est utilisé. Aucun consentement préalable n'est requis.
10. Sous-traitants
- Stripe (États-Unis) : traitement des paiements par carte. stripe.com/privacy
- Brevo (France) : envoi des courriels transactionnels.
- WHC (Canada) : hébergement des serveurs.
11. Procédure de plainte
En cas de litige, vous pouvez écrire au responsable (admin@canadahorizon3000.ca). Si la réponse vous semble insuffisante, vous pouvez déposer une plainte auprès de la Commission d'accès à l'information du Québec :
Commission d'accès à l'information du Québec
525, boul. René-Lévesque Est, bureau 2.36
Québec (Québec) G1R 5S9
cai.gouv.qc.ca
12. Mises à jour
Cette politique peut être modifiée. Toute mise à jour substantielle vous sera notifiée par courriel à l'adresse associée à votre compte. La date de dernière mise à jour est indiquée en tête de document.