Notre engagement
Lumavine s'engage en faveur de la transparence, de la conformité réglementaire et de la protection des données dans toutes les juridictions où nous opérons. Cette page détaille notre posture de conformité, les réglementations auxquelles nous adhérons, nos pratiques de sécurité et les droits offerts à nos utilisateurs en vertu des lois applicables.
1. Matrice de conformité réglementaire
Le tableau suivant résume le statut de conformité de Lumavine par rapport aux réglementations applicables au Canada, aux États-Unis et à l'international.
| Réglementation |
Juridiction |
Statut |
Notes |
| PIPEDA |
Canada (fédéral) |
Conforme |
Les 10 principes intégralement mis en œuvre |
| Loi 25 du Québec (Projet de loi 64) |
Québec, Canada |
Conforme |
ÉFVP réalisée, surveillance de la vie privée par le fondateur |
| Alberta PIPA |
Alberta, Canada |
Conforme |
Conforme à la mise en œuvre de la PIPEDA |
| BC PIPA |
Colombie-Britannique, Canada |
Conforme |
Conforme à la mise en œuvre de la PIPEDA |
| LCAP |
Canada (fédéral) |
Conforme |
Consentement exprès, désabonnement facile |
| CCPA/CPRA |
Californie, É.-U. |
Conforme |
Aucune vente de RP, tous les droits respectés |
| COPPA |
É.-U. (fédéral) |
Conforme |
18 ans et plus uniquement, aucune donnée d'enfant collectée |
| GDPR |
UE/EEE |
Conforme |
CCT, surveillance de la vie privée par le fondateur |
| Virginia CDPA |
Virginie, É.-U. |
Conforme |
Droits relatifs à la vie privée respectés |
| Colorado CPA |
Colorado, É.-U. |
Conforme |
Refus universel reconnu |
| Connecticut CTDPA |
Connecticut, É.-U. |
Conforme |
Droits relatifs à la vie privée respectés |
| HIPAA |
É.-U. (fédéral) |
S. O. |
N'est pas une entité couverte |
| SOX |
É.-U. (fédéral) |
S. O. |
Société non cotée en bourse |
| PCI DSS |
Mondial |
S. O. |
Aucun traitement de paiement -- plateforme gratuite |
| WCAG 2.1 AA |
Mondial |
Engagé |
Améliorations continues de l'accessibilité |
| AODA |
Ontario, Canada |
Engagé |
Plan de conformité en matière d'accessibilité |
| ADA |
É.-U. (fédéral) |
Engagé |
Accessibilité au meilleur effort |
2. Surveillance de la vie privée et de la protection des données
Les pratiques de Lumavine en matière de vie privée et de protection des données sont supervisées directement par le fondateur. Pour toute demande relative à la vie privée, veuillez communiquer avec support@lumavine.ai.
Responsabilités
- Surveillance de la conformité à la PIPEDA, au GDPR et à toutes les lois applicables en matière de vie privée
- Réalisation d'évaluations des facteurs relatifs à la vie privée (ÉFVP) pour les nouvelles fonctionnalités et activités de traitement
- Traitement des demandes d'accès, de rectification et de suppression des personnes concernées
- Coordination des procédures de détection, d'évaluation et de notification des atteintes
- Liaison avec les autorités réglementaires, y compris le CPVP, la CAI et les autorités de contrôle de l'UE
3. Évaluations des facteurs relatifs à la vie privée
Lumavine réalise des évaluations des facteurs relatifs à la vie privée (ÉFVP) comme pratique fondamentale afin d'identifier et d'atténuer les risques pour la vie privée avant qu'ils ne se concrétisent.
- Nouvelles fonctionnalités : Des ÉFVP sont réalisées pour toutes les nouvelles fonctionnalités et activités de traitement des données avant leur lancement
- Loi 25 du Québec : Exige des ÉFVP avant tout nouveau projet impliquant des renseignements personnels, ce que Lumavine met pleinement en œuvre
- AIPD du GDPR : Des analyses d'impact relatives à la protection des données sont réalisées pour les activités de traitement présentant un risque élevé pour les droits et libertés des individus
Portée de l'ÉFVP
Chaque évaluation couvre :
- Flux de données : Cartographie de la circulation des renseignements personnels à travers les systèmes
- Nécessité et proportionnalité : S'assurer que la collecte de données se limite au strict nécessaire
- Identification des risques : Évaluation des menaces à la confidentialité, à l'intégrité et à la disponibilité
- Mesures de protection : Définition des mesures techniques et organisationnelles pour atténuer les risques identifiés
- Consultation : Engagement avec les parties prenantes et, le cas échéant, les autorités réglementaires
4. Procédures de réponse aux atteintes
Détection et confinement
Dès la détection d'une atteinte potentielle aux données, Lumavine déclenche une réponse technique immédiate pour isoler les systèmes affectés, préserver les preuves judiciaires et prévenir tout accès non autorisé supplémentaire.
Évaluation
Lumavine détermine la portée de l'incident, les types de données affectées, le nombre de personnes touchées et le niveau de risque pour ces personnes.
Délais de notification
- PIPEDA (Canada) : Notification au Commissariat à la protection de la vie privée du Canada et aux personnes touchées « dès que possible » en cas de risque réel de préjudice grave (RRPG)
- Loi 25 du Québec : Notification à la Commission d'accès à l'information (CAI) et aux personnes touchées dans les 72 heures suivant la prise de connaissance de l'atteinte
- GDPR (UE/EEE) : Notification à l'autorité de contrôle dans les 72 heures ; notification aux personnes touchées « sans retard injustifié » lorsqu'un risque élevé existe
- CCPA (Californie) : Notification « dans les meilleurs délais possibles et sans retard déraisonnable »
Contenu de la notification
Toutes les notifications d'atteinte comprennent : la nature de l'atteinte, les types de renseignements personnels concernés, les conséquences probables pour les personnes touchées, les mesures correctives prises ou proposées, et les coordonnées pour les demandes de suivi.
Tenue de registres
Toutes les atteintes sont consignées dans un registre interne, que les seuils de notification soient atteints ou non, comme l'exigent la PIPEDA et le GDPR. Les registres sont conservés pendant un minimum de 24 mois.
Examen post-incident
À la suite de chaque incident, Lumavine effectue une analyse des causes profondes, met en œuvre des mesures correctives, met à jour les politiques et procédures pertinentes, et améliore les pratiques de sécurité là où des lacunes sont identifiées.
5. Liste des sous-traitants
Lumavine fait appel aux sous-traitants tiers suivants pour fournir ses services. Chaque sous-traitant a été vérifié en matière de sécurité et de conformité, et des ententes de traitement des données appropriées sont en place.
| Sous-traitant |
Finalité |
Emplacement |
Certification |
Entente |
| Supabase Inc. |
Authentification, Base de données |
É.-U. |
SOC 2 Type II |
Entente de traitement des données |
| Vercel Inc. |
Hébergement, CDN |
É.-U. |
SOC 2 Type II |
Entente de traitement des données |
| Cloudflare Inc. |
CDN, Sécurité, Tunnel |
É.-U. |
SOC 2 Type II |
Entente de traitement des données |
| Google LLC |
CDN de polices |
É.-U. |
ISO 27001 |
Aucun RP transféré |
| OpenStreetMap Foundation |
Carte / Données de refuges |
UE |
Données ouvertes |
Aucun RP stocké |
| Open-Meteo |
Données météorologiques |
Allemagne |
API ouverte |
GPS uniquement, non stocké |
6. Ententes de traitement des données
Lumavine maintient des ententes de traitement des données (ETD) avec tous les sous-traitants qui traitent des renseignements personnels en notre nom. Ces ententes sont une exigence en vertu de la PIPEDA et du GDPR.
Exigences des ETD
Chaque ETD comprend les dispositions suivantes :
- Limitation des finalités : Les données ne sont traitées que pour les finalités spécifiques décrites dans l'entente
- Minimisation des données : Seule la quantité minimale de renseignements personnels nécessaire est partagée
- Obligations de sécurité : Les sous-traitants doivent mettre en œuvre des mesures techniques et organisationnelles appropriées
- Notification d'atteinte : Les sous-traitants doivent informer Lumavine sans retard injustifié dès la découverte d'une atteinte
- Droits d'audit : Lumavine conserve le droit de vérifier la conformité des sous-traitants
- Restrictions de sous-traitance : Toute sous-traitance ultérieure nécessite une autorisation écrite préalable
- Restitution et suppression des données : À la résiliation, les données doivent être restituées ou supprimées de manière sécurisée selon les directives de Lumavine
7. Transferts transfrontaliers de données
L'infrastructure principale de traitement des données de Lumavine est située aux États-Unis, exploitée par Supabase et Vercel. Par conséquent, les renseignements personnels collectés auprès des utilisateurs au Canada, dans l'UE/EEE et dans d'autres juridictions sont transférés aux États-Unis pour traitement.
Mesures de protection des transferts
- Canada vers É.-U. : La PIPEDA permet les transferts vers des juridictions offrant des protections comparables. Lumavine complète cela par des garanties contractuelles dans toutes les ETD
- UE/EEE vers É.-U. : Les transferts sont régis par les clauses contractuelles types (CCT) adoptées par la Commission européenne, complétées par le cadre de protection des données UE-É.-U. le cas échéant
- Évaluations d'impact des transferts : Réalisées annuellement pour évaluer le cadre juridique dans les pays destinataires et l'efficacité des mesures supplémentaires
- Mesures techniques : Toutes les données sont chiffrées en transit (TLS 1.3) et au repos (AES-256) pour fournir une protection supplémentaire indépendamment de la juridiction
8. Statut HIPAA
Lumavine N'EST PAS une entité couverte par HIPAA
Lumavine n'est pas un fournisseur de soins de santé, un régime de santé ou un centre d'échange de données de santé au sens de HIPAA. Les données de bien-être collectées par notre plateforme (telles que le suivi de l'humeur et les entrées de journal) ne constituent pas des renseignements de santé protégés (RSP).
- Lumavine ne traite, ne stocke ni ne transmet de renseignements de santé protégés
- Les fonctionnalités de bien-être sont destinées au bien-être général et ne fournissent pas de diagnostic ou de traitement médical
- Les utilisateurs ne doivent pas partager de dossiers médicaux, de diagnostics ou d'informations cliniques par l'intermédiaire de la plateforme
- Aucun accord de partenariat commercial (BAA) n'est requis ou offert
- Si vous avez besoin de services de santé conformes à HIPAA, veuillez consulter un professionnel de la santé qualifié
9. IA et prise de décisions automatisée
Lumavine utilise l'intelligence artificielle dans son chatbot Luma Core pour fournir un soutien conversationnel orienté vers le bien-être. Nous nous engageons à des pratiques d'IA responsables et transparentes.
- Aucune décision automatisée conséquente : Lumavine ne prend pas de décisions automatisées produisant des effets juridiques ou des effets significatifs similaires sur les utilisateurs
- Aucun profilage discriminatoire : Les données des utilisateurs ne sont pas utilisées pour profiler les individus à des fins discriminatoires ou pour déterminer l'accès aux services, au crédit, à l'emploi ou au logement
- Transparence de l'IA : Les utilisateurs sont clairement informés qu'ils interagissent avec un système d'IA, conformément au SB 243 de la Californie et aux exigences similaires en matière de divulgation
- Aucune notation automatisée : Il n'existe aucun système de notation ou de classement automatisé affectant la capacité d'un utilisateur à accéder aux services de Lumavine
- Surveillance humaine : Les utilisateurs peuvent communiquer avec support@lumavine.ai en tout temps pour demander un examen humain de toute réponse ou interaction générée par l'IA
10. Conformité antipourriel LCAP
Lumavine se conforme à la Législation canadienne anti-pourriel (LCAP), qui réglemente les messages électroniques commerciaux (MEC) envoyés vers ou depuis le Canada.
- Consentement exprès : Lumavine obtient le consentement exprès avant d'envoyer tout message électronique commercial
- Exemptions transactionnelles : Les messages purement transactionnels (reçus, alertes de sécurité, mises à jour de service) sont exemptés des exigences de consentement mais respectent tout de même les normes d'identification
- Identification de l'expéditeur : Tous les MEC comprennent une identification claire de Lumavine comme expéditeur et les coordonnées
- Mécanisme de désabonnement : Chaque MEC comprend un mécanisme de désabonnement clair, bien visible et facile à utiliser
- Traitement des désabonnements : Toutes les demandes de désabonnement sont traitées dans les 10 jours ouvrables conformément à la LCAP
- Registres de consentement : Lumavine tient des registres de tous les consentements obtenus, y compris l'horodatage, la méthode de collecte et la portée du consentement
- Plaintes : Les utilisateurs peuvent déposer des plaintes relatives à la LCAP auprès du CRTC à www.fightspam.gc.ca
11. Conformité en matière d'accessibilité
Lumavine s'engage à ce que sa plateforme soit accessible à tous les utilisateurs, y compris les personnes handicapées. Nous travaillons activement à la conformité aux normes suivantes :
WCAG 2.1 AA
Niveau de conformité cible pour tout le contenu Web. Les Règles pour l'accessibilité des contenus Web fournissent la norme internationale pour la conception Web accessible.
AODA (Ontario)
Conformité à la Loi sur l'accessibilité pour les personnes handicapées de l'Ontario et au Règlement sur les normes d'accessibilité intégrées.
ADA (É.-U.)
Conformité au meilleur effort au titre III de la loi Americans with Disabilities Act, assurant un accès égal aux services numériques.
Section 508
Les normes fédérales d'accessibilité sont suivies comme référence pour assurer la compatibilité avec les technologies d'assistance.
Engagements clés en matière d'accessibilité
- HTML sémantique : Structure de titres, repères et attributs ARIA appropriés dans toute la plateforme
- Navigation au clavier : Tous les éléments interactifs sont accessibles au clavier sans nécessiter de souris
- Compatibilité avec les lecteurs d'écran : Le contenu est structuré pour fonctionner avec les lecteurs d'écran populaires, notamment NVDA, JAWS et VoiceOver
- Contraste des couleurs : Ratio de contraste minimum de 4,5:1 pour le texte normal et de 3:1 pour le texte de grande taille
- Texte alternatif : Texte alternatif descriptif fourni pour toutes les images significatives
- Indicateurs de focus : Indicateurs de focus visibles sur tous les éléments interactifs
- Cibles tactiles : Taille minimale des cibles tactiles de 44x44 px pour les interactions mobiles
Pour signaler des problèmes d'accessibilité ou demander des accommodements, veuillez communiquer avec support@lumavine.ai.
12. Pratiques de sécurité
Lumavine met en œuvre des mesures de sécurité complètes pour protéger les données des utilisateurs contre l'accès non autorisé, la divulgation, l'altération et la destruction.
Chiffrement
Toutes les données sont chiffrées en transit à l'aide de TLS 1.3 et au repos à l'aide du chiffrement AES-256. Cela s'applique à toutes les données des utilisateurs stockées dans nos bases de données et à toutes les données transmises entre le navigateur de l'utilisateur et nos serveurs.
Authentification
Les sessions des utilisateurs sont gérées de manière sécurisée en utilisant des pratiques conformes aux normes de l'industrie. Toutes les communications entre le navigateur de l'utilisateur et nos serveurs sont chiffrées.
Sécurité des données
Les données des utilisateurs stockées localement dans le navigateur sont protégées par le modèle de sécurité intégré du navigateur. Les données côté serveur sont protégées par un chiffrement et des contrôles d'accès conformes aux normes de l'industrie.
Contrôles d'accès
Lumavine met en œuvre un contrôle d'accès basé sur les rôles (RBAC) avec le principe du moindre privilège. La sécurité au niveau des lignes (RLS) est activée sur toutes les tables de la base de données, garantissant que les utilisateurs ne peuvent accéder qu'à leurs propres données.
Infrastructure
Notre infrastructure est hébergée sur Vercel (SOC 2 Type II) avec des services de base de données fournis par Supabase (SOC 2 Type II), assurant une sécurité de niveau entreprise au niveau de l'infrastructure.
Surveillance et réponse
- Surveillance continue de la sécurité et détection des anomalies
- Mises à jour régulières des dépendances et analyse des vulnérabilités
- Procédures de réponse aux incidents documentées
13. Sécurité des paiements
Lumavine est une plateforme entièrement gratuite. Aucune donnée de paiement n'est collectée, traitée ou stockée. Il n'y a aucun plan payant, abonnement, facturation ou traitement de paiement d'aucune sorte. Par conséquent, la conformité PCI DSS ne s'applique pas aux opérations de Lumavine.
14. Protection des données des enfants
Lumavine est conçu pour les utilisateurs âgés de 18 ans et plus. Nous ne recueillons pas sciemment de renseignements personnels auprès d'enfants ou de mineurs.
- COPPA (É.-U.) : Lumavine ne recueille pas sciemment de données auprès d'enfants de moins de 13 ans. Notre plateforme ne s'adresse pas aux enfants
- CCPA (Californie) : Nous ne recueillons ni ne vendons les renseignements personnels d'utilisateurs de moins de 16 ans sans autorisation expresse
- Loi 25 du Québec : Des protections spéciales s'appliquent aux renseignements personnels des mineurs de moins de 14 ans, incluant des restrictions sur la collecte et l'utilisation. Lumavine ne cible pas ce groupe d'âge
- Exigence d'âge : En utilisant la plateforme, les utilisateurs confirment avoir au moins 18 ans tel qu'indiqué dans les conditions d'utilisation
- Protocole de découverte : Si Lumavine découvre qu'un utilisateur a moins de 18 ans, l'accès sera révoqué et toute donnée associée sera supprimée immédiatement
Pour signaler des préoccupations concernant un mineur utilisant Lumavine, veuillez communiquer avec support@lumavine.ai.
15. Modération du contenu et sécurité
Lumavine accorde la priorité à la sécurité des utilisateurs grâce à plusieurs niveaux de modération du contenu et de systèmes d'intervention en situation de crise.
- Filtrage du contenu par IA : Le chatbot Luma Core comprend un filtrage du contenu pour prévenir la génération de contenu nuisible, abusif ou inapproprié
- Détection de crise SafeHaven : La détection automatisée de mots-clés liés aux situations de crise (988, suicide, violence conjugale) déclenche une redirection immédiate vers des services professionnels de crise
- Intervention de crise : Lorsque des indicateurs de crise sont détectés, les utilisateurs se voient présenter des ressources professionnelles pertinentes, y compris des numéros de lignes d'écoute et des contacts d'urgence
- Signalement par les utilisateurs : Les utilisateurs peuvent signaler du contenu inapproprié ou des comportements préoccupants par l'intermédiaire des mécanismes de signalement de la plateforme
- Examen du contenu : Le contenu signalé est examiné rapidement et traité conformément à nos procédures d'examen du contenu
- Application des conditions : Les utilisateurs qui enfreignent les conditions d'utilisation par un comportement nuisible sont passibles d'une suspension ou d'une résiliation de l'accès
16. Calendrier de conservation des données
Lumavine ne conserve les renseignements personnels que le temps nécessaire à l'accomplissement des finalités pour lesquelles ils ont été collectés, ou selon les exigences de la loi. Le tableau suivant présente nos périodes de conservation.
| Type de données |
Période de conservation |
Méthode d'élimination |
| Préférences de l'utilisateur |
Stockées localement dans le navigateur |
Effacement des données du navigateur |
| Données de bien-être (humeur, journal) |
Tant que le compte est actif |
Sur demande ou effacement des données du navigateur |
| Conversations IA |
90 jours |
Anonymisées ou supprimées |
| Scores de jeux |
Stockés localement dans le navigateur |
Effacement des données du navigateur |
| Analytique d'utilisation |
3 ans |
Agrégée / anonymisée |
| Billets de soutien |
2 ans |
Suppression sécurisée |
| Journaux d'audit |
2 ans |
Conformité réglementaire |
| Données SafeHaven |
Session uniquement |
Jamais persistées |
| Abonnements aux notifications |
Tant que le compte est actif |
Effacement des données du navigateur ou désabonnement |
17. Coordonnées des autorités réglementaires
Les utilisateurs ont le droit de déposer des plaintes auprès des autorités réglementaires compétentes dans leur juridiction. Voici une liste des principales autorités.
18. Mises à jour de conformité et audits
Lumavine maintient un programme d'amélioration continue de la conformité pour s'assurer que nos pratiques demeurent à jour avec les exigences réglementaires en évolution et les meilleures pratiques de l'industrie.
- Examen annuel de conformité : Un examen exhaustif de toutes les politiques et pratiques de conformité est effectué chaque année
- Mises à jour trimestrielles des ÉFVP : Les évaluations des facteurs relatifs à la vie privée sont examinées et mises à jour trimestriellement pour refléter les nouvelles fonctionnalités et activités de traitement
- Veille réglementaire : Surveillance continue des changements réglementaires au Canada, aux États-Unis, dans l'UE et dans les autres juridictions applicables
- Examen continu : Examen régulier des pratiques de protection des données et des mesures de sécurité
- Évaluations par des tiers : Évaluations périodiques de la sécurité par des tiers pour valider notre posture de sécurité
- Vérification des sous-traitants : Vérification continue que les sous-traitants maintiennent leurs certifications et obligations de conformité
- Historique des versions des politiques : Toutes les versions des politiques sont archivées et disponibles sur demande à des fins d'audit et de reddition de comptes