Politique de confidentialité — Exposia

Dernière mise à jour : 9 avril 2026

La présente politique décrit comment les renseignements personnels sont recueillis, utilisés, conservés et protégés dans le cadre de l’utilisation du service Exposia, accessible notamment à l’adresse https://app.exposia.ca, ci-après le Service.

Exposia est une plateforme d’analyse et de surveillance de surface d’attaque destinée aux organisations. Les analyses portent sur les cibles que vous déclarez et dont vous attestez détenir l’autorisation de les soumettre au Service, conformément aux Conditions d’utilisation — section Autorisation de scan. Les résultats sont de nature technique et informative ; ils ne constituent ni un avis juridique, ni une certification, ni une attestation de conformité réglementaire.

1. Responsable de la protection des renseignements personnels

Responsable : Exposia
Courriel : support@exposia.ca

Cette adresse sert pour toute question relative à la présente politique et pour exercer les droits prévus par la Loi sur la protection des renseignements personnels dans le secteur privé (Québec), lorsqu’elle s’applique.

2. Nature et limites du Service

Exposia permet de configurer des actifs et des cibles, de lancer ou de planifier des analyses (réseau, web, code source connecté, etc.) et de consulter des résultats agrégés (findings, inventaire, rapports). Le Service est conçu pour des usages légitimes sur un périmètre que vous contrôlez.

Le Service n’est pas destiné à contourner des mesures de sécurité, à accéder à des systèmes non autorisés ni à évaluer la gouvernance interne complète d’un tiers sans cadre contractuel approprié.

3. Renseignements personnels recueillis

Selon les fonctionnalités utilisées, les catégories suivantes peuvent être traitées :

• Compte et organisation : adresse courriel, mot de passe (stocké sous forme sécurisée), nom ou identifiant affiché si fourni, informations sur l’organisation (nom, paramètres).
• Connexion et sécurité : adresse IP, type de navigateur ou client (User-Agent), identifiants de session, et le cas échéant données liées aux clés d’accès (passkeys) si vous activez cette option.
• Journalisation et audit applicatif : événements liés à l’usage du Service (types d’actions, horodatage, IP et User-Agent lorsque ces champs sont enregistrés dans le journal d’audit).
• Données d’analyse : cibles et paramètres de scans, résultats techniques (ports, services, vulnérabilités détectées, artefacts, rapports), contenus issus de dépôts que vous connectez volontairement.
• Intégrations : lorsque vous reliez un fournisseur externe (ex. dépôt Git), jetons ou identifiants nécessaires au fonctionnement de l’intégration, dans la mesure où vous les fournissez au Service.
• Facturation et usage : si applicable, informations relatives au plan, aux quotas ou aux événements d’usage nécessaires à la facturation.

Les pages marketing publiques (accueil, tarifs, FAQ, à propos, etc.) peuvent être consultées sans compte ; l’usage des fonctions d’analyse et du tableau de bord nécessite en général une authentification.

4. Moyens de collecte

• Création de compte, connexion et utilisation de l’interface ou de l’API.
• Saisie des cibles, lancement de scans, configuration d’intégrations et des préférences d’organisation.
• En-têtes HTTP, journaux techniques du serveur et mécanismes de sécurité habituels.
• Courriels ou messages que vous nous adressez (ex. support).

5. Témoins (cookies) et technologies similaires

Exposia utilise des mécanismes techniques nécessaires au fonctionnement sécurisé du site :

• Cookie de session : maintient votre session après connexion.
• Cookie de protection CSRF : réduit le risque de requêtes forgées sur les formulaires et actions sensibles.

Nous n’utilisons pas de cookies à des fins de publicité, de marketing ou d’analyse comportementale tierce sur le Service.

6. Finalités du traitement

Les renseignements sont utilisés pour :

• Fournir, exploiter et améliorer le Service (exécution des analyses, historique, rapports).
• Authentifier les utilisateurs, gérer les organisations et les droits d’accès.
• Assurer la sécurité, la stabilité et l’intégrité de la plateforme (limitation de débit, prévention des abus, diagnostic).
• Respecter les obligations légales et répondre aux demandes légitimes.
• Communiquer avec vous sur le compte, le support ou les avis importants relatifs au Service.

Nous ne vendons pas vos renseignements personnels et ne les utilisons pas pour du profilage publicitaire.

7. Conservation des renseignements

Les données sont conservées pendant la durée nécessaire aux finalités décrites ci-dessus, notamment pendant la vie du compte et de l’abonnement ou de la relation contractuelle, puis selon des délais raisonnables pour sauvegardes, obligations légales et litiges. Les journaux techniques sont conservés pour une durée limitée compatible avec la sécurité et l’exploitation.

Des suppressions ou anonymisations peuvent intervenir lors de la fermeture d’un compte ou sur demande lorsque la loi le permet.

8. Sous-traitance et infrastructure

Exposia peut faire appel à des prestataires techniques (hébergement, messagerie, sauvegarde, etc.) soumis à des obligations de confidentialité et de sécurité appropriées. Les données métier et les résultats d’analyse que vous déposez dans le Service sont hébergés au Canada, conformément à l’engagement affiché dans notre FAQ.

Si certains traitements accessoires (ex. transit ou délivrance de courriels) impliquent des acteurs situés ailleurs, ceux-ci sont choisis pour des besoins strictement opérationnels et encadrés contractuellement, sans revente à des fins commerciales.

9. Transferts hors Québec

Lorsque des renseignements sont traités en dehors du Québec, nous visons à limiter les données au strict nécessaire et à maintenir des garanties raisonnables. Les droits prévus par la loi québécoise applicable continuent de s’appliquer dans la mesure requise.

10. Accès et communication à des tiers

L’accès aux renseignements personnels est limité au personnel et aux mandataires qui en ont besoin pour leurs fonctions. Nous ne communiquons pas vos renseignements à des tiers à des fins commerciales indépendantes.

Des communications peuvent avoir lieu lorsque la loi l’exige, ou avec des sous-traitants agissant pour notre compte et uniquement pour fournir le Service.

11. Mineurs

Le Service s’adresse à un public professionnel et n’est pas destiné aux mineurs. Nous ne sollicitons pas sciemment de renseignements auprès d’eux.

12. Décisions automatisées et profilage

Les analyses de sécurité sont automatisées et portent sur les systèmes que vous avez autorisés. Elles ne constituent pas des décisions automatisées produisant des effets juridiques ou significatifs sur une personne physique au sens d’un profilage individuel à des fins commerciales. Des mécanismes techniques (ex. quotas, détection d’abus) peuvent restreindre certaines actions pour protéger le Service.

13. Vos droits

Selon les lois applicables, vous pouvez demander l’accès à vos renseignements personnels, leur rectification, ou la cessation de certaines utilisations dans les cas prévus. Adressez vos demandes à support@exposia.ca. Nous pourrons vous demander des éléments permettant de vérifier votre identité.

14. Mesures de sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles raisonnables : contrôles d’accès, chiffrement en transit (HTTPS), gestion des secrets, journalisation et surveillance, limitation de débit selon les besoins du Service.

15. Incidents de confidentialité

En cas d’incident affectant des renseignements personnels, nous prendrons les mesures appropriées pour en limiter l’impact et respecter les obligations de notification prévues par la loi, le cas échéant.

16. Modifications

Nous pouvons mettre à jour la présente politique pour refléter l’évolution du Service ou des obligations légales. La version à jour est publiée sur https://app.exposia.ca ; la date de mise à jour figure en tête de page.

---

Document relatif au service Exposia (app.exposia.ca).