Politique de confidentialité

Chez Shade Studios, nous prenons la protection de vos renseignements personnels au sérieux. Cette politique décrit quelles données nous recueillons, à quelles fins, avec qui elles sont partagées et comment vous pouvez exercer vos droits.

Cette politique est conforme à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (Loi 25), à la Loi canadienne anti-pourriel (LCAP) et au Règlement général sur la protection des données de l'Union européenne (RGPD) lorsque applicable.

Nous collectons uniquement les données nécessaires aux finalités décrites plus bas :

• Création de compte : nom complet, adresse courriel, mot de passe (chiffré avec bcrypt, jamais stocké en clair), numéro de téléphone (optionnel).
• Profil membre : adresse postale (optionnel, pour facturation), photo de profil (optionnel), abonnement et solde d'heures.
• Réservations : date, créneau horaire, équipement loué, notes éventuelles, montant payé, historique.
• Paiements : traités par Stripe. Nous ne stockons jamais de numéro de carte ni de cryptogramme. Nous conservons un identifiant Stripe et le statut du paiement.
• Communications : historique des courriels que nous vous envoyons (confirmations, rappels, factures).
• Données techniques : adresse IP, type de navigateur, pages visitées, témoins (cookies). Voir notre politique de cookies.
• Vérification d'identité : à l'inscription, nous validons que l'adresse courriel vous appartient via un lien d'activation (obligatoire avant toute connexion).

Vos données sont utilisées pour les finalités suivantes :

• Exécution du contrat : gestion de votre compte, traitement des réservations et paiements, accès au studio, support client.
• Obligations légales : émission et conservation des factures, déclarations fiscales, lutte contre la fraude.
• Intérêt légitime : sécurité du site (détection de tentatives de connexion suspectes, journaux d'audit), amélioration de nos services.
• Consentement : mesure d'audience et publicité (Meta Pixel), si vous l'avez accepté via la bannière de cookies. Vous pouvez retirer ce consentement à tout moment.

Nous n'envoyons aucun courriel commercial non sollicité. Les seuls courriels automatiques sont liés à votre compte et à vos réservations (transactionnels), conformément à la LCAP.

Vos données ne sont jamais vendues ni louées. Elles peuvent être transmises aux sous-traitants suivants, strictement pour les fins indiquées :

• Stripe Inc. (États-Unis) — traitement sécurisé des paiements (PCI-DSS niveau 1).
• Brevo (Sendinblue) (France, UE) — envoi des courriels transactionnels (confirmations, rappels, factures).
• Cloudflare Inc. (États-Unis) — protection contre les attaques, accélération du site, certificat TLS.
• Meta Platforms Inc. (États-Unis) — uniquement avec votre consentement — Meta Pixel et API de conversion pour la mesure d'audience et la publicité (les données identifiantes sont chiffrées par hachage SHA-256 avant envoi).
• Hébergement : serveurs auto-hébergés au Canada (Montréal, Québec). Aucun autre hébergeur tiers.
• Autorités : sur demande légalement contraignante uniquement.

Certains de nos sous-traitants (Stripe, Cloudflare, Meta) sont situés aux États-Unis. Ces transferts sont encadrés par des Clauses Contractuelles Types (CCT) approuvées et, lorsque applicable, par les certifications du Data Privacy Framework. Nous évaluons régulièrement les risques liés à ces transferts conformément à la Loi 25 et au RGPD.

Nous mettons en place des mesures techniques et organisationnelles appropriées :

• Connexion chiffrée TLS 1.2+ (HTTPS) sur l'ensemble du site, avec HSTS.
• Mots de passe hachés avec bcrypt (facteur 12). Aucun mot de passe n'est lisible, même par notre équipe.
• Validation d'adresse courriel obligatoire avant la première connexion.
• Protection contre les attaques par force brute : verrouillage temporaire après 5 tentatives échouées.
• Politique de sécurité du contenu (CSP), protection clickjacking, anti-MIME-sniffing.
• Journal d'audit des actions administratives.
• Sauvegardes régulières et accès restreint aux données.

• Compte actif : conservé tant que vous l'utilisez.
• Compte inactif depuis 24 mois : nous vous contactons puis supprimons les données si pas de réponse.
• Réservations et factures : 6 ans après la dernière transaction (obligation comptable du Québec).
• Journaux techniques (logs) : 12 mois.
• Témoins de mesure d'audience (Meta Pixel) : selon la durée du consentement, jusqu'à 13 mois maximum.
• Demandes de contact : 3 ans après la clôture de la demande.

En vertu de la Loi 25 et du RGPD, vous disposez des droits suivants :

• Accès — obtenir une copie des données que nous détenons sur vous.
• Rectification — corriger toute information inexacte ou incomplète.
• Suppression / oubli — demander la suppression de votre compte et de vos données (sauf obligations légales).
• Portabilité — recevoir vos données dans un format structuré et lisible.
• Opposition / retrait du consentement — retirer à tout moment votre consentement aux cookies non-essentiels via la page Cookies.
• Limitation — demander que nous suspendions le traitement de vos données.
• Réclamation — déposer une plainte auprès de la Commission d'accès à l'information du Québec (CAI) ou de l'autorité de protection des données de votre pays (ex. CNIL en France).

Pour exercer ces droits, écrivez à [email protected]. Nous répondons dans un délai maximum de 30 jours.

En cas d'incident de confidentialité présentant un risque sérieux de préjudice (Loi 25) ou un risque élevé pour vos droits (RGPD), nous notifierons sans délai la Commission d'accès à l'information du Québec et les personnes concernées, conformément à nos obligations légales. Un journal interne des incidents est tenu.

10. Mineurs

Nos services sont destinés aux personnes âgées de 18 ans et plus. Nous ne collectons pas sciemment de renseignements concernant des mineurs. Si vous êtes le parent ou le tuteur d'un mineur dont les données auraient été collectées, contactez-nous pour suppression immédiate.

11. Modifications de la politique

Cette politique peut évoluer. Toute modification substantielle vous sera notifiée par courriel et/ou par un avis visible sur le site. La date de dernière mise à jour figure en haut de cette page. La poursuite de l'utilisation du service après modification vaut acceptation.

Pour toute question, demande ou plainte concernant vos renseignements personnels :