Conditions d'utilisation — Nordique
1. Nature du service
Nordique est un service d'identité numérique qui permet de :
- Créer un compte sécurisé par clé d'accès (passkey)
- Se connecter aux applications partenaires (Yopidou, et futurs services)
- Gérer un abonnement via paiement sécurisé
Nordique ne traite aucune donnée métier des applications partenaires. Il ne voit ni ne stocke les observations, données d'enfants, audio, photos, ou tout autre contenu des services auxquels il donne accès.
2. Données collectées
2.1 Lors de la création de compte
| Donnée | Finalité | Stockage |
|---|---|---|
| Nom complet | Identification dans les applications partenaires | Firebase Firestore (Google Cloud, Montréal, Québec) |
| Adresse courriel | Identification du compte, communications essentielles | Firebase Firestore (Google Cloud, Montréal, Québec) |
| Numéro de téléphone | Récupération de compte en cas de perte de clé d'accès | Firebase Firestore (Google Cloud, Montréal, Québec) |
2.2 Données d'authentification
| Donnée | Finalité | Stockage |
|---|---|---|
| Identifiant de clé d'accès | Authentification sécurisée sans mot de passe | Firebase Firestore (Google Cloud, Montréal, Québec) |
| Clé publique de la clé d'accès | Vérification d'identité lors de la connexion | Firebase Firestore (Google Cloud, Montréal, Québec) |
| Compteur d'utilisation | Protection contre le clonage de clé d'accès | Firebase Firestore (Google Cloud, Montréal, Québec) |
Note importante : Nordique ne stocke jamais votre empreinte digitale, votre visage, ni aucune donnée biométrique. La vérification biométrique est effectuée uniquement sur votre appareil par le système d'exploitation (iOS, Android, Windows). Seul un identifiant cryptographique (clé publique) est transmis à nos serveurs.
2.3 Données de paiement
| Donnée | Finalité | Stockage |
|---|---|---|
| Informations de carte de crédit/débit | Traitement des paiements d'abonnement | Stripe (États-Unis) — jamais stockées par Nordique |
Nordique ne voit ni ne conserve vos informations de carte bancaire. Celles-ci sont transmises directement à Stripe, notre processeur de paiements certifié PCI-DSS.
2.4 Données techniques temporaires
| Donnée | Durée de vie | Finalité |
|---|---|---|
| Défi d'authentification WebAuthn | 5 minutes | Sécurisation de la cérémonie d'authentification |
| Code d'autorisation OAuth | 5 minutes | Liaison sécurisée avec l'application partenaire |
| Jeton d'accès | Durée de la session | Accès aux ressources autorisées |
Ces données techniques sont automatiquement supprimées après expiration. Elles ne correspondent pas à votre session de connexion : une fois connecté, votre session reste active sans nécessiter de reconnexion fréquente. Les durées ci-dessus concernent uniquement les échanges cryptographiques ponctuels lors de la connexion initiale.
2.5 Données stockées localement sur votre appareil
| Donnée | Durée | Finalité |
|---|---|---|
| Préférence d'installation (témoin local) | 7 jours | Ne pas redemander l'installation de l'application |
3. Ce que Nordique ne collecte PAS
- Aucune donnée biométrique (empreinte, visage, voix)
- Aucun mot de passe (authentification par clé d'accès uniquement)
- Aucune donnée de localisation
- Aucun témoin de suivi ou de publicité
- Aucune donnée des applications partenaires (observations, audio, photos, données d'enfants)
- Aucun historique de navigation
4. Partage de données avec les applications partenaires
Lorsque vous autorisez une application partenaire (ex: Yopidou) à accéder à votre compte Nordique, les données suivantes sont partagées via le protocole OAuth 2.0 avec PKCE :
| Donnée partagée | Description |
|---|---|
| Identifiant unique (UID) | Identifiant stable pour vous reconnaître |
| Nom complet | Votre nom tel qu'affiché dans l'application |
| Adresse courriel | Pour les communications de l'application partenaire |
| Statut d'abonnement | Actif ou inactif |
| Jours d'essai restants | Nombre de jours restants dans la période d'essai |
Données NON partagées : Votre numéro de téléphone et vos clés d'accès ne sont jamais transmis aux applications partenaires.
Ce partage se fait uniquement après votre consentement explicite sur l'écran d'autorisation. Vous pouvez révoquer l'accès d'une application partenaire à tout moment depuis votre tableau de bord Nordique.
5. Sous-traitants
| Fournisseur | Rôle | Localisation des données | Données traitées |
|---|---|---|---|
| Google (Firebase Firestore) | Stockage des identifiants et gestion d'identité | Montréal, Québec (région northamerica-northeast1) | Nom, courriel, téléphone, clés d'accès |
| Stripe | Traitement des paiements | États-Unis | Informations de carte bancaire (jamais stockées par Nordique) |
| Vercel | Hébergement du site web | Réseau de diffusion mondial (États-Unis) | Aucune donnée personnelle persistante (contenu statique uniquement) |
Localisation des données personnelles : Les renseignements personnels des utilisateurs (nom, courriel, téléphone, clés d'accès) sont stockés exclusivement sur les serveurs Firebase situés à Montréal, Québec. Seules les données de paiement transitent par Stripe aux États-Unis, sans jamais être conservées par Nordique. Vercel sert uniquement le code de l'application (fichiers statiques) et ne traite aucun renseignement personnel.
6. Vos droits (Loi 25 sur la protection des renseignements personnels)
En vertu de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25, L.Q. 2021, c. 25), vous disposez des droits suivants :
6.1 Droit d'accès (art. 27)
Vous pouvez consulter l'ensemble des renseignements personnels que Nordique détient à votre sujet depuis votre tableau de bord, ou en nous contactant.
6.2 Droit de rectification (art. 28)
Vous pouvez modifier votre nom, courriel et téléphone depuis votre tableau de bord à tout moment.
6.3 Droit à l'effacement (art. 28.1)
Vous pouvez supprimer votre compte Nordique. Cette suppression entraîne :
- La suppression de vos clés d'accès
- La suppression de vos renseignements personnels (nom, courriel, téléphone)
- L'annulation de votre abonnement Stripe
- La révocation de tous les accès aux applications partenaires
Délai : La suppression est effective immédiatement. Les données sont purgées des systèmes de sauvegarde dans un délai maximum de 30 jours.
6.4 Droit de retrait du consentement (art. 8.3)
Vous pouvez retirer votre consentement au traitement de vos renseignements à tout moment en supprimant votre compte.
6.5 Droit à la portabilité (art. 27)
Sur demande, vous pouvez obtenir une copie de vos renseignements personnels dans un format technologique structuré et couramment utilisé.
7. Sécurité
7.1 Authentification par clé d'accès
Nordique utilise exclusivement l'authentification par clé d'accès (WebAuthn/FIDO2). Ce standard :
- Élimine les risques liés aux mots de passe (hameçonnage, bourrage d'identifiants, fuites)
- Garantit que la vérification biométrique reste sur votre appareil
- Est approuvé par l'Alliance FIDO et pris en charge par Apple, Google et Microsoft
7.2 Communications chiffrées
Toutes les communications entre votre appareil et Nordique sont chiffrées via HTTPS/TLS.
7.3 Évaluation des facteurs relatifs à la vie privée (EFVP)
Conformément à l'article 3.3 de la Loi 25, une évaluation des facteurs relatifs à la vie privée a été réalisée. Nordique ne traite aucun renseignement personnel sensible au sens de la loi (données de santé, données de mineurs, opinions politiques). Les renseignements sensibles des applications partenaires ne transitent jamais par Nordique.
8. Durée de conservation
| Donnée | Conservation | Suppression |
|---|---|---|
| Compte actif | Tant que le compte existe | Sur demande de l'utilisateur |
| Compte inactif | 24 mois sans connexion | Notification par courriel puis suppression après 30 jours |
| Défis et codes temporaires | 5 minutes | Automatique |
| Journaux techniques (sans renseignements personnels) | 90 jours | Automatique |
9. Modifications des conditions
Nordique se réserve le droit de modifier les présentes conditions. En cas de modification substantielle :
- Vous serez notifié par courriel au moins 30 jours avant l'entrée en vigueur
- Votre utilisation continue du service après la date d'entrée en vigueur vaut acceptation
10. Responsable de la protection des renseignements personnels
Conformément à l'article 3.1 de la Loi 25, le responsable de la protection des renseignements personnels est :
Philippe Bourque
CEO et CTO, Cérebrum inc.
2-979 ave Casot, Québec, Québec, G1S 2Y2
phil@cerebrum.website | 581 995 1185
Pour toute question ou demande relative à vos renseignements personnels, contactez : phil@cerebrum.website ou 581 995 1185
11. Disponibilité du service
Nordique s'efforce de maintenir une disponibilité continue du service. En cas d'interruption :
- Les applications partenaires peuvent continuer à fonctionner avec les jetons existants (non expirés)
- Aucune perte de données ne peut survenir lors d'une interruption
- Les clés d'accès restent sur votre appareil et sont utilisables dès le retour du service
12. Limite de responsabilité
Nordique fournit un service d'authentification. La responsabilité relative aux données traitées par les applications partenaires (Yopidou, etc.) relève de celles-ci et de leurs propres conditions d'utilisation.