Politique de confidentialité

Canner est une plateforme de déploiement opérée depuis Montréal, au Québec. Nous nous engageons à traiter vos renseignements personnels conformément à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (la Loi 25) et à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) fédérale.

Cette politique décrit ce que nous collectons, pourquoi, combien de temps nous le conservons, et les droits que vous avez sur vos données.

1. Qui sommes-nous

Canner est exploitée par Colin Shand, à Montréal, Québec, Canada. Pour toute question relative à la vie privée ou pour exercer l’un des droits décrits ci-dessous, écrivez à privacy@canner.ca.

2. Ce que nous collectons

Nous collectons uniquement ce qui est nécessaire au fonctionnement de la plateforme :

• Données de compte : adresse courriel, mot de passe haché, nom de l’entreprise, forfait, statut de facturation.
• Données de projet : noms de projet, URL de dépôt GitHub, variables d’environnement (chiffrées au repos), journaux de compilation, historique de déploiements.
• Données opérationnelles : journaux de requêtes HTTP (hôte, chemin, statut, horodatage), durée et utilisation des ressources de compilation, traces d’erreur.
• Données de paiement : traitées par notre processeur de paiement; nous ne voyons jamais le numéro complet de votre carte.

Nous ne collectons pasde données pour la publicité comportementale et nous n’exécutons aucun traceur tiers sur canner.ca.

3. Où sont stockées vos données

Toutes les données client — bases de données, variables d’environnement, artefacts de compilation, code source — sont stockées sur une infrastructure située physiquement au Québec, Canada. Les données ne quittent pas la province dans le cadre de l’exploitation normale.

Un nombre limité de sous-traitants opérationnels (courriels transactionnels, traitement de paiement, DNS) peuvent traiter des métadonnées comme votre adresse courriel ou IP. Ils sont divulgués au paragraphe 7.

4. Pourquoi nous utilisons vos données

• Pour exploiter le service de déploiement que vous payez.
• Pour vous facturer et détecter la fraude.
• Pour vous envoyer des notifications de service essentielles (échecs de compilation, alertes de sécurité, changements de forfait).
• Pour diagnostiquer des bogues et améliorer la fiabilité.
• Pour respecter nos obligations légales.

Nous n’utilisons pas vos données de projet, vos journaux ou votre code source pour entraîner des modèles d’apprentissage automatique.

5. Combien de temps nous les conservons

• Compte : jusqu’à la suppression de votre compte, plus jusqu’à 90 jours pour les sauvegardes et la réconciliation de facturation.
• Journaux de compilation : 30 jours, puis purgés.
• Journaux d’accès : 90 jours, puis purgés.
• Sauvegardes : fenêtre glissante de 30 jours.

6. Vos droits

En vertu de la Loi 25 et de la LPRPDE, vous avez le droit de :

• Accéder aux renseignements personnels que nous détenons sur vous.
• Faire corriger des renseignements inexacts.
• Demander la suppression de votre compte et des données personnelles associées.
• Retirer votre consentement (sous réserve d’obligations légales prépondérantes).
• Exporter vos données dans un format structuré et couramment utilisé (portabilité).
• Déposer une plainte auprès de la Commission d’accès à l’information du Québec ou du Commissariat à la protection de la vie privée du Canada.

Pour exercer ces droits, écrivez à privacy@canner.ca. Nous répondons dans un délai de 30 jours.

7. Sous-traitants

• Web Hosting Canada (WHC) — hébergement, calcul et stockage au Québec.
• Cloudflare — DNS et émission de certificats TLS uniquement. Aucun trafic n’est mandataire par leur réseau.
• Stripe — facturation et traitement de paiement.
• Resend — courriels transactionnels (confirmation, réinitialisation, reçus).
• GitHub — uniquement lorsque vous connectez un dépôt.

8. Sécurité

Nous utilisons TLS pour tout trafic réseau, chiffrons les champs sensibles au repos (variables d’environnement, identifiants de base de données locataire), hachons les mots de passe avec bcrypt, et isolons les compilations et exécutions locataires via des sous-processus contraints par cgroup. Pour signaler une vulnérabilité, écrivez à security@canner.ca.

9. Témoins (cookies)

Nous utilisons un seul témoin de session de première partie pour vous garder connecté. Aucun témoin publicitaire n’est utilisé sur le site.

10. Statistiques du site

Nous mesurons le trafic vers canner.ca avec un outil d’analyse auto-hébergé et sans témoins que nous avons construit nous-mêmes. Il ne dépose aucun témoin, n’écrit pas dans le localStorage, et ne prend pas d’empreinte de votre navigateur. Pour chaque page vue, nous enregistrons le chemin de l’URL, le titre de la page, le référent, la taille de votre écran, la langue de votre navigateur et un pays / région approximatif déduit de votre adresse IP (l’adresse IP elle-même n’est jamais conservée).

Pour distinguer la séquence de pages d’un visiteur de celle d’un autre sans identifiant, nous dérivons un identifiant de session pseudonyme en hachant la combinaison site + votre adresse IP + votre user-agentavec un sel qui change au début de chaque mois UTC. Nous ne stockons jamais les entrées ni le sel; seulement le hachage résultant. La rotation mensuelle fait en sorte que l’identifiant de session d’un visiteur récurrent change chaque mois et ne peut être corrélé d’un mois à l’autre. Les événements bruts sont supprimés après 12 mois.

Vous pouvez désactiver les statistiques dans votre navigateur en activant son paramètre Do Not Track, ou en exécutantlocalStorage.setItem('canner.analytics.disabled', '1')dans la console développeur. Le site fonctionne de manière identique lorsque les statistiques sont désactivées.

11. Modifications

Toute modification importante de cette politique sera annoncée aux clients actifs par courriel au moins 30 jours avant son entrée en vigueur.