Évaluation des facteurs relatifs à la vie privée
En vertu de la Loi sur la protection des renseignements personnels dans le secteur privé (Loi 25 / Projet de loi 64)
1. Objet et portée
La présente Évaluation des facteurs relatifs à la vie privée (EFVP) décrit les renseignements personnels traités par DVR Time Traveler et les mesures mises en œuvre pour les protéger. Elle est destinée aux responsables des achats, aux responsables de la vie privée et aux évaluateurs en sécurité informatique des organismes d'application de la loi et des organismes publics évaluant l'application en vue de son déploiement.
2. Inventaire des renseignements personnels
Le tableau suivant énumère chaque catégorie de renseignements personnels traitée par l'application, leur emplacement de stockage et s'ils quittent l'appareil.
| Élément de données | Stockage | Transmis? | Destination | Conservation |
|---|---|---|---|---|
| Nom de l'agent, numéro de matricule, unité/département | Appareil seul Chiffré AES-256 | Jamais | — | Jusqu'à la suppression par l'utilisateur ou « Effacer toutes les données » |
| Numéros de dossier, identification du DVR, données d'événement | Appareil seul Chiffré AES-256 | Jamais | — | Jusqu'à la suppression par l'utilisateur ou « Effacer toutes les données » |
| Photos de dossier | Appareil seul Bac à sable de l'application | Jamais | — | Jusqu'à la suppression par l'utilisateur ou « Effacer toutes les données » |
| Motifs de déverrouillage / identifiants DVR | Appareil seul Chiffré AES-256 | Jamais | — | Jusqu'à la suppression par l'utilisateur ou « Effacer toutes les données » |
| Rapports PDF générés | Appareil seul | Jamais (partagés uniquement par action explicite via la feuille de partage du système) | — | Jusqu'à la suppression par l'utilisateur |
| Notes (texte libre) | Appareil seul Chiffré AES-256 | Jamais | — | Jusqu'à la suppression par l'utilisateur ou « Effacer toutes les données » |
| UUID de l'appareil (identifiant généré par l'application) | Appareil + Serveur | Oui | Serveur de licences (license.sdtech.app) | Serveur : jusqu'à la désactivation + nettoyage sous 30 jours |
| Nom de l'appareil (nom rapporté par le système) | Serveur seul | Oui | Serveur de licences | Serveur : jusqu'à la désactivation + nettoyage sous 30 jours |
| Modèle de l'appareil, version du système, version de l'application | Serveur seul | Oui | Serveur de licences | Serveur : jusqu'à la désactivation + nettoyage sous 30 jours |
| Identifiant matériel Android (Android seulement) | Serveur seul | Oui (Android seulement) | Serveur de licences | Serveur : jusqu'à la désactivation + nettoyage sous 30 jours |
| Clé de licence | Appareil + Serveur | Oui | Serveur de licences | Serveur : jusqu'à l'expiration de la licence + période de conservation |
| Adresse IP | Journaux serveur | Inhérent aux connexions HTTPS | Serveur de licences, Sentry, fournisseurs de sources horaires (Google, Cloudflare, Apple, Microsoft, TimeAPI.io) | Serveur de licences : 30 jours (journaux de validation purgés automatiquement). Sentry : selon la politique de rétention de Sentry. Sources horaires : selon la politique de chaque fournisseur. |
| Empreinte du document (SHA-256) | Serveur | Oui (empreinte seulement, pas le contenu du document) | Serveur de licences → AHO RFC 3161 | Serveur : indéfinie (nécessaire pour la vérification de l'horodatage) |
| Rapports de plantage (traces d'erreur, info appareil anonymisée) | Sentry | Oui (production seulement, renseignements personnels retirés) | Sentry (sentry.io, hébergé aux États-Unis) | Selon les paramètres de rétention Sentry (par défaut : 90 jours) |
3. Ce qui N'EST PAS collecté ni transmis
Les catégories de données suivantes ne sont jamais transmises à aucun serveur, en aucune circonstance :
- Nom de l'agent, numéro de matricule ou département
- Numéros de dossier, adresses de DVR ou détails d'événements
- Photos, notes ou motifs de déverrouillage DVR
- Contenu des rapports PDF (seule l'empreinte SHA-256 est utilisée pour l'horodatage de confiance)
- Données de localisation ou GPS (l'application ne demande pas la permission de localisation)
- Contacts, journaux d'appels, messages ou toute autre donnée sur l'appareil
- Analytique comportementale ou habitudes d'utilisation (aucun SDK d'analytique n'est intégré)
4. Finalité de chaque transmission de données
4.1 Validation de licence (license.sdtech.app)
Finalité : Vérifier que l'utilisateur possède un abonnement valide ou une licence entreprise. Prévenir l'utilisation non autorisée et appliquer les limites d'activation par appareil.
Données envoyées : Clé de licence, UUID de l'appareil, nom de l'appareil, modèle, version du système d'exploitation, version de l'application, identifiant matériel Android (Android seulement), état de compromission de l'appareil.
Base juridique (Loi 25) : Nécessaire à l'exécution du contrat d'abonnement (art. 8.3).
Mesures de minimisation : L'UUID de l'appareil est généré par l'application (et non un numéro de série matériel). Les journaux de validation contenant les adresses IP sont automatiquement purgés après 30 jours.
4.2 Horodatage de confiance RFC 3161
Finalité : Obtenir un horodatage cryptographique prouvant que le rapport existait à un moment précis, aux fins d'admissibilité en tribunal.
Données envoyées : Empreinte SHA-256 du contenu canonique du rapport. Aucun contenu du rapport ne quitte l'appareil.
Base juridique : Nécessaire à la prestation de la fonctionnalité d'horodatage forensique contractée (art. 8.3).
4.3 Attestation de l'heure réseau
Finalité : Vérifier l'exactitude de l'horloge de l'appareil en interrogeant l'en-tête Date de grands fournisseurs web (Google, Cloudflare, Apple, Microsoft, TimeAPI.io).
Données envoyées : Requêtes HTTPS GET/HEAD standard sans en-têtes personnalisés, sans cookies, sans identifiants. Seule l'adresse IP est intrinsèquement visible par ces fournisseurs.
Base juridique : Nécessaire à la fonction forensique légitime de l'application (art. 8.3).
4.4 Rapports de plantage (Sentry)
Finalité : Détecter et corriger les erreurs de l'application pour maintenir sa fiabilité.
Données envoyées : Traces d'erreur, modèle de l'appareil, version du système, version de l'application, identifiant anonymisé de l'appareil. La collecte de renseignements personnels par défaut est désactivée. Un filtre pré-transmission retire activement les adresses courriel et les adresses IP de chaque événement.
Base juridique : Intérêt légitime pour le maintien de la stabilité de l'application (art. 8.3). Les utilisateurs peuvent désactiver les rapports de plantage via les paramètres développeur du système d'exploitation.
4.5 Hébergement du logo d'agence (appareils gérés seulement)
Finalité : Permettre aux organisations de distribuer leur logo de marque vers les appareils gérés pour inclusion dans les rapports PDF.
Données envoyées : Clé de licence, UUID de l'appareil et empreintes des logos actuels (pour la synchronisation). Aucune donnée de dossier.
5. Résidence des données
| Composante | Emplacement | Fournisseur |
|---|---|---|
| Données de dossier (tout le contenu sensible) | Appareil de l'agent uniquement | — |
| Serveur de licences | Cloudflare Workers (périphérie mondiale, avec base de données D1) | Cloudflare, Inc. |
| Rapports de plantage | États-Unis | Sentry (Functional Software, Inc.) |
| Horodatages RFC 3161 | Acheminés via Cloudflare vers l'AHO configurée | Cloudflare / fournisseur de l'AHO |
Note sur la souveraineté des données : Aucune donnée de dossier, identité d'agent ou contenu d'enquête ne transite par un serveur externe et n'y est stocké. Le serveur de licences ne stocke que des identifiants techniques nécessaires à la gestion des abonnements. Pour les organisations exigeant une résidence des données exclusivement canadienne pour toutes les métadonnées techniques, SDTech peut configurer une région Cloudflare dédiée sur demande.
6. Mesures de sécurité
- Chiffrement au repos : Toutes les données sensibles locales sont chiffrées en AES-256 via le trousseau de clés de l'appareil (iOS Keychain / Android Keystore).
- Chiffrement en transit : Toutes les communications réseau utilisent TLS 1.2+ (HTTPS). L'épinglage de certificat est appliqué pour le serveur de licences.
- Liste d'autorisation d'URL : L'application restreint les connexions sortantes à une liste codée en dur de domaines autorisés. Aucun appel réseau arbitraire n'est possible.
- Aucun compte utilisateur : L'application n'exige pas la création de compte, de connexion, d'adresse courriel ou de mot de passe.
- Journalisation d'audit : Les actions administratives (modifications de configuration MDM, gestion des logos) sont journalisées localement avec horodatages et numéros de matricule pour la responsabilité interne.
- Détection de compromission de l'appareil : L'application détecte les appareils débridés/rootés et signale cet état lors de la validation de licence.
- Conformité RGPD article 17 : La fonction « Effacer toutes les données » permet la suppression complète et irréversible de toutes les données stockées localement.
- Filtrage des renseignements personnels Sentry : La collecte par défaut est désactivée. Un filtre pré-transmission retire les adresses courriel et les adresses IP de tous les rapports de plantage.
7. Droits des personnes (Loi 25, articles 27 à 40)
| Droit | Modalités d'exercice |
|---|---|
| Droit d'accès (art. 27) | Toutes les données de dossier sont stockées sur l'appareil de l'utilisateur et sont directement accessibles. Pour les enregistrements du serveur de licences (UUID de l'appareil, nom de l'appareil, journaux IP), soumettre une demande à [email protected]. Réponse dans les 30 jours. |
| Droit de rectification (art. 28) | Les utilisateurs peuvent modifier directement toutes les données locales dans l'application. Pour les enregistrements côté serveur, contacter [email protected]. |
| Droit à l'effacement / au déréférencement (art. 28.1) | Utiliser « Effacer toutes les données » pour supprimer toutes les données locales. Pour les enregistrements de licence côté serveur, utiliser la fonction « Désactiver » ou contacter [email protected] pour une purge complète du compte. |
| Droit à la portabilité des données (art. 27(3)) | La fonctionnalité « Sauvegarde et restauration des notes » exporte les données de l'utilisateur dans un format structuré et lisible par machine, transférable vers un autre appareil. |
| Droit de retrait du consentement (art. 8.1) | Aucun traitement fondé sur le consentement n'est effectué. Tout traitement est fondé sur la nécessité contractuelle (abonnement) ou la fonction forensique légitime. Les utilisateurs peuvent cesser d'utiliser l'application et supprimer toutes les données à tout moment. |
8. Conservation et suppression des données
| Catégorie de données | Période de conservation | Mécanisme de suppression |
|---|---|---|
| Toutes les données locales de dossier | Indéfinie (contrôlée par l'utilisateur) | Fonction « Effacer toutes les données » |
| Enregistrements d'activation de licence (serveur) | Jusqu'à la désactivation + nettoyage sous 30 jours | Automatique à la désactivation, ou sur demande |
| Journaux de validation avec adresses IP (serveur) | 30 jours | Purge automatique |
| Enregistrements d'horodatage de confiance (serveur) | Indéfinie (nécessaire pour la vérification de l'horodatage) | Sur demande (note : la suppression annule la vérifiabilité de l'horodatage) |
| Rapports de plantage (Sentry) | 90 jours (rétention par défaut de Sentry) | Purge automatique |
9. Sous-traitants
| Sous-traitant | Finalité | Données reçues | Emplacement |
|---|---|---|---|
| Cloudflare, Inc. | Hébergement du serveur de licences, calcul en périphérie, base de données D1 | UUID de l'appareil, info appareil, clé de licence, adresse IP, empreinte de document | Mondial (périphérie), région de base de données configurable |
| Sentry (Functional Software, Inc.) | Rapports de plantage | Données d'erreur anonymisées, modèle de l'appareil, version du système (renseignements personnels retirés) | États-Unis |
| Apple Inc. / Google LLC | Validation des reçus d'achats intégrés (via les boutiques d'applications) | Jeton d'achat, identifiant de produit | États-Unis |
| Autorité d'horodatage RFC 3161 | Horodatage de confiance des empreintes de documents | Empreinte SHA-256 (aucun contenu de document) | Variable selon le fournisseur d'AHO |
10. Sommaire de l'évaluation des risques
| Risque | Probabilité | Impact | Atténuation |
|---|---|---|---|
| Accès non autorisé aux données de dossier | Très faible | Élevé | Données locales seulement, chiffrées AES-256, stockées dans le trousseau de clés du système. Aucune surface d'attaque côté serveur pour les données de dossier. |
| Violation du serveur de licences exposant des identifiants d'appareils | Faible | Faible | Le serveur ne stocke que des identifiants techniques (UUID, nom de l'appareil, IP). Aucune donnée de dossier, aucun nom d'agent, aucun numéro de matricule. Journaux IP purgés automatiquement après 30 jours. |
| Nom de l'appareil contenant le vrai nom de l'agent (ex. : « iPhone de Sylvain ») | Moyenne | Faible | Les organisations peuvent normaliser les noms d'appareils via une politique MDM pour retirer les noms personnels. SDTech évalue le retrait de la transmission du nom de l'appareil dans une version future. |
| Rapport de plantage Sentry contenant des renseignements personnels | Très faible | Faible | sendDefaultPii: false. Filtre pré-transmission retirant courriel et adresse IP. Aucune donnée de dossier dans les traces d'erreur. |
| Exposition de l'adresse IP aux fournisseurs de sources horaires | Certaine | Très faible | Comportement standard HTTPS ; aucun identifiant envoyé. L'adresse IP seule n'identifie pas un agent. Les fournisseurs sont de grands services web (Google, Cloudflare, Apple, Microsoft) avec des pratiques de confidentialité établies. |
11. Conclusion
L'architecture de DVR Time Traveler repose sur le principe que la meilleure façon de protéger les données sensibles est de ne jamais les transmettre. Tout le contenu lié aux enquêtes demeure sur l'appareil de l'agent en tout temps. Les données limitées qui atteignent des serveurs externes — identifiants d'appareil pour la gestion des licences, empreintes SHA-256 pour l'horodatage de confiance et rapports de plantage anonymisés — ne contiennent aucune donnée de dossier, aucune identité d'agent et aucun détail d'enquête.
La présente évaluation conclut que le risque pour la vie privée des personnes est faible et que les pratiques de traitement des données de l'application sont conformes aux exigences de la Loi 25 / Projet de loi 64.
Pour toute question ou pour exercer vos droits en matière de vie privée, communiquez avec : [email protected]
SDTech Mobile Application Inc. — Québec, Canada