1. Introduction

PRPscore propose une plateforme d’évaluation et de certification « sur preuves » en protection des renseignements personnels, incluant la réservation d’auditeurs, la gestion d’un dossier de preuves et, le cas échéant, le paiement en ligne. Nous appliquons le principe de minimisation : ne traiter que ce qui est nécessaire au fonctionnement du service.

À retenir

La certification sur preuves se fait via réservation d’un auditeur. Les réservations, statuts et échanges sont stockés dans Firebase. Les documents déposés (Evidence Vault) sont stockés dans Firebase Storage. Les paiements sont traités par Stripe (PRPscore ne stocke pas vos numéros de carte).

2. Données traitées

2.1 Données de compte

  • Email et informations de profil (ex. nom/organisation), si vous créez un compte
  • Mot de passe : géré par Firebase Authentication (PRPscore n’a pas accès à votre mot de passe en clair)
  • Identifiants techniques : uid Firebase, jetons de session (techniques)
  • Rôle plateforme : client/organisation, auditeur/expert, administrateur

2.2 Données liées aux réservations & missions

  • Réservations : auditeur choisi, date/heure, durée, statut (hold/confirmé/terminé…)
  • Informations de cadrage : périmètre, systèmes, contexte (selon ce que vous saisissez)
  • Messagerie : messages échangés dans le cadre d’une mission

2.3 Dossier de preuves (Evidence Vault)

  • Documents téléversés (politiques, registres, procédures, clauses, preuves de mise en œuvre, etc.)
  • Métadonnées : titre, tags, statut (“reçu / à revoir / accepté / rejeté”), commentaires d’audit, horodatages

2.4 Données de l’outil (questionnaire / plan d’actions)

  • Questionnaire : réponses, scores, états de complétion (si vous utilisez l’auto-diagnostic)
  • Plan d’actions (ex. Kanban) : tâches, statuts, priorités, commentaires liés à la remédiation
  • EFVP : enregistrée uniquement dans votre navigateur et non sur les serveurs PRPscore (voir section 10)

2.5 Données techniques (logs)

  • Adresse IP et informations de connexion (ex. date/heure, user-agent) pouvant apparaître dans les journaux techniques des services utilisés
  • Données de diagnostic nécessaires à la sécurité et au bon fonctionnement (erreurs applicatives, métriques techniques)
Bonnes pratiques

Évitez d’envoyer des renseignements personnels sensibles non nécessaires dans les champs libres ou fichiers. Déposez uniquement ce qui est utile à l’audit/certification.

3. Finalités

Nous traitons les données pour :

  • Créer et gérer votre compte (authentification, maintien de session)
  • Permettre la réservation d’un auditeur et le suivi des missions (statuts, calendrier, messagerie)
  • Gérer le dossier de preuves (Evidence Vault) et produire des résultats (rapports, commentaires, statuts)
  • Fournir, si applicable, l’auto-diagnostic (questionnaire) et un plan d’actions
  • Assurer la sécurité, prévenir la fraude et protéger l’intégrité de la plateforme
  • Fournir l’assistance et répondre à vos demandes (support)

4. Base légale

  • Exécution du service : compte, réservations, missions, dossier de preuves, livrables
  • Intérêt légitime : sécurité, prévention de la fraude, amélioration et qualité de service
  • Obligations légales : comptabilité, gestion des litiges, conformité applicable
  • Consentement : lorsque requis pour certains stockages locaux non essentiels (le cas échéant)

Remarque : selon votre juridiction (ex. Québec – Loi 25 / UE – RGPD), l’articulation exacte des bases juridiques peut varier, mais les finalités restent celles décrites ci-dessus.

5. Hébergement & sous-traitants

Nous utilisons notamment les prestataires suivants :

  • Hostinger : hébergement web (infrastructure, journaux techniques associés)
  • Firebase (Google) : authentification, base de données (Firestore), hébergement et stockage (Storage)
  • Stripe : paiement en ligne (et versements aux auditeurs via Stripe Connect)

La localisation des données (région/centres de données) dépend de la configuration du projet et des services utilisés. Pour toute question sur la région d’hébergement, contactez-nous (section 12).

6. Paiements & versements

6.1 Paiements clients

Les paiements sont traités par Stripe. PRPscore ne stocke pas vos numéros de carte. Nous pouvons conserver des informations de transaction nécessaires à la preuve et au suivi (montant, devise, statut, identifiants techniques Stripe).

6.2 Versements aux auditeurs (Stripe Connect)

Les auditeurs peuvent être amenés à activer un compte Stripe Connect pour recevoir des versements. Les informations d’identification requises (KYC) sont collectées et traitées par Stripe, conformément à ses obligations.

Commission

PRPscore applique une commission sur les prestations réalisées via la plateforme. Le versement à l’auditeur est effectué après validation de la prestation, conformément aux règles du service.

7. Durées de conservation

  • Données de compte : conservées tant que votre compte est actif. En cas de suppression, suppression/anonymisation dans un délai raisonnable, sauf obligation légale contraire.
  • Réservations & transactions : conservées le temps nécessaire au suivi, à la preuve et aux obligations légales.
  • Dossier de preuves : conservé tant que votre organisation le conserve dans la plateforme, ou jusqu’à suppression demandée (selon vos droits et obligations applicables).
  • Logs techniques : conservés pour une durée limitée, nécessaire à la sécurité et au diagnostic.

8. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles raisonnables pour protéger les données contre l’accès non autorisé, la modification, la divulgation ou la destruction.

  • Contrôles d’accès et règles de sécurité côté Firebase (rôles client/auditeur/admin)
  • Chiffrement en transit (HTTPS) entre votre navigateur et les services
  • Journalisation technique et mécanismes anti-fraude (dans les limites nécessaires)
  • Stockage des fichiers de preuves via Storage avec permissions contrôlées

9. Vos droits

Selon la loi applicable, vous pouvez notamment :

  • Demander l’accès à vos données et leur rectification
  • Demander la suppression de vos données (compte, contenus, fichiers) sous réserve d’obligations légales
  • Vous opposer à certains traitements et/ou demander une limitation
  • Demander la portabilité lorsque applicable

Pour exercer vos droits, écrivez-nous (section 12) en précisant votre e-mail de compte et l’objet de la demande. Pour les données de paiement, certaines informations sont gérées par Stripe.

10. Cookies & stockage local

PRPscore utilise des mécanismes de stockage local nécessaires au fonctionnement (ex. session, préférences), notamment dans le cadre de l’authentification Firebase. Le module EFVP enregistre ses données uniquement dans votre navigateur.

10.1 EFVP enregistrée uniquement dans votre navigateur

  • L’EFVP est stockée localement sur votre appareil (ex. localStorage, IndexedDB ou mécanisme équivalent selon l’implémentation).
  • Elle n’est pas enregistrée sur les serveurs PRPscore.
  • Vous pouvez la supprimer en effaçant les données du site dans votre navigateur.

10.2 Sessions et fonctionnement

  • Des jetons techniques peuvent être stockés localement pour maintenir votre session (authentification Firebase).

11. Modifications de cette politique

Nous pouvons mettre à jour cette politique pour refléter des évolutions du service ou des exigences légales. La date de dernière mise à jour en haut de page indique la version en vigueur.

12. Contact

Pour toute question, ou pour exercer vos droits : contact@prpscore.com

© PRPscore — Politique de confidentialité