Qui sommes-nous ?
Le site FIRSTSTEP-OG (ci-après « le Site ») est édité par FirstStep-OG Inc., société constituée en vertu de la loi fédérale canadienne, NE 1710599-1, siège social : 929 Chemin Vanier, App 306, Gatineau QC J9J 0C3. Nous accompagnons les nouveaux arrivants au Canada (transport, logement meublé, démarches NAS/SIN, etc.).
Cadre juridique applicable
- LPRPDE/PIPEDA (fédéral)
- Loi sur la protection des renseignements personnels dans le secteur privé (Québec), telle que modifiée par la Loi 25
- Loi canadienne anti-pourriel (LCAP/CASL)
Définitions
- « Renseignement personnel » : toute information concernant une personne identifiable (art. 2 LPRPDE).
- « Traitement » : toute opération liée à ces renseignements (collecte, utilisation, communication, conservation ou destruction).
Renseignements que nous collectons
| Catégorie | Exemples | Moment de la collecte |
|---|---|---|
| Identité | nom, prénom, date d’arrivée… | Formulaire de devis / réservation |
| Contact | courriel, téléphone, WhatsApp | Formulaire, chat, appel |
| Démarches | NAS/SIN attribué, banque choisie | Au cours de la prestation |
| Paiement | montant, mode (Stripe, Interac, carte de credit | Debit, Cash…) | Lors de la facturation |
| Navigation | adresse IP, cookies, logs | Visite du Site |
Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Établir votre devis, réserver un service | Exécution du contrat (art. 4.3 LPRPDE) |
| Répondre à vos questions (WhatsApp, Facebook, e-mail) | Intérêt légitime (service client) |
| Marketing par courriel (infolettre) | Consentement explicite (opt-in, art. 66 Loi 25 / CASL) |
| Analyse d’audience (Google Analytics 4) | Consentement via bannière cookies |
Consentement
Nous recueillons votre consentement libre, éclairé et révocable :
- Case à cocher séparée pour l’infolettre (« Je souhaite recevoir… »).
- Paramètres granulaire des cookies (essentiels vs analytiques).
Vous pouvez le retirer en tout temps via le lien « Se désabonner » ou à privacy@firststep-og.ca.
Communication à des tiers
Nous ne vendons pas vos données. Nous les communiquons uniquement :
- À nos partenaires transport et hébergement (nom, date d’arrivée).
- À Service Canada ou Institutions financières, avec votre consentement écrit, pour obtenir NAS/SIN ou ouvrir un compte.
- Aux autorités si la loi l’exige.
Hébergement et transferts internationaux
Les données sont stockées sur des serveurs Namecheap (Phoenix, Arizona, USA). Certains sous-traitants (p. ex. Stripe) peuvent transférer des données vers les É.-U.; ces flux sont protégés par clauses contractuelles et chiffrement.
Conservation
Nous conservons vos dossiers 5 ans après la fin du service (exigences fiscales). Les données marketing inactives sont supprimées après 24 mois.
Vos droits
Conformément aux lois susmentionnées, vous disposez de :
- Accès et portabilité de vos renseignements.
- Rectification ou mise à jour.
- Retrait du consentement / suppression (droit à l’oubli, Québec art. 27).
- Opposition au profilage automatisé.
Pour exercer un droit : privacy@firststep-og.ca ou courrier postal (voir §1). Réponse sous 30 jours.
Sécurité
Chiffrement TLS 1.3, chiffrement AES-256 au repos, double authentification interne, politiques d’accès minimal.
Cookies
Bannière conforme TCF v2. Paramètres modifiables à tout moment (« Préférences cookies » en pied de page).
Plaintes
- Québec : Commission d’accès à l’information du Québec (CAI).
- Canada : Commissariat à la protection de la vie privée du Canada (CPVP).
Mise à jour de la politique
Dernière révision : 11 juillet 2025. Nous publierons toute modification majeure 14 jours avant son entrée en vigueur.
Fondements législatifs
| Texte | Abréviation | Articles cités |
|---|---|---|
| Loi sur la protection des renseignements personnels et les documents électroniques (S.C. 2000, c. 5) | PIPEDA | art. 2, 4.3, 4.5, 4.7, 10.1 |
| Loi sur la protection des renseignements personnels dans le secteur privé (CQLR c. P-39.1) modifiée par la Loi 25 | LPRPSP | art. 3.1, 4, 8, 10, 17, 23–28, 39.3–39.5 |
| Loi canadienne anti-pourriel (S.C. 2010, c. 23) | CASL | art. 6–11 |
| Règlement sur les messages électroniques commerciaux (SOR/2012-36) | – | — |
| Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (CQLR c. A-2.1) | — | art. 53 |
Principes directeurs (Annexe 1 PIPEDA & art. 4–8 LPRPSP)
- Responsabilité : un registre des activités de traitement est tenu (art. 3.2 LPRPSP).
- Finalité déterminée : précisée avant la collecte (art. 4).
- Consentement valable : libre, éclairé, manifeste (art. 14 PIPEDA + art. 14 LPRPSP).
- Limitation de la collecte : données minimales (« privacy by default », art. 9)
- Exactitude : tenue à jour (art. 11).
- Mesures de sécurité proportionnées : chiffrement AES-256, MFA (art. 10 PIPEDA; 10 LPRPSP).
- Transparence & accès : droit d’accès sous 30 jours (art. 23 LPRPSP).
- Conservation limitée : 5 ans (exigences fiscales – art. 230(4) Loi de l’impôt sur le revenu).
- Portabilité : format technologique structuré (art. 27 LPRPSP, en vigueur 22 sept. 2025).
- Notification d’incident : avis à la CAI + CPVP dans les 72 h (art. 10.1 PIPEDA ; 3.5 & 3.8 LPRPSP).
Tableau des traitements
| Finalité | Données | Base légale (art.) | Durée | Partage |
|---|---|---|---|---|
| Réservation & exécution du contrat | identité, coordonnées, date d’arrivée | Exécution du contrat (art. 4.3 PIPEDA / 8 LPRPSP) | 5 ans | Chauffeur, propriétaire, Service Canada |
| Marketing infolettre | nom + courriel | Consentement CASL art. 6 / LPRPSP 14 | Jusqu’au retrait | Mailchimp (serveurs CA-Est) |
| Facturation & obligations fiscales | nom, adresse, paiement | Obligation légale (art. 7(3) PIPEDA) | 6 ans | Revenu Canada |
| Statistiques GA4 | adresse IP, cookies | Consentement (bannière TCF) | 14 mois (param. GA4) | Google Ireland ↦ transfert UE→CA encadré SCC 2021/914 |
Vos droits & modalités d’exercice
- Accès / rectification : art. 12–16 PIPEDA; art. 27 LPRPSP.
- Retrait du consentement : art. 18 PIPEDA; art. 8(5) LPRPSP.
- Effacement (« droit à l’oubli ») : art. 28 LPRPSP (en vigueur 2024).
- Portabilité : art. 27 LPRPSP (22 sept. 2025).
- Décision automatisée : information exigée (art. 12.1 LPRPSP).
Demande → privacy@firststep-og.ca. Réponse sous 30 jours (art. 8 LPRPSP).
Recours possibles
- Commission d’accès à l’information du Québec (CQLR c. A-2.1, art. 135).
- Commissariat à la protection de la vie privée du Canada (PIPEDA, art. 11).