Politique de Confidentialité, Sécurité et Conformité

Les Entreprises SecuAAS Inc. (ci-après « SecuAAS », « nous », « notre ») est une entreprise québécoise spécialisée en cybersécurité, immatriculée au Registraire des entreprises du Québec sous le NEQ 1177504777. Nous exploitons la plateforme Scanyze (scanyze.com), un service SaaS de gestion de la surface d'attaque externe (EASM), de balayage de vulnérabilités, d'analyse de code, de tests d'intrusion automatisés et de conformité destiné aux entreprises. Le présent document constitue notre politique complète de confidentialité, de sécurité et de conformité réglementaire. Il s'applique à tous les utilisateurs de Scanyze, qu'ils soient titulaires d'un compte ou simples visiteurs du site.

Conformément à la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, L.Q. 2021, c. 25), SecuAAS a désigné un responsable de la protection des renseignements personnels : Nom : Olivier, Président Fondateur Courriel : dpo@secuaas.com Adresse : 336, rue Jeanne d'Arc, Québec (Québec), Canada G1S 2R7 Le RPRP est le point de contact pour toute question relative à la protection de vos renseignements personnels, que ce soit au titre de la Loi 25, de la PIPEDA ou du RGPD.

Nous collectons les catégories suivantes de renseignements personnels : Renseignements d'identification : • Nom et prénom • Adresse courriel • Numéro de téléphone Renseignements techniques : • Adresse IP • Type de navigateur et système d'exploitation • Journaux d'accès et d'activité sur la plateforme • Identifiants de session Renseignements d'affaires : • Nom de l'organisation • Domaines et sous-domaines à analyser • Adresses IP et plages réseau associées Données de balayage : • Résultats de scans de vulnérabilités (ports ouverts, services détectés, CVE identifiés, certificats SSL/TLS, configurations DNS) • Rapports d'analyse générés • Historique des scans et tendances • Tout document fourni par le client dans le cadre de l'utilisation du service Note importante : Les données de balayage concernent l'infrastructure technique du client. Elles peuvent contenir, de manière incidente, des renseignements personnels (ex. : noms dans des certificats SSL, adresses courriel dans des enregistrements WHOIS). SecuAAS traite ces données avec les mêmes protections que les renseignements personnels explicites.

La collecte et le traitement de vos renseignements personnels reposent sur les bases suivantes : Au titre de la Loi 25 (Québec) : • Consentement manifeste, libre, éclairé et donné à des fins spécifiques • Consentement granulaire (par finalité) pour les cookies et les communications • Mécanisme simple et accessible de retrait du consentement Au titre du RGPD (art. 6), le cas échéant : • Exécution d'un contrat (art. 6(1)(b)) — Fourniture des services Scanyze • Consentement (art. 6(1)(a)) — Cookies non essentiels, communications marketing • Intérêts légitimes (art. 6(1)(f)) — Sécurité de la plateforme, prévention de la fraude • Obligation légale (art. 6(1)(c)) — Conservation des données de facturation

Un cookie est un petit fichier texte déposé sur votre appareil lorsque vous visitez un site web. Les cookies permettent au site de reconnaître votre appareil et de conserver certaines informations entre les visites. Cookies strictement nécessaires (essentiels) : Ces cookies sont indispensables au fonctionnement de la plateforme. Ils ne peuvent pas être désactivés. • session_id — Maintien de la session authentifiée — Durée de la session • csrf_token — Protection contre les attaques CSRF — Durée de la session • cookie_consent — Mémorisation de votre choix de cookies — 12 mois Cookies d'analyse (performance) : Ces cookies nous permettent de mesurer l'audience et d'améliorer la plateforme. • _ga (Google Analytics) — Distinction des utilisateurs — 14 mois • _ga_* (Google Analytics) — Conservation de l'état de la session — 14 mois Les données collectées par Google Analytics sont anonymisées (anonymisation IP activée) et transmises aux serveurs de Google aux États-Unis. Ce transfert a fait l'objet d'une EFVP. Votre consentement : Conformément à la Loi 25, les cookies non essentiels ne sont déposés qu'après l'obtention de votre consentement explicite, manifeste, libre et éclairé. Vous pouvez accepter tous les cookies, refuser les cookies non essentiels, ou modifier votre choix à tout moment via le lien « Paramètres des cookies » en pied de page. Le refus des cookies d'analyse n'affecte pas le fonctionnement de Scanyze. Vous pouvez également configurer votre navigateur pour refuser ou supprimer les cookies. Notez que la désactivation des cookies essentiels pourrait compromettre le fonctionnement de la plateforme.

Nous utilisons vos renseignements personnels aux fins suivantes : • Fournir, maintenir et améliorer les services Scanyze • Exécuter les balayages de vulnérabilités demandés par le client • Créer et gérer votre compte utilisateur • Authentifier votre identité et sécuriser l'accès à votre compte • Traiter les paiements via notre processeur Stripe • Générer des rapports d'analyse de sécurité • Communiquer avec vous concernant votre compte ou nos services • Assurer la sécurité et l'intégrité de la plateforme • Répondre à nos obligations légales et réglementaires • Produire des statistiques d'utilisation agrégées et anonymisées

La sécurité est le fondement même de Scanyze. En tant que plateforme de cybersécurité développée par une entreprise de cybersécurité, nous appliquons à nos propres systèmes le même niveau d'exigence que nous aidons nos clients à atteindre. Hébergement et souveraineté des données : • Hébergement exclusif au Québec — Toute l'infrastructure de Scanyze est hébergée chez OVH Canada, dans le centre de données de Beauharnois, Québec • Souveraineté des données — Aucune donnée client n'est stockée de manière persistante hors du territoire québécois • Infrastructure conçue dès l'origine pour répondre aux exigences de la Loi 25 Chiffrement : • En transit : TLS 1.3 obligatoire sur toutes les communications (interface web, API, agents de scan) • Au repos : Chiffrement AES-256 de toutes les données stockées, incluant les résultats de scan et rapports • Clés de chiffrement : Gestion des clés séparée de l'infrastructure de stockage Architecture de scan : • Les scans sont exécutés exclusivement depuis l'infrastructure SecuAAS hébergée au Québec • Les moteurs de scan sont isolés par client (pas de partage de ressources entre tenants) • Les résultats de scan transitent exclusivement via des canaux chiffrés Contrôle d'accès : • Authentification multi-facteurs (MFA) disponible et recommandée • Gestion des rôles et permissions par organisation • Journalisation complète de toutes les opérations • Politique de mots de passe conformes aux recommandations de l'ANSSI et du CIS • Isolation stricte des données entre organisations (multi-tenancy sécurisé) Surveillance et réponse aux incidents : • Surveillance 24/7 de l'infrastructure • Détection d'intrusion (IDS/IPS) en place • Plan de réponse aux incidents documenté et testé Sauvegardes et reprise après sinistre : • Sauvegardes chiffrées effectuées quotidiennement • Plan de reprise après sinistre (DRP) documenté • Infrastructure redondante au sein du centre de données de Beauharnois Sécurité du développement : • Cycle de développement sécurisé (SDLC) • Revue de code et analyse statique intégrées au CI/CD • Tests de sécurité automatisés à chaque déploiement • Scanyze est utilisé pour surveiller sa propre surface d'attaque Divulgation responsable : Si vous découvrez une vulnérabilité de sécurité dans Scanyze, veuillez la signaler de manière responsable à : security@secuaas.com. Nous accuserons réception dans les 48 heures et nous nous engageons à ne pas engager de poursuites contre les chercheurs agissant de bonne foi.

Conformément à la législation applicable, vous disposez des droits suivants : • Droit d'accès à vos renseignements personnels • Droit de rectification des renseignements inexacts • Droit de retrait du consentement pour les traitements fondés sur le consentement • Droit à l'effacement (droit à l'oubli) dans les limites prévues par la loi • Droit à la portabilité de vos renseignements dans un format technologique structuré et couramment utilisé • Droit de déposer une plainte auprès de la Commission d'accès à l'information du Québec (CAI) Pour exercer vos droits, contactez notre RPRP à dpo@secuaas.com. Nous répondrons dans un délai de 30 jours.

Nous partageons vos renseignements personnels avec les tiers suivants, dans le cadre strict de la fourniture de nos services : • OVH Canada (Beauharnois) — Hébergement infrastructure — Données au Québec • Stripe Inc. — Traitement des paiements — Transfert transitoire (États-Unis) • Google LLC (Analytics) — Mesure d'audience — Transfert transitoire (États-Unis) • Anthropic (Claude API) — Analyse IA des résultats de scan — Transfert transitoire (États-Unis) • Google (Vertex AI / Gemini) — Analyse IA des résultats de scan — Transfert transitoire (États-Unis) • OpenAI — Analyse IA des résultats de scan — Transfert transitoire (États-Unis) • Microsoft (Exchange / SharePoint) — Communications internes — Transfert transitoire (États-Unis / Canada) Chaque sous-traitant impliquant un transfert hors-Québec a fait l'objet d'une Évaluation des facteurs relatifs à la vie privée (EFVP) conformément à l'article 17 de la Loi sur le privé.

Certains traitements impliquent un transfert transitoire de renseignements personnels vers des serveurs situés hors du Québec, principalement aux États-Unis. Ces transferts sont effectués conformément à l'article 17 de la Loi sur le privé, tel que modifié par la Loi 25. Avant chaque transfert, nous avons réalisé une EFVP tenant compte : • De la sensibilité des renseignements transférés • De la finalité du transfert • Des mesures de protection contractuelles et techniques en place • Du cadre juridique applicable dans le territoire de destination, incluant le risque lié au CLOUD Act (18 U.S.C. § 2713) et au FISA Section 702 Mesures d'atténuation appliquées : • Minimisation des données transmises aux API tierces (aucune donnée d'identification du client final n'est transmise aux API IA ; seuls les résultats techniques de scan sont envoyés pour analyse) • Chiffrement TLS 1.3 en transit • Aucun stockage persistant de renseignements personnels chez les fournisseurs d'API IA (traitement transitoire uniquement) • Clauses contractuelles de protection des données avec chaque sous-traitant • Hébergement primaire exclusivement au Québec (OVH Beauharnois)

Nous conservons vos renseignements personnels aussi longtemps que nécessaire aux fins pour lesquelles ils ont été collectés : • Données de compte : Durée de l'abonnement + 12 mois après la fermeture du compte • Résultats de scans : Conservés pendant la durée de l'abonnement. Supprimés dans les 30 jours suivant la fermeture du compte, sauf demande contraire • Rapports d'analyse : Même durée que les résultats de scans • Journaux de sécurité : 24 mois • Données de facturation : Selon les obligations fiscales applicables (6 ans minimum) • Données de mesure d'audience : 14 mois (Google Analytics)

En cas d'incident de confidentialité présentant un risque de préjudice sérieux, SecuAAS : • Prendra les mesures raisonnables pour diminuer les risques de préjudice • Avisera la Commission d'accès à l'information du Québec (CAI) • Avisera les personnes concernées • Consignera l'incident dans un registre tenu à cette fin Le registre des incidents de confidentialité est maintenu conformément à l'article 3.5 de la Loi sur le privé, tel que modifié par la Loi 25.

Les Entreprises SecuAAS Inc. s'engage à respecter la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (L.Q. 2021, c. 25), ci-après « Loi 25 », incluant les modifications apportées à la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1). Gouvernance : • Responsable de la protection des renseignements personnels (RPRP) désigné : Olivier, Président Fondateur — dpo@secuaas.com • Publication de l'identité et des coordonnées du RPRP sur le site web de SecuAAS • Politiques et pratiques de gouvernance documentées et accessibles Consentement : • Obtention d'un consentement manifeste, libre, éclairé et donné à des fins spécifiques • Consentement granulaire (par finalité) pour les cookies et les communications • Mécanisme simple et accessible de retrait du consentement • Consentement distinct pour chaque finalité de traitement Évaluations des facteurs relatifs à la vie privée (EFVP) : Des EFVP ont été réalisées pour tout traitement impliquant : • Un transfert de renseignements personnels hors du Québec (art. 17) • L'acquisition, le développement ou la refonte d'un système d'information (art. 3.3) • La communication de renseignements personnels à des tiers Les EFVP réalisées couvrent les sous-traitants suivants : • Anthropic (Claude API) — États-Unis • Google (Vertex AI / Gemini / Analytics) — États-Unis • OpenAI — États-Unis • Stripe — États-Unis • Microsoft (Exchange / SharePoint) — États-Unis / Canada Registre des incidents de confidentialité : • Tenue d'un registre des incidents conformément à l'article 3.5 • Processus de notification à la CAI et aux personnes concernées en cas de risque de préjudice sérieux Droit à la portabilité : • Les renseignements personnels peuvent être communiqués dans un format technologique structuré et couramment utilisé sur demande Souveraineté des données : L'ensemble de l'infrastructure de Scanyze est hébergée au Québec (OVH Beauharnois). Les seuls transferts hors-Québec concernent des traitements transitoires via les API de sous-traitants technologiques, pour lesquels des EFVP ont été réalisées et des mesures d'atténuation appliquées.

La Loi sur la protection des renseignements personnels et les documents électroniques (PIPEDA / LPRPDE, L.C. 2000, ch. 5) s'applique aux activités commerciales interprovinciales et internationales de SecuAAS. Bien que la Loi sur le privé du Québec soit reconnue comme essentiellement similaire à la PIPEDA, nous maintenons une conformité aux deux cadres pour nos clients hors Québec. SecuAAS respecte les 10 principes énoncés à l'Annexe 1 de la PIPEDA : 1. Responsabilité — SecuAAS est responsable des renseignements personnels sous son contrôle. Le RPRP (dpo@secuaas.com) est le point de contact pour toute question. 2. Détermination des fins — Les fins de la collecte sont déterminées et documentées avant ou au moment de la collecte. 3. Consentement — Le consentement est obtenu de manière éclairée pour toute collecte, utilisation ou communication de renseignements personnels. 4. Limitation de la collecte — Seuls les renseignements nécessaires aux fins déterminées sont collectés. Pour les scans, seules les données d'infrastructure technique sont collectées. 5. Limitation de l'utilisation, de la communication et de la conservation — Les renseignements ne sont utilisés ou communiqués qu'aux fins pour lesquelles ils ont été collectés. 6. Exactitude — Les renseignements sont maintenus aussi exacts, complets et à jour que nécessaire. 7. Mesures de sécurité — Des mesures de sécurité techniques, administratives et physiques proportionnelles à la sensibilité des renseignements sont en place. 8. Transparence — Les politiques et pratiques de gestion des renseignements personnels sont accessibles et rédigées en langage clair. 9. Accès aux renseignements personnels — Sur demande, les individus peuvent accéder à leurs renseignements personnels et en contester l'exactitude. 10. Contestation de la conformité — Toute plainte ou contestation peut être adressée au RPRP à dpo@secuaas.com. Commissariat à la protection de la vie privée du Canada : Si vous estimez que SecuAAS ne respecte pas ses obligations en vertu de la PIPEDA, vous pouvez déposer une plainte auprès du Commissariat à la protection de la vie privée du Canada (CPVP) : Site web : www.priv.gc.ca Téléphone : 1-800-282-1376

Le Règlement général sur la protection des données (RGPD, Règlement UE 2016/679) s'applique lorsque Scanyze traite des données à caractère personnel de personnes situées dans l'Espace économique européen (EEE). SecuAAS applique les principes du RGPD de manière proactive dans le cadre de son engagement envers les meilleures pratiques internationales en matière de protection des données. Base juridique du traitement (art. 6 RGPD) : • Exécution d'un contrat (art. 6(1)(b)) — Fourniture des services Scanyze • Consentement (art. 6(1)(a)) — Cookies non essentiels, communications marketing • Intérêts légitimes (art. 6(1)(f)) — Sécurité de la plateforme, prévention de la fraude • Obligation légale (art. 6(1)(c)) — Conservation des données de facturation Droits des personnes concernées : Si vous êtes situé dans l'EEE, vous disposez des droits suivants : • Droit d'accès (art. 15) • Droit de rectification (art. 16) • Droit à l'effacement (art. 17) • Droit à la limitation du traitement (art. 18) • Droit à la portabilité des données (art. 20) • Droit d'opposition (art. 21) • Droit de ne pas faire l'objet d'une décision automatisée (art. 22) Pour exercer vos droits : dpo@secuaas.com — Délai de réponse : 30 jours (extensible de 60 jours en cas de complexité, avec notification). Transferts internationaux : SecuAAS est établie au Canada. La Commission européenne a reconnu le Canada comme offrant un niveau de protection adéquat (décision d'adéquation 2002/2/CE) pour les transferts de données sous le régime de la PIPEDA. Pour les transferts vers des sous-traitants situés aux États-Unis, SecuAAS s'appuie sur : • Des clauses contractuelles types (CCT) de la Commission européenne, le cas échéant • Des évaluations d'impact des transferts (Transfer Impact Assessment, TIA) • Des mesures techniques supplémentaires (chiffrement, minimisation, traitement transitoire) Délégué à la protection des données (DPO) : SecuAAS n'a pas l'obligation légale de nommer un DPO au sens de l'article 37 du RGPD. Toutefois, les demandes relatives au RGPD peuvent être adressées à dpo@secuaas.com. Autorité de contrôle : Si vous estimez que le traitement de vos données enfreint le RGPD, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle de votre État membre de résidence. Registre des activités de traitement : SecuAAS tient un registre des activités de traitement conformément à l'article 30 du RGPD, disponible sur demande auprès du DPO.

SecuAAS maintient un cadre de gouvernance robuste pour la protection des renseignements personnels : • Un RPRP désigné et publiquement identifié • Des politiques et procédures documentées et régulièrement révisées • Des EFVP réalisées systématiquement pour tout nouveau traitement à risque • Un registre des incidents de confidentialité • Une formation continue du personnel sur la protection des renseignements personnels • Des audits internes réguliers de nos pratiques de protection des données • La plateforme Scanyze est utilisée pour surveiller sa propre surface d'attaque

Pour toute question, demande d'accès, de rectification ou de suppression de vos renseignements personnels : Responsable de la protection des renseignements personnels (RPRP) Les Entreprises SecuAAS Inc. Courriel : dpo@secuaas.com Adresse : 336, rue Jeanne d'Arc, Québec (Québec), Canada G1S 2R7 Délai de réponse : 30 jours Autorités de régulation : • Québec — Commission d'accès à l'information du Québec (CAI) : www.cai.gouv.qc.ca • Canada — Commissariat à la protection de la vie privée du Canada (CPVP) : www.priv.gc.ca — 1-800-282-1376 • Union européenne — Autorité de contrôle de votre État membre de résidence Vulnérabilités de sécurité : Pour signaler une vulnérabilité de sécurité : security@secuaas.com

Nous nous réservons le droit de modifier le présent document. Toute modification substantielle sera communiquée par courriel ou via une notification sur la plateforme au moins 30 jours avant son entrée en vigueur. L'utilisation continue de Scanyze après l'entrée en vigueur des modifications vaut acceptation de la politique mise à jour.