| Codification | LUSTRUM-POL-CONF-001 |
|---|---|
| Version | v1.0 |
| Date d'entrée en vigueur | 2026-04-20 |
| Dernière révision | 2026-04-20 |
| Classification | Public |
| Distribution | https://lustrum.ca/confidentialite |
| Responsable de la protection des renseignements personnels | Jean-François Leclerc |
| Courriel du responsable | privacy@lustrum.ca |
1. Préambule et cadre juridique applicable
La présente politique décrit les pratiques de Lustrum (ci-après « le cabinet ») relatives à la collecte, à l'utilisation, à la conservation, à la communication et à la destruction des renseignements personnels dans le cadre de l'exploitation du site lustrum.ca et des services associés.
Elle est rédigée conformément aux cadres juridiques suivants :
- Québec — Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1, ci-après « LPRP »), telle que modifiée notamment par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.
- Canada — Loi sur la protection des renseignements personnels et les documents électroniques (L.C. 2000, ch. 5, ci-après « LPRPDE »), subsidiairement pour les activités qui excèdent le périmètre intraprovincial québécois ou qui présentent une dimension interprovinciale ou internationale.
La Commission d'accès à l'information du Québec (CAI) constitue l'autorité de contrôle primaire pour les activités du cabinet relevant du droit québécois.
2. Responsable de la protection des renseignements personnels
Conformément à l'article 3.1 LPRP, le responsable de la protection des renseignements personnels (RPRP) du cabinet est :
- Nom : Jean-François Leclerc
- Fonction : Fondateur et responsable de la protection des renseignements personnels
- Courriel dédié : privacy@lustrum.ca
- Délai de réponse visé : 30 jours à compter de la réception d'une demande recevable, sauf exception prévue par la loi
Le cabinet a établi des politiques et pratiques de gouvernance des renseignements personnels conformément à l'article 3.2 LPRP. La présente politique en constitue la composante publique relative à la confidentialité sur le site web.
Toute demande relative à la présente politique, à l'exercice de vos droits (section 8) ou à la formulation d'une plainte doit être adressée au courriel du RPRP.
3. Renseignements personnels traités
3.1 Renseignements non recueillis activement par le site
Le site ne comporte aucun des éléments suivants :
- formulaire de collecte (contact, devis, inscription, infolettre)
- témoin de connexion non essentiel déposé par le site
- outil d'analyse de trafic tiers (Google Analytics, Meta Pixel, LinkedIn Insight, Hotjar, HubSpot ou équivalents)
- script de suivi, de profilage ou de publicité ciblée
- outil utilisant des moyens technologiques permettant d'identifier, de localiser ou d'effectuer un profilage au sens de l'article 8.1 LPRP
- demande d'accès aux API du navigateur (géolocalisation, microphone, caméra, notifications)
- mécanisme de stockage local persistant à des fins de suivi
3.2 Renseignements techniques traités par le fournisseur d'infrastructure (Cloudflare)
Le site est servi via l'infrastructure de Cloudflare, Inc. (« Cloudflare »). Lors de chaque visite, Cloudflare peut traiter, aux fins de livraison de contenu, de mise en cache, de sécurité et de journalisation opérationnelle, les renseignements techniques suivants :
- adresse IP
- agent utilisateur du navigateur (
User-Agent) - page demandée et métadonnées techniques associées (URL, méthode, référent, horodatage)
- données de sécurité et de filtrage réseau (p. ex. détection de robots, protection DDoS, événements pare-feu)
- rapports d'erreurs réseau, lorsqu'activés par le navigateur ou l'infrastructure
Cloudflare agit à titre de fournisseur de services au sens de l'article 18.3 LPRP dans la mesure où le traitement est nécessaire à l'hébergement, à la sécurité et à la diffusion du site et fait l'objet d'un encadrement contractuel approprié.
Durée de conservation : les durées de conservation varient selon les fonctions Cloudflare activées, les journaux concernés et le forfait applicable.
3.3 Polices de caractères
Le site utilise des polices auto-hébergées sur l'infrastructure du cabinet. Aucune requête vers un service tiers de polices de caractères n'est déclenchée lors du chargement normal des pages.
En conséquence, le cabinet n'utilise pas Google Fonts ou un service équivalent en mode hébergé par un tiers, et n'effectue aucune communication de renseignements techniques à ce titre.
3.4 Renseignements traités lors d'une communication par courriel
Les adresses courriel du domaine @lustrum.ca sont hébergées sur Microsoft 365, exploité par Microsoft Corporation. Lorsqu'une personne correspond avec le cabinet :
- Renseignements traités : adresse courriel, contenu du message, pièces jointes éventuelles, métadonnées d'en-tête et de transmission
- Finalités : traitement de la demande, conduite de la relation d'affaires, gestion d'un mandat, conservation des échanges pertinents
- Fondement : traitement nécessaire à la gestion de la relation d'affaires et, selon le cas, consentement découlant de l'initiative de communication de la personne concernée
- Durée de conservation :
- courriels en lien avec un mandat : durée du mandat puis conservation selon le calendrier documentaire applicable
- courriels prospectifs sans suite : conservation limitée à la durée nécessaire au suivi, puis suppression ou archivage administratif selon le calendrier applicable
- courriels liés à l'exercice d'un droit prévu par la loi : conservation pour la durée nécessaire au traitement de la demande, à la documentation de la réponse et à la défense des droits du cabinet
3.5 Mineurs et personnes vulnérables
Le site lustrum.ca n'est pas destiné à une clientèle de mineurs. Le cabinet exerce exclusivement des services professionnels destinés à des organisations et ne recueille pas sciemment de renseignements personnels concernant des mineurs.
Si un parent, un tuteur ou toute personne ayant autorité légale constate qu'un mineur a transmis des renseignements personnels au cabinet, notamment par courriel, cette personne peut demander la suppression de ces renseignements en écrivant à privacy@lustrum.ca. La demande sera traitée avec la même diligence que toute demande visée à la section 8.
Le cabinet porte également une attention particulière aux renseignements pouvant concerner des personnes en situation de vulnérabilité, au sens des orientations émises par la Commission d'accès à l'information du Québec, et applique à ces renseignements un niveau de protection proportionné à leur sensibilité.
4. Finalités du traitement
Conformément au principe de nécessité et de finalité, les renseignements décrits à la section 3 sont traités uniquement aux fins suivantes :
- Livraison technique du site : rendu des pages, mise en cache, optimisation des performances et continuité de service
- Sécurité de l'infrastructure : détection, prévention et blocage des abus, attaques ou usages malveillants
- Journalisation opérationnelle minimale : diagnostic technique, maintien de l'intégrité du service et investigation d'incidents
- Correspondance professionnelle : traitement des demandes transmises par courriel et exécution des mandats
- Respect des obligations légales : réponse aux demandes juridiquement valides des autorités compétentes et respect des obligations applicables au cabinet
Aucune de ces finalités ne comprend la publicité ciblée, le profilage commercial, la vente de données, ni l'entraînement de modèles d'intelligence artificielle à partir des renseignements personnels ainsi traités.
Conformément à l'article 8 LPRP, la présente politique informe les personnes concernées des fins du traitement, des moyens utilisés, des droits d'accès et de rectification, du droit de retirer leur consentement lorsqu'un tel consentement constitue le fondement applicable, des tiers qui peuvent recevoir les renseignements et de la possibilité d'une communication hors Québec.
5. Communication à des tiers
Les renseignements personnels traités ne sont communiqués qu'aux tiers suivants, dans le strict cadre des finalités énoncées à la section 4 :
| Tiers | Rôle | Localisation des traitements | Cadre |
|---|---|---|---|
| Cloudflare, Inc. | Infrastructure, diffusion de contenu, sécurité applicative et réseau | Multi-région, selon l'architecture du fournisseur | Encadrement contractuel standard du fournisseur |
| Microsoft Corporation | Hébergement et traitement des courriels professionnels | Principalement selon la géographie du tenant et les modalités du service Microsoft 365 | Data Protection Addendum / conditions contractuelles Microsoft |
Aucune communication commerciale à des tiers n'est effectuée. Les renseignements ne sont ni vendus, ni loués, ni échangés à des fins de prospection.
Le cabinet peut également communiquer certains renseignements lorsque la loi l'exige ou lorsqu'une autorité compétente présente une demande juridiquement valide.
6. Communication hors Québec
Certains traitements peuvent impliquer une communication ou un accès à des renseignements personnels à l'extérieur du Québec. Conformément à l'article 17 LPRP, le cabinet procède, avant toute telle communication lorsque requise, à une évaluation des facteurs relatifs à la vie privée tenant compte notamment :
- de la sensibilité des renseignements concernés
- de la finalité de leur utilisation
- des mesures de protection contractuelles, organisationnelles et techniques applicables
- du régime juridique applicable dans la juridiction de destination
Une communication hors Québec n'est maintenue que si l'évaluation conclut que les renseignements bénéficieront d'une protection adéquate, compte tenu notamment des principes de protection généralement reconnus. Le cabinet met en place, lorsque requis, un encadrement écrit approprié avec le fournisseur concerné.
7. Sécurité des renseignements
Conformément à l'article 10 LPRP, le cabinet met en œuvre des mesures de sécurité raisonnables, proportionnées à la sensibilité des renseignements, à leur finalité, à leur quantité, à leur répartition et à leur support. Ces mesures comprennent notamment :
- chiffrement en transit du site et des services exposés publiquement
- mesures de protection réseau et applicative via l'infrastructure retenue
- contrôle d'accès fondé sur le besoin de connaître et le principe du moindre privilège
- authentification multifacteur pour les accès administratifs pertinents
- journalisation et surveillance des événements techniques et d'authentification nécessaires
- gestion des incidents de confidentialité et tenue d'un registre lorsque requis par la loi
En cas d'incident de confidentialité présentant un risque de préjudice sérieux, le cabinet appliquera les mécanismes de notification prévus par la loi.
8. Droits des personnes concernées
Sous réserve des conditions, limites et exceptions prévues par la loi, toute personne concernée dispose notamment des droits suivants :
| Droit | Base légale principale | Modalités générales | Délai usuel |
|---|---|---|---|
| Droit d'accès | art. 27 LPRP | Obtenir confirmation de l'existence de renseignements personnels la concernant et, le cas échéant, y avoir accès | 30 jours |
| Droit de rectification | art. 28 LPRP | Faire corriger un renseignement inexact, incomplet ou équivoque, ou faire supprimer un renseignement recueilli ou conservé en contravention de la loi | 30 jours |
| Droit à la portabilité | art. 27 LPRP, selon les modalités en vigueur | Obtenir communication des renseignements personnels informatisés recueillis auprès de la personne concernée, dans un format technologique structuré et couramment utilisé, sous réserve des limites prévues par la loi | 30 jours |
| Droit de retirer son consentement | art. 8 LPRP, selon le fondement applicable | Retirer un consentement lorsque le traitement repose sur celui-ci, sous réserve des obligations légales et contractuelles applicables | Dans un délai raisonnable |
| Droit relatif aux décisions fondées exclusivement sur un traitement automatisé | dispositions applicables de la LPRP | Être informé d'une telle décision et demander, le cas échéant, les renseignements et interventions prévus par la loi | Sans objet dans l'état actuel des pratiques du cabinet |
Modalités d'exercice
Toute demande doit être adressée à privacy@lustrum.ca. Le cabinet peut exiger les renseignements raisonnablement nécessaires pour vérifier l'identité du demandeur avant de communiquer, de rectifier ou de supprimer des renseignements personnels.
L'accès aux renseignements personnels est gratuit, sous réserve des frais raisonnables de transcription, de reproduction ou de transmission prévus par la loi, lesquels seront indiqués au préalable s'ils s'appliquent.
Tout refus sera motivé et communiquera, le cas échéant, les recours disponibles.
9. Témoins de connexion
Le site lustrum.ca ne dépose aucun témoin de connexion non essentiel et n'exploite aucun mécanisme de suivi publicitaire ou analytique tiers.
Si cette pratique devait évoluer, la présente politique serait mise à jour avant l'activation de tels mécanismes, et le cabinet mettrait en place les mesures d'information et, le cas échéant, de consentement requises par le droit applicable.
10. Modifications de la politique
Cette politique peut être modifiée pour refléter une évolution des pratiques du cabinet, des fonctionnalités du site ou du cadre juridique applicable. Toute modification substantielle sera portée à la connaissance des personnes concernées par un moyen approprié, notamment par publication sur le site.
11. Plainte auprès d'une autorité compétente
Toute personne qui estime que le cabinet n'a pas respecté ses obligations en matière de protection des renseignements personnels peut déposer une plainte auprès des autorités compétentes :
- Québec — Commission d'accès à l'information du Québec (CAI) — www.cai.gouv.qc.ca
- Canada — Commissariat à la protection de la vie privée du Canada, lorsque pertinent — www.priv.gc.ca
Le cabinet encourage néanmoins toute personne à lui adresser d'abord une réclamation directe, afin de permettre une résolution diligente et documentée.
Politique adoptée par Lustrum.