Politique de confidentialité

Version 1.2 — en vigueur depuis le 19 mai 2026

ToitDroit respecte votre vie privée. Cette politique décrit quelles données personnelles nous recueillons, pourquoi nous les traitons, avec qui nous les partageons, où elles sont stockées, combien de temps nous les conservons et quels sont vos droits. Elle est rédigée conformément à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (souvent appelée « Loi 25 »).

1. Responsable du traitement

Le responsable du traitement de vos renseignements personnels est Studio Bluet (NEQ 2282082744), entreprise individuelle établie au Québec, Canada. Studio Bluet est l’éditeur du service ToitDroit. Conformément à l’article 3.1 de la Loi 25, Charle Lambert-Beaulieu agit comme personne physique responsable de la protection des renseignements personnels (RPRP) au sein de Studio Bluet.

Pour toute question relative à cette politique ou à vos données, vous pouvez écrire à [email protected]. Nous répondons dans un délai maximal de 30 jours.

2. Données que nous recueillons

Nous recueillons uniquement les données nécessaires au fonctionnement de l’application :

  • Identification : adresse courriel et mot de passe. L’authentification est gérée directement par Supabase Auth (région Canada Central, Toronto). Les mots de passe sont stockés sous forme de hachage selon les standards de Supabase Auth ; nous n’avons jamais accès à votre mot de passe en clair.
  • Dossiers locatifs : adresse du logement, loyer, type de bail, dates de signature et de renouvellement.
  • Événements : hausses proposées, communications avec le propriétaire, dates limites.
  • Calculs : estimations de hausse générées à partir des indices du TAL.
  • Exports : PDF générés à partir de vos dossiers.
  • Photos et pièces jointes : voir section 2.1 ci-dessous.
  • Données techniques minimales : logs d’erreur serveur (horodatage, type d’erreur) nécessaires au diagnostic.

Nous ne recueillons aucune donnée comportementale publicitaire, aucun témoin de pistage tiers et aucune donnée biométrique.

2.1 Photos et pièces jointes

L’application permet d’attacher des photos et des documents (formats acceptés : JPG, PNG, PDF) à vos événements de dossier locatif, à titre de preuves (état du logement, scan de bail, capture de communications, etc.).

  • Stockage : Supabase Storage, région Canada Central (Toronto, Ontario), pour le plan Contributeur+. Stockage local exclusif sur l’appareil pour le plan FREE (voir §2.2).
  • Isolation : règles d’accès (RLS) au niveau du compte. Vos photos ne sont accessibles qu’à vous, jamais aux autres utilisateurs.
  • Métadonnées : les métadonnées EXIF de géolocalisation sont retirées au moment du téléversement, lorsque le pipeline serveur le permet.
  • Finalité unique : preuve liée à votre dossier locatif. ToitDroit n’est pas un service de stockage cloud généraliste.

2.2 Stockage local vs cloud (FREE vs Contributeur+)

ToitDroit applique deux modes de stockage selon la formule active sur votre compte. Le mode courant (storage_mode) est tracé dans une table technique user_storage_state que vous pouvez consulter via l’export Loi 25 (voir §7).

  • Plan FREE — données structurelles en cloud : les données essentielles au fonctionnement du service — votre dossier (adresse du logement, loyer, type de bail, dates), vos calculs (estimations de hausse), vos événements (hausses, communications, délais) et l’historique de statut des hausses — sont stockées dans Supabase (région Canada Central, Toronto), protégées par RLS scopé à votre identifiant authentifié. Ce stockage est nécessaire à l’exécution du service de suivi locatif (art. 14 de la Loi 25) ; il ne requiert pas votre consentement séparé. Les pièces jointes, photos, lettres et exports PDF restent stockés exclusivement sur votre appareil — Studio Bluet n’a aucun accès à ce contenu local.
  • Plan Contributeur+ — cloud_synced : toutes vos données (y compris pièces jointes et photos) sont chiffrées en transit (TLS 1.3) puis stockées dans Supabase (région Canada Central). Les pièces jointes sont chiffrées au repos (AES-256). Le détail des sous-traitants est listé en §4.

Consentement partage_statistiques_anonymes : ce consentement, activable dans Paramètres > Confidentialité, contrôle uniquement l’utilisation secondaire de vos données structurelles à des fins de statistiques locatives anonymes et agrégées. Il ne conditionne pas le stockage lui-même. Un plan FREE sans ce consentement a ses données en cloud, mais elles ne contribuent pas aux statistiques de marché. Voir aussi la finalité correspondante en §3.

Transferts entre modes :

  • Upgrade FREE → Contributeur : à l’achat d’un abonnement Contributeur ou Early Access, l’application migre automatiquement toute donnée structurelle encore présente en local (Dossier, Evenement, Calcul) vers les tables cloud Supabase, puis téléverse vos pièces jointes vers Supabase Storage. Depuis la mise à jour du 2026-05-19, cette migration s’applique également aux données locales existantes au premier démarrage de l’application après mise à jour. La migration est tracée dans user_storage_state.metadata.migration_log et peut prendre plusieurs minutes selon le volume.
  • Downgrade Contributeur → FREE : à l’expiration ou l’annulation d’un abonnement, une période de grâce de 30 jours s’ouvre (downgrade_grace_period_ends_at). Pendant cette période, vos données cloud restent en lecture seule et l’application retélécharge automatiquement vos pièces jointes vers le stockage local. À l’expiration des 30 jours sans réactivation Contributeur, vos données cloud de type pièces jointes et photos sont définitivement purgées (data_purged_at posé à la date de purge). Les données structurelles (Dossier, Calcul, Evenement) demeurent en cloud conformément au plan FREE. Cette purge des médias est irréversible. La période de grâce ne s’applique pas à l’achat lifetime Early Access (qui ne peut pas expirer).

2.3 Identifiant de notification push (Expo Push Token)

Les utilisateurs Contributeur+ reçoivent des notifications push proactives sur leurs délais légaux (J-30, J-7, J-1 avant la date limite de réponse à un avis de hausse, par exemple). Pour les acheminer, nous collectons :

  • expoPushToken — identifiant technique généré par les services Expo Notifications (Expo Application Services, Inc., États-Unis). Cet identifiant ne contient ni adresse e-mail ni nom ni géolocalisation. Il sert uniquement à acheminer un message push vers votre appareil.
  • platform (ios / android) et horodatage de dernière mise à jour du token, pour le cycle de vie de l’enregistrement.

Le token est stocké dans la table push_tokens (Supabase, région Canada Central), protégée par RLS scopé à votre compte. Le contenu de la notification (texte affiché) est généré côté serveur Supabase Edge Function juste avant l’envoi ; il ne contient aucune donnée personnelle au-delà du strict nécessaire (par exemple : « Avis TAL : 7 jours pour répondre »). La transmission du push lui-même passe par le service push d’Expo puis par les services FCM (Google) sur Android et APNS (Apple) sur iOS — aucun de ces opérateurs ne reçoit le contenu de votre dossier locatif.

Vous pouvez désactiver les notifications push à tout moment depuis Compte > Notifications, ou au niveau du système d’exploitation. La désactivation supprime votre token de notre table push_tokens dans les meilleurs délais.

3. Finalités du traitement

Vos données servent exclusivement à :

  • vous authentifier et sécuriser votre compte ;
  • afficher et sauvegarder vos dossiers locatifs ;
  • calculer les estimations de hausse selon la méthode du Tribunal administratif du logement (TAL) ;
  • générer les exports PDF que vous demandez ;
  • conserver vos photos et pièces jointes liées à un dossier ;
  • vous envoyer les rappels de délais légaux que vous avez activés ;
  • diagnostiquer les erreurs techniques et améliorer la stabilité du service ;
  • contribuer, sur base volontaire et avec votre consentement explicite, à des statistiques locatives anonymes et agrégées par bâtiment (registre de loyers anonymisé, sans identification individuelle). Ce traitement n’est actif que si vous avez activé l’option « Contribuer aux statistiques anonymes » dans Paramètres > Confidentialité. Vous pouvez retirer votre consentement à tout moment ; vos contributions passées sont alors anonymisées conformément à la section 6.

Le traitement repose sur votre consentement (article 12 de la Loi 25) et sur la nécessité d’exécuter le service demandé (article 14 de la Loi 25 pour le stockage cloud des données structurelles FREE).

4. Destinataires et sous-traitants

Vos données ne sont jamais vendues, louées ni partagées à des fins commerciales. Nous confions certains traitements techniques à des sous-traitants de confiance, qui sont liés par contrat à respecter un niveau de protection équivalent à la Loi 25 :

  • Supabase Inc. (Delaware, États-Unis) — base de données PostgreSQL, authentification (Supabase Auth) et stockage de fichiers (S3-compatible). Région d’hébergement actuelle : Canada Central (Toronto). Règles d’accès (RLS) appliquées tant à la base qu’au stockage.
  • PostHog Cloud EU (PostHog Inc., infrastructure opérée à Frankfurt, Allemagne) — analytics produit anonymisés. Aucun identifiant publicitaire, aucune donnée personnelle identifiable transmise. Vous pouvez désactiver ces traitements via Paramètres > Confidentialité dans l’application mobile.
  • Functional Software, Inc. d/b/a Sentry (organisation hébergée dans la région Union européenne — infrastructure Sentry GmbH, Allemagne) — rapports d’erreur applicatifs avec PII scrubbée (sendDefaultPii: false, hook beforeSend filtrant emails, JWT, identifiants Supabase). Vous pouvez désactiver ces traitements via Paramètres > Confidentialité.
  • Cloudflare Inc. — diffusion du site vitrine et protection contre les attaques. Cloudflare n’intermédie pas le trafic de l’application mobile.
  • Apple Inc. et Google LLC — distribution de l’application mobile via l’App Store et Google Play, limitée aux données strictement nécessaires à l’installation.
  • RevenueCat Inc. (San Francisco, États-Unis) — gestion des achats et abonnements in-app via App Store et Google Play. Ne reçoit que des identifiants techniques (UUID anonyme du compte ToitDroit, identifiant du produit acheté), aucun courriel ni information de paiement (Apple et Google traitent les paiements directement). Service activé uniquement lorsque vous initiez un achat. Pour l’achat lifetime Early Access, les attributs techniques retournés par RevenueCat (rc_transaction_id, amount, currency, purchased_at_ms) sont stockés dans notre table LifetimePurchase (Supabase, région Canada Central) uniquement pour permettre la restauration d’achat sur un autre appareil. Aucune donnée bancaire n’est collectée ni stockée.
  • Expo Application Services, Inc. (Palo Alto, États-Unis) — service push notifications (Expo Notifications). Reçoit votre expoPushToken (identifiant technique opaque) et le contenu textuel court des notifications poussées (par exemple « Avis TAL : 7 jours pour répondre »). Aucun contenu de dossier locatif ne transite par Expo. Voir §2.3.

Nous ne transmettons aucune donnée à des courtiers, à des annonceurs ou à des partenaires marketing.

5. Communication hors Québec

Vos données sont principalement hébergées dans la région Canada Central (Toronto, Ontario) de notre sous-traitant Supabase. Bien qu’il s’agisse d’un transfert hors Québec au sens de l’article 17 de la Loi 25, l’Ontario est régi par la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE / PIPEDA), reconnue par le Commissariat à la protection de la vie privée du Canada comme un cadre offrant une protection substantiellement équivalente à celle du Québec.

Notre évaluation des facteurs relatifs à la vie privée, conformément à l’article 17 de la Loi 25, confirme que le niveau de protection est adéquat. La société Supabase Inc., bien qu’incorporée au Delaware (États-Unis), n’a pas accès au contenu de vos données sur la région Canada Central sans réquisition formelle, et ne peut transférer ce contenu hors Canada sans votre consentement explicite ou ordonnance judiciaire.

Transferts vers l’Union européenne (PostHog + Sentry) : PostHog Cloud EU traite les événements analytiques dans son infrastructure de Frankfurt, Allemagne. Sentry traite les rapports d’erreur dans la même région UE (organisation configurée avec Data Storage Region : European Union, infrastructure Sentry GmbH). L’Union européenne est considérée par la Commission d’accès à l’information (CAI) comme offrant une protection équivalente au Québec en vertu du RGPD. De plus, avant transmission vers Sentry, nous appliquons un scrubbing strict côté client : aucun email, aucune adresse, aucun JWT, aucun identifiant Supabase clair n’est envoyé.

Transferts vers les États-Unis (RevenueCat) : les achats in-app, lorsqu’activés, sont gérés par RevenueCat Inc. (San Francisco, États-Unis) qui reçoit uniquement un identifiant utilisateur anonymisé et l’identifiant du produit. Aucune information personnelle, aucune donnée de carte de crédit, aucun accès à vos dossiers locatifs, photos ou documents. Évaluation des facteurs relatifs à la vie privée (EFVP) documentée à l’interne.

D’autres sous-traitants techniques (Apple, Google) peuvent traiter des données limitées sur des serveurs situés aux États-Unis dans le cadre de la distribution applicative. Si vous souhaitez obtenir plus de détails sur ces évaluations, écrivez-nous à [email protected].

6. Durée de conservation

Nous conservons vos données uniquement le temps nécessaire aux finalités déclarées :

  • Compte et profil : tant que votre compte est actif ; effacés dans les 30 jours suivant la suppression du compte.
  • Dossiers locatifs et événements (Contributeur+) : effacés immédiatement lorsque vous supprimez un dossier, ou au plus tard dans les 30 jours suivant la suppression du compte.
  • Pièces jointes et photos cloud après downgrade Contributeur → FREE : conservées en lecture seule pendant 30 jours après l’expiration ou l’annulation de l’abonnement Contributeur (downgrade_grace_period_ends_at). Passé ce délai sans réactivation, les pièces jointes et photos cloud sont définitivement purgées (data_purged_at). Les données structurelles (Dossier, Calcul, Evenement) demeurent en cloud conformément au plan FREE. Voir §2.2.
  • Photos et pièces jointes (Contributeur+) : conservées tant que le dossier locatif associé existe ; supprimées des serveurs dans les 30 jours suivant la suppression du dossier, du compte, ou à l’issue de la période de grâce de downgrade. Aucun backup résiduel au-delà de cette période.
  • Données structurelles du dossier (FREE — stockage cloud) : Dossier, Calcul, Evenement et HausseStatusHistory sont conservés en cloud tant que votre compte est actif. Effacés dans les 30 jours suivant la suppression du compte. Si vous révoquez votre consentement aux statistiques anonymes, vos contributions agrégées passées sont anonymisées (non supprimées — elles perdent tout lien avec votre compte).
  • Données personnelles (FREE — stockage local) : photos, pièces jointes, lettres et exports sont conservés sur votre appareil tant que vous ne supprimez pas l’application. Studio Bluet n’a aucun accès à ces données. La désinstallation, la perte ou la réinitialisation de l’appareil entraîne leur perte définitive.
  • Achats lifetime Early Access : la trace de l’achat (LifetimePurchase) est conservée tant que votre compte existe afin de permettre la restauration sur un autre appareil. Effacée à la suppression du compte.
  • Identifiants push (push_tokens) : conservés tant que vous gardez les notifications activées. Supprimés dans les meilleurs délais lorsque vous désactivez les notifications, ou à la suppression du compte.
  • Exports PDF : générés à la demande, non archivés sur nos serveurs.
  • Logs techniques : 90 jours maximum, puis destruction automatique.
  • Registre des incidents et demandes Loi 25 : 5 ans, tel qu’exigé par la loi.

7. Vos droits

En vertu de la Loi 25, vous avez le droit de :

  • Accéder à vos données (section « Mon compte » dans l’application).
  • Rectifier vos informations en modifiant vos dossiers et événements.
  • Supprimer votre compte et toutes vos données personnelles (section « Zone critique »).
  • Obtenir la portabilité de vos données dans un format structuré, couramment utilisé et lisible par machine (bouton « Exporter mes données » — fichier JSON). L’export inclut, le cas échéant, vos consentements (user_consents), votre état de stockage (user_storage_state), l’historique de vos achats lifetime (LifetimePurchase) et l’enregistrement de votre identifiant push (push_tokens).
  • Retirer votre consentement en tout temps. Le retrait peut entraîner la suppression de votre compte si le service ne peut plus être rendu sans ces données.
  • Ne pas faire l’objet d’une décision entièrement automatisée ayant un effet juridique. ToitDroit ne rend aucune décision automatisée de ce type : les calculs affichés sont des estimations que vous utilisez à votre discrétion.

Pour exercer ces droits, utilisez les fonctions prévues dans l’application ou écrivez à [email protected].

Pour supprimer votre compte et toutes vos données, consultez la page dédiée Suppression de compte : elle décrit les deux façons de procéder (directement dans l’application ou par courriel) et le délai de traitement.

8. Témoins (« cookies ») et traceurs

Site web : aucun outil d’analytique tiers (Google Analytics, Meta Pixel, etc.) n’est utilisé sur toitdroit.com. Seuls les témoins strictement nécessaires (par ex. Cloudflare __cf_bm pour la protection contre les bots) sont déposés. Voir section 4 pour la liste des sous-traitants concernés.

Application mobile : nous utilisons PostHog (analytics produit anonymisés, hébergé Cloud EU) et Sentry (rapports d’erreur, hébergé région UE) pour comprendre l’usage agrégé de l’application et corriger les bugs. Aucun identifiant publicitaire, aucun cross-app tracking. Vous pouvez désactiver chacun de ces traitements de façon granulaire via Paramètres > Confidentialité dans l’application. Voir section 4 pour la liste complète des sous-traitants.

9. Sécurité

Toutes les communications entre votre appareil et nos serveurs sont chiffrées via TLS 1.3. Les mots de passe sont hachés selon les standards de Supabase Auth avant stockage ; nous n’avons jamais accès au mot de passe en clair. Le stockage de fichiers est chiffré au repos (AES-256). Les règles d’accès (RLS) au niveau du compte garantissent qu’un utilisateur ne peut consulter que ses propres dossiers et ses propres photos. Ces règles sont vérifiées par tests automatisés en intégration continue.

Nous appliquons des quotas raisonnables sur le nombre et la taille des fichiers téléversés afin de prévenir les abus de stockage. Tout accès administrateur au contenu utilisateur est strictement encadré et restreint aux cas prévus à la section 13.

En cas d’incident de confidentialité présentant un risque de préjudice sérieux, nous aviserons la Commission d’accès à l’information (CAI) et les personnes concernées dans les meilleurs délais, conformément à l’article 3.5 de la Loi 25, et nous tiendrons un registre des incidents.

10. Plainte auprès de la CAI

Si vous estimez que vos droits n’ont pas été respectés, nous vous invitons d’abord à nous écrire à [email protected]. Si notre réponse ne vous satisfait pas, vous pouvez déposer une plainte auprès de la Commission d’accès à l’information du Québec :

www.cai.gouv.qc.ca

11. Modifications

Cette politique peut être mise à jour pour refléter l’évolution du service ou du cadre légal. En cas de changement important, les utilisateurs actifs sont avisés par courriel et par bannière dans l’application au moins 30 jours avant l’entrée en vigueur.

12. Document lié

Les conditions qui régissent l’utilisation du service sont disponibles dans nos conditions d’utilisation.

13. Engagement de non-fouille

Studio Bluet n’accède pas au contenu de vos photos ou pièces jointes, sauf dans les cas suivants :

  • (a) demande légale d’une autorité compétente (Commission d’accès à l’information, mandat judiciaire, ordonnance) ;
  • (b) débogage technique sur ticket de support que vous avez vous-même ouvert ;
  • (c) signalement crédible de contenu manifestement illégal nécessitant une vérification.

Les accès administrateurs sont strictement encadrés et limités aux cas listés ci-dessus.

14. Mineurs

Le service est interdit aux personnes de moins de 14 ans. Studio Bluet ne collecte sciemment aucune donnée d’utilisateur de moins de 14 ans. Si une telle collecte est portée à notre connaissance, le compte est supprimé immédiatement, sans notification parentale, conformément à l’article 4.1 de la Loi 25.

15. Utilisateurs canadiens hors Québec

Les utilisateurs résidant ailleurs au Canada bénéficient en outre de la protection de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE / PIPEDA). Les droits prévus par cette loi peuvent être exercés via la même adresse [email protected].