Politique de confidentialité

Credit Truth est un service opéré par GIROUX SOVEREIGN Inc., une société constituée sous les lois de l'État du Delaware, États-Unis d'Amérique.

Siège social : 1111B S Governors Ave # 98689, Dover, DE 19904, USA. Téléphone : +1 (302) 251-6655. Contact général : [email protected].

Notre infrastructure technique (serveurs, bases de données) est située aux États-Unis. Malgré cette juridiction, nous appliquons volontairement :

• Les principes de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (communément appelée « Loi 25 », Québec) dès qu'un résident du Québec utilise notre service ;
• Les exigences du Fair Credit Reporting Act (FCRA) et les lois étatiques applicables lorsque l'information d'un consommateur américain est traitée ;
• La LPRPDE / PIPEDA (fédéral canadien) et les lois provinciales (BC PIPA, Alberta PIPA, etc.) pour les résidents canadiens hors Québec ;
• Le RGPD lorsque des visiteurs de l'UE interagissent avec notre service.

Conformément à l'article 3.1 de la Loi 25 et aux meilleures pratiques FCRA, nous désignons publiquement un responsable de la protection des renseignements personnels :

Ian Giroux

Fondateur et chef de la direction — Responsable de la protection des RP

Courriel dédié : [email protected]

Téléphone : +1 (302) 251-6655

Adresse postale : identique au siège social ci-dessus.

Toute question, demande, plainte ou notification d'incident liée aux renseignements personnels doit être adressée à [email protected]. Nous traitons les demandes dans un délai maximal de 30 jours (délais comparables Loi 25, LPRPDE, FCRA).

La présente politique s'applique à tout traitement de renseignements personnels effectué par Credit Truth et GIROUX SOVEREIGN Inc. via thecredittruth.com et ses sous-domaines.

Nota : Credit Truth est un service d'audit forensique du crédit. En utilisant notre service, vous nous demandez explicitement d'analyser des données de rapport de crédit — ce qui implique le traitement de renseignements financiers personnels hautement sensibles. Nous traitons ces renseignements avec le soin qu'ils méritent.

Nous collectons différentes catégories de renseignements selon votre utilisation du service :

4.1 Informations de compte

• Nom complet
• Adresse courriel
• Organisation (le cas échéant)
• Mot de passe haché (nous ne stockons jamais en clair)

4.2 Données de rapport de crédit (service principal)

Lorsque vous demandez un audit, vous soumettez volontairement :

• Rapports de crédit (téléversés ou autorisés via open banking / API bureau de crédit)
• Comptes, enquêtes, collections, registres publics qu'ils contiennent
• Numéro d'assurance sociale / Social Security Number — utilisé uniquement pour identification lorsque obligatoire pour un format de rapport spécifique, jamais stocké en clair et jamais réutilisé

4.3 Métadonnées techniques

• Adresse IP au moment de la soumission (sécurité, prévention d'abus)
• Navigateur et appareil utilisés (intégrité de session uniquement)
• Journaux d'accès et d'audit

4.4 Ce que nous ne collectons PAS

• Aucun cookie de suivi publicitaire
• Aucune analytique tierce (pas de Google Analytics, pas de Facebook Pixel, pas de remarketing)
• Aucune donnée biométrique
• Aucun suivi de localisation au-delà de la géolocalisation approximative par IP pour sécurité

Conformément à l'article 8 de la Loi 25 et au § 604 FCRA, nous collectons vos renseignements strictement pour ces finalités précises :

• Livrer l'audit forensique de crédit que vous avez demandé — service principal
• Vous authentifier et sécuriser votre compte
• Produire un rapport auditable à intégrité cryptographique (triple-verrou SHA-3, chaîne de Merkle) admissible en cour
• Répondre aux obligations légales (ordonnances de tribunaux, demandes réglementaires, anti-fraude)
• Améliorer notre moteur de détection — UNIQUEMENT avec des données complètement anonymisées (aucun lien vers vous)
• Sécurité et prévention d'abus

Nous ne réutilisons PAS vos renseignements à d'autres fins que celles précisées ci-dessus sans votre consentement explicite préalable (art. 12 Loi 25).

Votre consentement est requis pour que nous puissions traiter vos renseignements personnels. Il est recueilli comme suit :

• Manifeste — vous devez cocher activement une case de consentement avant tout envoi de formulaire ou téléversement d'un rapport de crédit
• Libre — vous n'êtes jamais contraint de nous fournir des renseignements
• Éclairé — la présente politique est accessible depuis chaque formulaire
• Granulaire — nous demandons un consentement séparé pour des finalités distinctes (livraison d'audit vs. amélioration anonymisée du modèle)

Vous pouvez retirer votre consentement à tout moment en écrivant à [email protected]. Le retrait ne s'applique qu'aux traitements futurs — il n'annule pas rétroactivement les traitements déjà effectués conformément à votre consentement initial. Si vous retirez votre consentement pendant qu'un audit actif est en cours, nous cesserons le traitement et vous indiquerons ce qui peut encore être légitimement conservé (par exemple, les journaux d'intégrité d'audit pour l'admissibilité légale).

Conformément à l'article 23 de la Loi 25 et au § 619 FCRA, nous ne conservons vos renseignements que pour le temps strictement nécessaire aux finalités de collecte.

• Rapports de crédit téléversés : chiffrés AES-256 en transit et au repos. Traités et purgés dans les 48 heures de la livraison de l'audit sauf si vous demandez explicitement que nous conservions une archive pour un litige en cours
• Rapports d'audit générés : conservés avec sceaux cryptographiques pendant 7 ans (rétention commerciale standard + fenêtre d'admissibilité FCRA)
• Informations de compte : pour la durée de votre compte + 2 ans après suppression (prévention de fraude, registres fiscaux)
• Rétention légale (litige en cours, enquête réglementaire) : jusqu'à résolution finale + délai de prescription applicable
• Données anonymisées d'amélioration du modèle : indéfini (aucun lien vers vous)

À l'expiration de la durée de conservation, les renseignements personnels sont détruits de façon sécurisée ou anonymisés de façon irréversible.

Nous ne vendons pas, ne louons pas, ni n'échangeons vos renseignements personnels avec des tiers à des fins commerciales.

Nous pouvons communiquer des renseignements uniquement dans les circonstances suivantes :

8.1 Sous-traitants opérationnels

Liés par des contrats écrits comportant obligations de confidentialité, minimisation et sécurité :

• API de bureaux de crédit (Equifax, TransUnion, Experian) — lorsque vous autorisez un tirage direct de votre rapport en votre nom. Ils reçoivent uniquement ce qui est strictement nécessaire à l'identification
• Infrastructure cloud (DigitalOcean, région US) — hébergement et stockage sous notre contrôle technique direct
• Services cryptographiques — vérification d'identité et scellage d'audit
• Courriel transactionnel — pour vous envoyer les rapports d'audit et avis légaux

8.2 Représentants autorisés

Avocats ou agents que vous autorisez explicitement (mandat écrit au dossier) à recevoir vos résultats d'audit.

8.3 Autorités réglementaires ou judiciaires

En réponse à une assignation valide, ordonnance de tribunal, ou mandat réglementaire (CAI, CFPB, procureur général d'État, etc.).

8.4 Protection de droits

Pour protéger nos droits, propriété, sécurité, ou ceux d'autrui — sous conditions de stricte nécessité et proportionnalité.

8.5 Avec votre consentement explicite préalable

Pour toute finalité non listée ci-dessus.

Information importante pour les résidents du Québec : Nos serveurs sont situés aux États-Unis. Si vous êtes résident du Québec et utilisez notre service, vos renseignements personnels seront nécessairement transférés et traités hors du Québec.

Conformément à l'article 17 de la Loi 25, nous avons procédé à une Évaluation des Facteurs relatifs à la Vie Privée (ÉFVP) concernant ces transferts. Principaux éléments :

• Destination : États-Unis (région New York) sous notre contrôle direct
• Cadre légal destinataire : droit fédéral américain (FCRA, Cloud Act, Patriot Act), droit de l'État du Delaware
• Mesures de protection : chiffrement AES-256 au repos, TLS 1.3 en transit, accès restreint, contrôles d'accès stricts, pistes d'audit cryptographiques
• Risque identifié : le droit américain n'offre pas une protection formellement équivalente à la Loi 25 ; certaines lois fédérales américaines (Cloud Act notamment) peuvent permettre l'accès gouvernemental aux données dans des circonstances légales spécifiques ; les données d'audit crédit sont toutefois peu susceptibles de rencontrer les critères légaux spécifiques pour un tel accès
• Mesures d'atténuation : minimisation des données, chiffrement fort, absence de tracking tiers, destruction dans les délais spécifiés à la section 7
• Conformité avec cadres canadiens équivalents : principe de responsabilisation de la LPRPDE, clauses contractuelles avec sous-traitants

En utilisant notre service, vous consentez explicitement à ce transfert hors Québec dans les conditions décrites. Une ÉFVP détaillée est disponible sur demande à [email protected].

Nous mettons en œuvre les mesures de sécurité suivantes (art. 10 Loi 25, § 628 FCRA, Principe 7 LPRPDE) :

10.1 Mesures techniques

• Chiffrement au repos : AES-256 pour toutes les données de rapport de crédit
• Chiffrement en transit : TLS 1.3 sur toutes les communications site/serveur/API (HTTPS obligatoire, HSTS)
• Piste d'audit cryptographique : triple-verrou SHA-3 et chaîne de Merkle pour intégrité des audits
• Contrôle d'accès : restreint aux personnes ayant un besoin légitime
• Authentification forte : clés SSH Ed25519, authentification à deux facteurs sur systèmes d'administration
• Journalisation et audit : traces d'accès conservées et surveillées

10.2 Mesures organisationnelles

• Accord de confidentialité écrit avec toute personne ayant accès aux RP
• Formation Loi 25 et FCRA obligatoire à l'embauche
• Revue annuelle des pratiques de sécurité
• Aucun outil tiers de tracking (pas de Google Analytics, pas de Facebook Pixel, pas de services publicitaires)

10.3 Incidents détectés

Voir section 16.

Selon votre juridiction, vous disposez de tout ou partie des droits suivants (art. 27-41 Loi 25, § 609-611 FCRA, Principe 9 LPRPDE, art. 15-22 RGPD) :

• Droit d'accès — obtenir confirmation que nous traitons des renseignements vous concernant et en recevoir copie
• Droit de rectification — faire corriger des renseignements inexacts, incomplets ou équivoques
• Droit à la suppression — demander que les renseignements soient supprimés (sous réserve d'obligations légales de conservation)
• Droit au retrait du consentement — à tout moment pour les traitements futurs
• Droit à la portabilité (art. 27 Loi 25, art. 20 RGPD) — recevoir vos renseignements dans un format structuré et couramment utilisé
• Droit à la désindexation (art. 28.1 Loi 25) — demander la cessation de la diffusion ou la désindexation d'un renseignement susceptible de causer préjudice
• Droit à l'information sur une décision automatisée (art. 12.1 Loi 25, art. 22 RGPD) — y compris les facteurs et principes utilisés
• Droit à une révision humaine d'une décision automatisée — voir section 15 dédiée au traitement automatisé

Pour exercer l'un de ces droits, écrivez à [email protected] avec :

• Votre nom complet
• Le courriel utilisé lors de la collecte (pour identification)
• Le droit que vous souhaitez exercer
• Toute précision utile

Nous pouvons demander une vérification d'identité avant de donner suite. Nous répondons dans un délai de 30 jours. Si nous ne pouvons répondre dans ce délai, nous vous en informerons avec les raisons du retard.

Pour les contestations spécifiques FCRA (contestation d'un résultat d'audit auprès d'un bureau de crédit américain), nous pouvons aussi fournir le format structuré requis par 15 U.S.C. § 1681i.

Si vous n'êtes pas satisfait de notre réponse, ou si vous estimez que nous ne respectons pas nos obligations légales, vous pouvez déposer une plainte auprès de l'autorité compétente pour votre juridiction :

Pour les résidents du Québec

Commission d'accès à l'information (CAI)

525, boul. René-Lévesque Est, bureau 2.36

Québec (QC) G1R 5S9, Canada

Téléphone : 418 528-7741 / 1 888 528-7741

Courriel : [email protected]

Web : cai.gouv.qc.ca

Pour les résidents canadiens hors Québec

Commissariat à la protection de la vie privée du Canada (CPVP)

30, rue Victoria, Gatineau (QC) K1A 1H3

Téléphone : 1 800 282-1376

Web : priv.gc.ca

Pour les consommateurs US

Consumer Financial Protection Bureau (CFPB)

P.O. Box 27170, Washington, DC 20038

Web : consumerfinance.gov

Ou le procureur général de votre État.

Pour visiteurs UE

L'autorité de contrôle de votre État membre.

Nous n'utilisons aucun cookie de tracking, aucun pixel de suivi et aucun outil d'analytique tiers (pas de Google Analytics, pas de Meta/Facebook Pixel, pas de services de remarketing, pas de CRM automatisé qui pisterait votre navigation).

Les cookies éventuellement utilisés sont des cookies strictement techniques nécessaires au fonctionnement du site :

• Cookie de session (authentification durant votre session)
• Préférence de langue (EN/FR/ES)
• Jeton de sécurité (protection CSRF)

Ces cookies ne contiennent aucun identifiant personnel et ne sont pas partagés avec des tiers.

Credit Truth utilise du traitement automatisé (moteur de détection forensique par IA) dans le cadre de son service principal. Ce traitement peut produire des résultats qui influencent des décisions prises à votre égard par des tiers (prêteurs, tribunaux, employeurs si utilisé dans ce contexte).

Conformément à l'art. 12.1 Loi 25 et l'art. 22 RGPD, vous disposez des droits suivants concernant ces traitements automatisés :

• Droit d'être informé : Nous vous informons de façon proactive que notre service utilise un traitement automatisé et nous indiquons les principaux types de signaux analysés (erreurs de calcul, incohérences chronologiques, manques de reporting, problèmes de formatage, etc.)
• Droit à l'explication : Vous pouvez demander les principaux facteurs et principes ayant mené à un constat spécifique dans votre audit. Nous fournissons une explication écrite sous 30 jours
• Droit à une révision humaine : Vous pouvez demander qu'un analyste identifié de Credit Truth révise un constat automatisé avant toute décision fondée dessus. Demande à [email protected]
• Droit de contester : Vous pouvez contester une conclusion et soumettre des éléments pour réévaluation
• Transparence sur l'entraînement : Notre moteur de détection est entraîné uniquement sur des données complètement anonymisées, et nous ne faisons jamais de fine-tuning sur le dossier d'un utilisateur individuel

Le résultat de Credit Truth est une recommandation d'investigation ou d'action en justice ; il ne constitue jamais une décision définitive à votre égard. Toute décision prise par un tiers sur la base de notre résultat reste sous sa responsabilité et doit respecter ses propres obligations réglementaires.

Conformément à l'art. 3.5 Loi 25 et au § 615 FCRA, en cas d'incident de confidentialité présentant un risque de préjudice sérieux :

• Nous évaluons la situation dans les heures suivant la détection
• Nous notifions la CAI (Commission d'accès à l'information) et les personnes concernées dans les meilleurs délais
• Nous notifions les autres autorités réglementaires applicables (FTC, procureur général d'État pour sujets US, commissaires provinciaux compétents pour sujets canadiens)
• Nous prenons les mesures raisonnables pour réduire le risque et prévenir la récurrence
• Nous maintenons un registre des incidents conservé au moins 5 ans, consultable par la CAI sur demande

Pour signaler un incident présumé, écrivez immédiatement à [email protected] avec la mention « INCIDENT DE CONFIDENTIALITÉ » en objet.

Conformément à l'art. 3.2 Loi 25, nous avons adopté une politique de gouvernance interne sur les renseignements personnels. Éléments publics :

• Rôles et responsabilités : Ian Giroux est responsable unique de la protection des RP ; toute personne ayant accès aux RP est liée par accord de confidentialité
• Formation : toute personne ayant accès aux RP reçoit une formation obligatoire Loi 25 + FCRA + LPRPDE à l'embauche, et un rappel annuel
• Traitement des plaintes : toute plainte est enregistrée, analysée et reçoit une réponse écrite sous 30 jours
• Révision : la présente politique et les pratiques internes sont révisées au moins annuellement
• Audit : audit de sécurité externe de notre infrastructure au moins tous les 2 ans

Cette politique peut être mise à jour pour refléter des changements légaux, réglementaires ou opérationnels. Toute mise à jour sera publiée sur cette page avec la date de mise à jour.

Dernière mise à jour : avril 2026 Version : 2.0 (refonte conforme Loi 25 + FCRA + LPRPDE)

Questions vie privée, exercice des droits, plaintes, incidents

→ [email protected]

>

Communication générale

→ [email protected]

>

GIROUX SOVEREIGN Inc. — Credit Truth

1111B S Governors Ave # 98689

Dover, DE 19904, USA

+1 (302) 251-6655