Politique de confidentialité

Conformément à l’article 3.1 de la Loi 25, Lysaura a désigné une personne responsable de la protection des renseignements personnels (« responsable RP ») :

[À COMPLÉTER PAR IDA — nom complet du responsable RP]
Courriel dédié : contact.lysaura@gmail.com

Adresse postale : voir mentions légales.

Vous pouvez écrire au responsable RP pour toute question sur vos renseignements personnels, l’exercice de vos droits, ou pour porter plainte.

Nous ne collectons que les renseignements nécessaires aux fins décrites à la section 3. Selon votre interaction avec le site, ces renseignements peuvent comprendre :

• Identité et coordonnées : nom, prénom, courriel, téléphone, adresse postale (collectés lors d’une commande ou d’un message via le formulaire de contact).
• Préférences olfactives : réponses fournies dans le diagnostic olfactif (anonyme par défaut).
• Historique d’achat : produits commandés, montants, date, mode de livraison. Conservé à des fins de service après-vente et d’obligations comptables.
• Données de navigation : adresse IP (anonymisée lors du stockage), type de navigateur, pages visitées, durée de visite — strictement à des fins de performance technique et de statistiques anonymisées (Vercel Analytics + Vercel Speed Insights).
• Renseignements de paiement : traités directement par notre fournisseur de paiement, jamais stockés sur nos serveurs (voir section 6).
• Préférences de consentement : vos choix sur les témoins/cookies, horodatés et conservés pour preuve.

Nous ne collectons aucun renseignement sensible au sens de la Loi 25 (santé, biométrique, racial, politique, syndical, orientation sexuelle).

Vos renseignements sont utilisés exclusivement pour :

• Traiter et expédier vos commandes (préparation, livraison, service après-vente).
• Répondre à vos demandes via le formulaire de contact ou par courriel.
• Vous envoyer notre infolettre uniquement si vous y avez consenti explicitement (case non pré-cochée — voir section 9 sur la LCAP).
• Adapter le contenu du site en mesurant son usage de manière agrégée et anonymisée.
• Respecter nos obligations légales (comptabilité, fiscalité, réquisitions des autorités compétentes).

Toute utilisation à d’autres fins fera l’objet d’un nouveau consentement explicite, sauf exception prévue par la loi.

Selon le type de renseignement, le traitement repose sur :

• Votre consentement libre, éclairé et spécifique (infolettre, cookies non strictement nécessaires).
• L’exécution d’un contrat auquel vous êtes partie (votre commande).
• Une obligation légale (factures conservées 7 ans pour la comptabilité).
• Notre intérêt légitime proportionné (sécurité du site, statistiques anonymisées) — vous pouvez vous y opposer à tout moment (section 7).

Vos renseignements ne sont conservés que le temps nécessaire aux finalités décrites à la section 3 :

• Données de commande (factures, livraison, garantie) : 7 ans à compter de la fin de l’exercice fiscal, obligation comptable (art. 286 Loi sur les impôts du Québec).
• Messages du formulaire de contact : 2 ans après la dernière interaction.
• Adresses courriel de l’infolettre : jusqu’à votre désabonnement, puis supprimées sous 30 jours.
• Données de navigation anonymisées (analytics) : 2 ans.
• Préférences de consentement : conservées pour preuve 3 ans après retrait ou modification.
• Renseignements de diagnostic olfactif anonymes : conservés sans limite tant qu’ils restent anonymisés.

À l’issue de ces durées, les données sont supprimées ou anonymisées de manière irréversible.

Aucune vente, location ou échange de vos renseignements n’est jamais effectué. Vos données peuvent être communiquées aux prestataires suivants, dans la stricte mesure nécessaire à leur mission :

• Vercel Inc. (États-Unis) — hébergement du site, statistiques anonymisées.
• Supabase Inc. ([À COMPLÉTER PAR IDA — région : Canada / États-Unis / autre]) — base de données et stockage des images.
• [À COMPLÉTER PAR IDA — fournisseur de paiement, p. ex. Stripe, Square, Moneris] — traitement des transactions de paiement (les données de carte ne transitent jamais par nos serveurs).
• [À COMPLÉTER PAR IDA — transporteurs : Postes Canada, Purolator, ICS Courrier, etc.] — livraison de vos commandes (nom + adresse uniquement).
• [À COMPLÉTER PAR IDA — courriel transactionnel / infolettre, p. ex. SendGrid, Resend, Mailchimp] — envoi des courriels de confirmation et de l’infolettre.

Communication hors-Québec : certains prestataires ci-dessus traitent les données aux États-Unis ou ailleurs hors du Québec. Conformément à l’article 17 de la Loi 25, Lysaura a évalué que ces transferts offrent une protection adéquate via des engagements contractuels appropriés. La liste détaillée des engagements est disponible sur demande au responsable RP.

La Loi 25 vous reconnaît les droits suivants sur les renseignements vous concernant :

• Accès : obtenir copie des renseignements que nous détenons sur vous.
• Rectification : corriger un renseignement inexact, incomplet ou équivoque.
• Suppression / désindexation : faire retirer un renseignement, sous réserve des obligations légales (p. ex. factures à conserver 7 ans).
• Portabilité : recevoir vos renseignements dans un format technologique structuré et couramment utilisé (depuis le 22 sept. 2024).
• Retrait du consentement : à tout moment, sans justification, et sans frais.
• Opposition à un traitement fondé sur notre intérêt légitime.

Comment exercer vos droits : écrivez au responsable RP à contact.lysaura@gmail.com avec une preuve raisonnable d’identité (afin d’éviter une divulgation à un tiers). Nous vous répondons dans les 30 jours civils suivant la réception de votre demande.

Le site utilise des témoins (cookies) répartis en trois catégories :

• Strictement nécessaires (toujours actifs) — session, sécurité CSRF, préférence de consentement. Aucun consentement requis (art. 8.1 Loi 25).
• Performance et statistiques (consentement requis) — Vercel Analytics, Vercel Speed Insights, anonymisés.
• Marketing et personnalisation (consentement requis) — non utilisés à ce jour.

Vous pouvez à tout moment modifier vos préférences en cliquant sur « Préférences de confidentialité » dans le pied de page.

[À FAIRE — bandeau de consentement granulaire à brancher. Cf. Phase 2.2 du rapport audit.]

Lysaura met en œuvre des mesures de sécurité organisationnelles et techniques raisonnables pour protéger vos renseignements contre la perte, l’accès non autorisé, la divulgation, la modification et la destruction :

• Chiffrement TLS de bout en bout pour toute communication.
• Accès aux bases de données restreint et journalisé, via rôles applicatifs ségrégués (Row Level Security Supabase).
• Aucun stockage de mot de passe ni de données de carte bancaire sur nos serveurs.
• Sauvegardes chiffrées et testées régulièrement.

En cas d’incident de confidentialité susceptible de causer un préjudice sérieux, Lysaura notifie la Commission d’accès à l’information (CAI) et les personnes concernées dans les meilleurs délais, conformément à l’article 3.5 de la Loi 25.

Si vous estimez que vos droits n’ont pas été respectés, vous pouvez :

1. Adresser votre plainte au responsable RP de Lysaura à contact.lysaura@gmail.com — réponse sous 30 jours.
2. Si vous n’êtes pas satisfait·e de la réponse (ou en l’absence de réponse), porter plainte auprès de la Commission d’accès à l’information du Québec :
   cai.gouv.qc.ca
   Téléphone (Québec) : 1 888 528 7741
   Adresse : 525, boul. René-Lévesque Est, bureau 2.36, Québec (Québec) G1R 5S9

Lysaura peut être amenée à modifier la présente politique pour suivre l’évolution des lois ou de ses activités. La version en vigueur est toujours celle publiée sur cette page, avec sa date de mise à jour et son numéro de version.

Version actuelle : 1.0
Dernière mise à jour : 24 mai 2026

Tout changement substantiel sera signalé par un avis bien visible sur le site et, le cas échéant, par courriel aux personnes concernées.