Politique de confidentialite

LogBastion collecte les categories de donnees suivantes dans le cadre de la fourniture du Service : **Donnees de compte** - Nom de l'organisation, courriel de l'administrateur, mot de passe (hache via bcrypt) - Informations de facturation transmises a Stripe (carte de credit — jamais stockees sur nos serveurs) - Adresse IP de connexion, fuseau horaire, langue preferee **Donnees de logs (transmises par le Client)** - Logs systeme, logs applicatifs, evenements de securite, metriques - Ces donnees sont la propriete exclusive du Client et sont traitees uniquement dans le cadre du Service **Donnees d'utilisation du Service** - Pages consultees, fonctionnalites utilisees, requetes de recherche - Volume d'ingestion, nombre d'alertes, frequence de connexion - Ces donnees sont collectees a des fins d'amelioration du Service et de facturation

Les donnees sont collectees et traitees pour les finalites suivantes : - Fourniture du Service : ingestion, stockage, analyse et correlation des logs du Client - Gestion du compte : authentification, autorisation, gestion des utilisateurs - Facturation : calcul des volumes, generation des factures, traitement des paiements - Amelioration du Service : analyse de l'utilisation pour optimiser les performances et les fonctionnalites - Support technique : diagnostic et resolution des incidents signales par le Client - Securite : detection et prevention des activites frauduleuses ou malveillantes - Communications : notifications relatives au Service (maintenances, incidents, mises a jour)

Le traitement des donnees personnelles est fonde sur les bases legales suivantes, conformement a la Loi sur la protection des renseignements personnels dans le secteur prive (Loi 25, Quebec) : - **Execution du contrat** : le traitement des donnees de compte et des logs est necessaire a l'execution du contrat de service entre SecuAAS et le Client. - **Consentement** : le Client consent au traitement de ses donnees lors de la creation de son compte et de l'acceptation des conditions generales de vente. - **Interet legitime** : les donnees d'utilisation du Service sont traitees sur la base de l'interet legitime de SecuAAS a ameliorer son Service, sous reserve que cet interet ne porte pas atteinte aux droits du Client. Le Client peut retirer son consentement a tout moment en resiliant son compte. Le retrait du consentement n'affecte pas la liceite du traitement effectue avant le retrait.

Toutes les donnees sont hebergees exclusivement au Quebec, Canada : - **Centre de donnees** : OVH Canada, Beauharnois, Quebec (BHS) - **Aucun transfert international** : aucune donnee ne transite ou n'est stockee a l'exterieur du Quebec - **Infrastructure** : Kubernetes manage OVH Canada, stockage objet OVH Canada Cette politique de residence des donnees est conforme aux exigences de la Loi 25 et garantit que les donnees du Client demeurent sous la juridiction quebecoise en tout temps. SecuAAS ne fera appel a aucun sous-traitant hebergeant des donnees a l'exterieur du Quebec sans le consentement ecrit prealable du Client.

Les donnees sont conservees pour les durees suivantes : - **Donnees de logs** : selon la duree de retention du plan souscrit (30 jours a 2 ans, ou personnalisee pour Enterprise). A l'expiration, les logs sont supprimes definitivement. - **Donnees de compte** : conservees pendant toute la duree de l'abonnement, puis pendant trente (30) jours apres la resiliation pour permettre l'export. - **Donnees de facturation** : conservees pendant sept (7) ans conformement aux obligations fiscales canadiennes et quebecoises. - **Donnees d'utilisation** : conservees sous forme anonymisee et aggregee, sans limite de duree. A la demande du Client, les donnees peuvent etre supprimees avant l'expiration des delais ci-dessus, sauf obligation legale de conservation.

Conformement a la Loi 25, le Client dispose des droits suivants sur ses donnees personnelles : - **Droit d'acces** : obtenir une copie de l'ensemble des donnees personnelles detenues par SecuAAS - **Droit de rectification** : corriger toute donnee inexacte ou incomplete - **Droit de suppression** : demander la suppression definitive de ses donnees (hard delete), executee dans un delai maximum de 72 heures - **Droit a la portabilite** : obtenir ses donnees dans un format structure et couramment utilise (JSON, CSV) - **Droit de retrait du consentement** : retirer son consentement a tout moment en resiliant son compte Pour exercer ces droits, le Client peut envoyer une demande a privacy@logbastion.com ou utiliser les fonctionnalites de gestion de compte dans l'interface LogBastion. SecuAAS repond a toute demande dans un delai maximum de trente (30) jours.

SecuAAS fait appel aux tiers suivants dans le cadre de la fourniture du Service : - **Stripe** (San Francisco, CA) : traitement des paiements par carte de credit. Stripe est certifie PCI-DSS niveau 1. Les donnees de carte de credit ne transitent jamais par les serveurs de SecuAAS. Politique de confidentialite : stripe.com/privacy - **Resend** : envoi des courriels transactionnels (notifications, alertes, confirmations). Seuls le courriel du destinataire et le contenu du message sont transmis. - **OVH Canada** (Beauharnois, QC) : hebergement de l'infrastructure (serveurs, stockage, reseau). Les donnees demeurent au Quebec. SecuAAS ne vend, ne loue et ne partage aucune donnee du Client avec des tiers a des fins commerciales, publicitaires ou de profilage.

LogBastion utilise un nombre minimal de cookies, strictement necessaires au fonctionnement du Service : - **Cookie de session** : maintien de l'authentification de l'utilisateur (cookie technique, strictement necessaire) - **Cookie de preferences** : langue, theme, fuseau horaire (cookie fonctionnel) LogBastion n'utilise **aucun** cookie de suivi tiers, **aucun** outil d'analyse comportementale (pas de Google Analytics, pas de Meta Pixel, pas de tracker publicitaire) et **aucun** cookie de ciblage. Aucun consentement specifique n'est requis pour les cookies strictement necessaires au fonctionnement du Service, conformement a la Loi 25.

SecuAAS met en oeuvre les mesures de securite suivantes pour proteger les donnees du Client : - Chiffrement en transit via TLS 1.3 pour toutes les communications - Chiffrement au repos via AES-256 pour toutes les donnees stockees - Hachage des mots de passe via bcrypt avec facteur de cout adaptatif - Isolation multi-tenant stricte (namespace logique par client, aucun acces croise) - Controle d'acces base sur les roles (RBAC) - Journalisation complete des acces administratifs (audit trail) - Tests de penetration periodiques et veille de vulnerabilites En cas de violation de donnees, SecuAAS notifie le Client et la Commission d'acces a l'information du Quebec dans les delais prevus par la Loi 25.

Pour toute question relative a la presente politique de confidentialite ou pour exercer vos droits, veuillez communiquer avec le responsable de la protection des renseignements personnels de SecuAAS : - Courriel : privacy@logbastion.com - Adresse : SecuAAS Inc. (9463-7220 Quebec Inc.), Quebec, Canada Vous pouvez egalement deposer une plainte aupres de la Commission d'acces a l'information du Quebec (CAI) si vous estimez que vos droits n'ont pas ete respectes.